議題背景

因為擔憂來自中國的微信和WeChat可能威脅美國資訊安全,美國總統川普宣布行政命令,禁止所有美國企業及民眾在今年9月20日後,和騰訊科技股份有限公司(後簡稱騰訊)有業務往來。雖然騰訊表示,給中國用戶使用的App是「微信」,給海外用戶的稱為「WeChat」,兩者不同,但根據加拿大多倫多大學蒙克全球事務學院公民實驗室(The Citizen Lab)的研究,即使是非中國註冊的帳戶使用WeChat傳遞圖片給中國帳戶的微信,圖片內容仍普遍受到監視,若圖片牽涉敏感的中國政治內容,首次傳給中國帳戶就會被封鎖。

相關新聞與討論

究竟非中國帳號使用WeChat會有洩漏資訊的風險嗎?用WeChat傳遞圖片時,我們需要擔心被騰訊公司監控嗎?我們邀請專家釋疑。

專家怎麼說?

2020年8月24日
國立中山大學資訊工程學系助理教授 徐瑞壕

微信(WeChat)是中國騰訊集團所開發,且是全球最多使用人口的即時通訊軟體之一,平均每個月約有11.5億位中國及國際的用戶在使用。然而微信對於用戶的聊天記錄、文件檔案以及圖片進行監控的傳聞不曾斷過,而騰訊宣稱「中國區用戶使用的微信,和非中國區用戶的WeChat兩者不同」。因此,多倫多大學[註1]建立中國區以及非中國區的使用者帳號做交叉訊息傳遞的實驗,並觀察非中國區的用戶傳遞含有敏感性中國政治資訊的照片時,是否會被WeChat監控,或被用來阻斷相同照片在中國區用戶之間傳遞,以此驗證傳聞是否屬實。實驗結果顯示WeChat確實有監控用戶於中國區及非中國區傳遞的照片,實驗中也顯示,非中國區的用戶所傳遞具敏感資訊的照片,會被記錄起來,WeChat的後端平台利用雜湊函式計算出每一個照片的雜湊碼[註2]做為唯一識別碼,當中國區用戶傳遞的照片雜湊值跟那些具敏感資訊照片的雜湊值一樣時,就會被WeChat過濾。研究顯示,WeChat透過這樣的機制,建立在審查照片時可以參考的資料庫,來阻斷具敏感議題的照片在用戶之間傳遞。此外,WeChat在非中國用戶的隱私保護聲明中,也沒有明確的禁止WeChat在未經用戶同意下使用個人資料。對於WeChat可能侵犯個人隱私以及自行過濾並阻斷特定訊息的行為,結論以及應對如下:

  1. 給非中國區用戶使用的WeChat軟體跟中國區用戶使用的微信軟體,基本上它們所連結的伺服器都可共享用戶的訊息,因此都存在被審查以及監控的狀況。
  2. WeChat以及同類型的即時通訊軟體,都是透過所有的用戶連上服務提供者的伺服器,並透過伺服器轉傳使用者間的訊息,因此使用者的訊息都會暴露給服務提供者知道。所以,即使用戶已限制WeChat軟體存取手機內的資訊,所有WeChat用戶的訊息傳遞仍會被WeChat的伺服器知道。
  3. WeChat本身結合了即時通訊、臉書以及電子支付的功能,代表著除了即時通訊的訊息可能被監控之外,用戶的線上社群訊息以及電子支付的相關訊息也存在著被監控的風險。
  4. 如非中國區用戶本身需要利用即時通訊傳遞敏感以及機密的訊息,建議使用具端對端(End-to-End)安全傳輸機制[註3]的即時通訊軟體。

