今年4月底,中國導航軟體「高德地圖」因功能齊全在台灣迅速走紅,並快速衝上下載排行榜。有網友認為,它的導航體驗甚至優於谷歌地圖。然而,在精準與便利的背後,高德究竟收集了用戶多少數據?台灣國安局與數字發展部先後發出警告,指出該軟體存在多項風險行為,例如索取與核心功能無關的權限,以及在關閉狀態下依然對外傳輸數據等。這引發了各界對其過度收集用戶個人信息的強烈質疑。
台灣調查媒體《報導者》以相同系統、相同路線以及相同網絡環境下,同步測試了高德地圖、谷歌地圖和導航王三款應用程式。結果發現,高德地圖平均每3秒就會向中國大陸境內的伺服器回傳一次數據,其數據包中更出現了可用於追蹤和識別設備的固定代碼。更關鍵的是,這些數據包內暗藏了由中共官方機構參與研發的「CAID」設備指紋代碼;這是一串能夠強制綁定手機並規避iOS等作業系統隱私規範的明碼,具備跨App拼湊用戶數字足跡與身份細節的潛在能力。
儘管目前尚無高德地圖直接濫用個人信息的確切證據,但真正的威脅源於中國的法律體制。中國的《國家情報法》、《數據安全法》與《網絡安全法》等法規,明文強制要求企業與公民必須配合國家安全情報工作。這意味著,即便高德地圖宣稱數據僅用於商業路況分析,中國政府仍擁有隨時調閱這些龐大數據的絕對權限,能夠隨時將商業資料庫轉化為國家級的監控工具。
高德地圖的爭議,凸顯了台灣在保護數據主權方面防線的脆弱。由於該軟體在台灣未設立分公司,現行已落後於科技發展16年且未經大修的台灣《個人資料保護法》,難以對其「跨境傳輸」行為進行有效管轄與限制。面對中國將大數據視為重要戰略資源的野心,專家呼籲台灣亟需加速修法,並儘快成立專責的個人信息保護機構,填補這一塊的空白。
以下為文章內容節選
我們從位於台北市中山區的《報導者》辦公室出發,沿著中山北路右轉北安路,目的地即是國防部外圍,接著跨過基隆河,繞行松山機場、松山指揮部一圈,再往南移動,路過大安區基信營區、法務部調查局的台北市調查處、公館蟾蜍山腳下的空軍作戰指揮部,最後前往我國行政中樞「博愛特區」。
三支格式化的空白iPhone手機分別安裝了高德地圖、Google地圖以及國產軟體導航王3D,我們同時設置一台筆記型電腦作為中繼站,讓三款軟體向伺服器回傳資料前,都必須被電腦中的分析工具記錄連線頻率、流量與封包信息。從數據可見,高德地圖平均每3秒就進行一次資料上傳,Google地圖約30秒、導航王3D則是22分鐘一次。
近90分鐘車程,我們全程未靠近任何禁制區,只透過一般道路移動,以Google地圖可查詢的多個行政單位正門為目標,然而它們在高德地圖上都查無此地;唯一例外是總統府,它在高德地圖上用簡體字寫著「台灣地區領導人辦公場所」。
進一步細看封包內容,搜集類似數據的三款軟體中,Google地圖和導航王3D僅上傳必要的GPS位置至台灣、日本或新加坡伺服器;高德地圖則上傳包含位置、氣壓計、方向等所有資料,並且連線目標無一例外,全是位於中國杭州、上海、南京等地的「阿里雲」伺服器。
而在高德地圖的封包中,我們發現一串名為「CAID」的固定代碼,它綁定手機出現,即使移除高德地圖再重新安裝,這串CAID代碼在本次測試條件下依舊維持不變,只有在裝置格式化之後才會產生新的CAID。這種繞過作業系統隱私規範、強行辨識一支手機的技術稱為「裝置指紋」(Device fingerprint),受到Google和Apple兩大平台方嚴格約束。
為了實驗CAID是否形成跨App追蹤,我們接續多次格式化三支手機,同時安裝高德地圖、百度搜尋與淘寶,並用相同方式抓取封包,分析上傳資料中是否出現相同的CAID;結果從「百度搜尋」封包中解析出完全相同的一串代碼──這可能意味著,若有心人士希望從後台透過這串共同代碼,追蹤使用者在不同軟體上的數位足跡,拼湊出該名使用者的身份和生活細節,這些行為在技術層面「理論上」可行,但《報導者》目前未有證據顯示兩者曾經串接。
CAID雖是商用代碼,但根據中國《國家情報法》第7條規定,「任何組織和公民都應當依法支持、協助和配合國家情報工作。」同法第14條也提到,國家情報機構可以要求「機關、組織和公民提供必要的支持、協助和配合。」這兩項條文將「配合」定義為所有中國人民的義務。
中國《數據安全法》第2條,又將中國境外發生,但與中國企業相關的資料使用行為都納入管轄範圍,只要損害中國「國家安全、公共利益或者公民、組織合法權益」,都可依法追究。同法第35條還再次強調:「因維護國家安全或偵查犯罪需要調取數據時,有關組織、個人應當予以配合。」
類似條文也在中國《網路安全法》中出現。該法雖規定了企業不得濫用民眾隱私,被視為進步立法,但在第13條仍規範「不得利用網絡從事煽動分裂國家、破壞國家統一」;第30條更明訂,網路營運者應為公安機關、國家安全機關「依法維護國家安全活動提供技術支持和協助」。
中國即將在2026年7月1日施行的《民族團結進步促進法》,第31條也有相關規定。這些法律可能如何運作?適用範圍是否包含已向海外發展的中國企業?長期研究科技與人權關係的加拿大多倫多大學公民實驗室(Citizen Lab)便指出,使用非中國手機門號註冊會員的WeChat用戶若在中國境外分享政治敏感圖文,資料仍會傳進中國伺服器進行記錄,甚至被用來訓練監控系統,用以審查中國境內用戶。