2020年8月28日
國立臺灣科技大學資訊管理系助理教授 黃政嘉

WeChat截至現今於全球有超過10億的用戶,WeChat提供了多樣性的服務,包含即時通訊、臉書、電子支付等功能。通訊軟體具有保障言論自由的義務,同時,針對惡意散佈不實、仇恨、色情等言論,各服務平台都應有相關的應對機制。透過了解The Citizen Lab的報告[註1],可以初估WeChat的關鍵字審查,比多數的通訊軟體更為嚴格,WeChat除了控管惡意言論,更可能審查敏感的字詞。舉近期最典型的事件為例,德國之聲(Deutsche Welle)的報導指出,在新冠病毒疫情爆發之際,中國的通訊平台與社群媒體平台不斷的擴大審查範圍,大量的封鎖涉及敏感字詞的資訊[註4]。從技術觀點來看,即便通訊軟體有加密任何對象間的談話內容,由於加密的金鑰[註5]大部分是由通訊軟體所發行,傳遞內容其實對通訊軟體而言不是秘密,也因此任何通訊軟體可以依其所需,訂定相關敏感內容的篩選標準並審查傳遞的內容。

各種通訊軟體廠商為了讓自己更有競爭力,並確保市場上的佔有率,除了結合各種服務程式以外,也在存取授權中要求用戶綁定即時通訊、臉書、電子支付等應用服務到自家的通訊軟體,若用戶不遵守,則廠商不提供這些應用服務或更多優惠。普遍用戶認為同意授權後,關閉通訊軟體就不會有任何隱私外洩的風險,但從技術面來看,已經過用戶授權安裝的應用程式若沒有被完全關閉,即使用戶沒有主動操作,應用程式仍可於裝置背景執行;其實不只WeChat,很多應用程式也有此狀況。根據德國之聲的一篇報導[註6],WeChat的典型案例是常常在安裝後,用戶不知情的情況下,WeChat自動訂閱了與使用者無關的服務,令有些用戶不堪其擾,且取消訂閱的操作繁瑣。報導提到,使用者表示WeChat在初始安裝時,並未提示用戶,多數用戶對於自己訂閱了何種服務並不知情。這種狀況在各種通訊軟體中,皆有類似的案例,若是真正擔心通訊軟體可能造成隱私外洩,或是侵犯自己的隱私,我建議其實最好的方式就是盡量避免涉及隱私或是敏感性內容的談話。

根據The Citizen Lab的關鍵字審查報告結果,可以推斷騰訊有審查與監控WeChat中被傳遞的言論,但是沒有更具體實驗的結果可以指出究竟WeChat的訊息內容,是否會被傳遞到中國的伺服器做留存與監控;但可以確定的是,使用WeChat談話時,若涉及敏感關鍵字,有可能遭到封鎖。其實很多應用程式會審查敏感的關鍵字,只是管控的嚴格程度不同,我建議最重要的應該是先瞭解使用應用程式會面臨的的風險,避免傳遞機密或隱私的內容。

註釋與參考資料:

[註1] J. Knockel, C. Parsons, L. Ruan, R. Xiong, J. Crandall, and R. Deinert, “WE CHAT, THEY, WATCH – How international users unwittingly build up WeChat's  Chinese censorship apparatus.”Research Report, The Citizen Lab, Munk School, and University of Toronto, June, 2020.

[註2] 請參考Microsoft〈使用雜湊程式碼確定資料完整性〉。

[註3] 請參考APNIC文摘〈端對端加密即時訊息傳輸到底有多安全?

[註4] 李澄欣 (2020)。〈微信早於12月屏蔽疫情消息   "習近平"成敏感詞〉。2020/09/01檢索。

[註5] 金鑰:是用來進行密碼學演算法操作的的一組秘密資訊。在加密演算法中,需要有相對應的金鑰才能解密被加密的資訊。

[註6] Fabian Schmidt (2020).“TikTok, WeChat & Co: How does spyware get into smartphones?Deutsche Welle. Retrieval Date: 2020/08/31。

版權聲明

本文歡迎媒體轉載使用,惟需附上資料來源,請註明新興科技媒體中心。
若有採訪需求或其他合作事宜,請聯絡媒體公關:

曾雨涵

haharain331@rsprc.ntu.edu.tw
02-3366-3366#55925