非中國註冊的帳號使用WeChat，仍會有洩漏資訊的風險嗎？

議題背景

因為擔憂來自中國的微信和WeChat可能威脅美國資訊安全，美國總統川普宣布行政命令，禁止所有美國企業及民眾在今（2020）年9月20日後，和騰訊科技股份有限公司（後簡稱騰訊）有業務往來。

雖然騰訊表示，給中國用戶使用的App是「微信」，給海外用戶的稱為「WeChat」，兩者不同，但根據加拿大多倫多大學蒙克全球事務學院公民實驗室（The Citizen Lab）的研究，即使是非中國註冊的帳戶使用WeChat傳遞圖片給中國帳戶的微信，圖片內容仍普遍受到監視。若圖片牽涉敏感的中國政治內容，首次傳給中國帳戶就會被封鎖。

相關新聞與討論：

• 自由時報：微信被爆監控非中國用戶，恐遭調查或下架
• INSIDE：多倫多大學詳盡研究：不只中國，微信正在嚴密監控全球帳號

究竟非中國帳號使用WeChat會有洩漏資訊的風險嗎？用WeChat傳遞圖片時，我們需要擔心被騰訊公司監控嗎？我們邀請專家釋疑。

一起來看看專家怎麼說。

徐瑞壕（國立中山大學資訊工程學系助理教授）
2020年8月24日

微信（WeChat）是中國騰訊集團所開發，且是全球最多使用人口的即時通訊軟體之一，平均每個月約有11.5億位中國及國際的用戶在使用。然而微信對於用戶的聊天記錄、文件檔案以及圖片進行監控的傳聞不曾斷過，

騰訊宣稱「中國區用戶使用的微信，和非中國區用戶的WeChat兩者不同」。因此，多倫多大學（註1）建立中國區以及非中國區的使用者帳號，做交叉訊息傳遞的實驗，並觀察非中國區的用戶傳遞含有敏感性中國政治資訊的照片時，是否會被WeChat監控，或被用來阻斷相同照片在中國區用戶之間傳遞，以此驗證傳聞是否屬實。

實驗結果顯示，ＷeChat確實有監控用戶於中國區及非中國區傳遞的照片。實驗中也顯示，非中國區的用戶所傳遞具敏感資訊的照片，會被記錄起來。

WeChat的後端平台利用雜湊函式，計算出每一個照片的雜湊碼（註2）做為唯一識別碼。當中國區用戶傳遞的照片雜湊值，跟那些具敏感資訊照片的雜湊值一樣時，就會被WeChat過濾。

研究顯示，WeChat透過這樣的機制，建立在審查照片時可以參考的資料庫，來阻斷具敏感議題的照片在用戶之間傳遞。此外，WeChat在非中國用戶的隱私保護聲明中，也沒有明確的禁止WeChat在未經用戶同意下使用個人資料。

對於WeChat可能侵犯個人隱私，以及自行過濾並阻斷特定訊息的行為，結論以及應對如下：

1. 給非中國區用戶使用的WeChat軟體跟中國區用戶使用的微信軟體，基本上它們所連結的伺服器都可共享用戶的訊息，因此都存在被審查以及監控的狀況。
2. WeChat以及同類型的即時通訊軟體，都是透過所有的用戶連上服務提供者的伺服器，·並透過伺服器轉傳使用者間的訊息，因此使用者的訊息都會暴露給服務提供者知道。所以，即使用戶已限制WeChat軟體存取手機內的資訊，所有WeChat用戶的訊息傳遞，仍會被WeChat的伺服器知道。
3. WeChat本身結合了即時通訊、臉書以及電子支付的功能，代表著除了即時通訊的訊息可能被監控之外，用戶的線上社群訊息以及電子支付的相關訊息，也存在著被監控的風險。
4. 如非中國區用戶本身需要利用即時通訊傳遞敏感以及機密的訊息，建議使用具端對端（End-to-End）安全傳輸機制（註3）的即時通訊軟體。

Photo credit: 中央社

黃政嘉（國立台灣科技大學資訊管理系助理教授）
2020年8月28日

WeChat截至現今，於全球有超過10億的用戶，WeChat提供多樣性的服務，包含即時通訊、臉書、電子支付等功能。通訊軟體具有保障言論自由的義務，同時，針對惡意散佈不實、仇恨、色情等言論，各服務平台都應有相關的應對機制。

透過了解The Citizen Lab的報告（註1），可以初估WeChat的關鍵字審查，比多數的通訊軟體更為嚴格。WeChat除了控管惡意言論，更可能審查敏感的字詞。舉近期最典型的事件為例，《德國之聲》（Deutsche Welle）的報導指出，在新冠病毒疫情爆發之際，中國的通訊平台與社群媒體平台不斷的擴大審查範圍，大量的封鎖涉及敏感字詞的資訊（註4）。

從技術觀點來看，即便通訊軟體有加密任何對象間的談話內容，由於加密的金鑰（註5）大部分是由通訊軟體所發行，傳遞內容其實對通訊軟體而言不是秘密，也因此任何通訊軟體可以依其所需，訂定相關敏感內容的篩選標準並審查傳遞的內容。

各種通訊軟體廠商為了讓自己更有競爭力，並確保市場上的佔有率，除了結合各種服務程式以外，也在存取授權中要求用戶綁定即時通訊、臉書、電子支付等應用服務到自家的通訊軟體。若用戶不遵守，則廠商不提供這些應用服務或更多優惠。

普遍用戶認為同意授權後，關閉通訊軟體就不會有任何隱私外洩的風險。但從技術面來看，已經過用戶授權安裝的應用程式若沒有被完全關閉，即使用戶沒有主動操作，應用程式仍可於裝置背景執行。其實不只WeChat，很多應用程式也有此狀況。

根據《德國之聲》的一篇報導（註6），WeChat的典型案例是常常在安裝後，用戶不知情的情況下，WeChat自動訂閱了與使用者無關的服務，令有些用戶不堪其擾，且取消訂閱的操作繁瑣。報導提到，使用者表示WeChat在初始安裝時，並未提示用戶，多數用戶對於自己訂閱了何種服務並不知情。

這種狀況在各種通訊軟體中，皆有類似的案例，若是真正擔心通訊軟體可能造成隱私外洩，或是侵犯自己的隱私，我建議其實最好的方式，就是盡量避免涉及隱私或是敏感性內容的談話。

根據The Citizen Lab的關鍵字審查報告結果，可以推斷騰訊有審查與監控WeChat中被傳遞的言論；但是沒有更具體實驗的結果，可以指出究竟WeChat的訊息內容，是否會被傳遞到中國的伺服器做留存與監控。

可以確定的是，使用WeChat談話時，若涉及敏感關鍵字，有可能遭到封鎖。其實很多應用程式會審查敏感的關鍵字，只是管控的嚴格程度不同，我建議最重要的應該是先瞭解使用應用程式會面臨的的風險，避免傳遞機密或隱私的內容。

註釋

1. J. Knockel, C. Parsons, L. Ruan, R. Xiong, J. Crandall, and R. Deinert, “WE CHAT, THEY, WATCH – How international users unwittingly build up WeChat's Chinese censorship apparatus.”Research Report, The Citizen Lab, Munk School, and University of Toronto, June, 2020.
2. 請參考Microsoft〈使用雜湊程式碼確定資料完整性〉。
3. 請參考APNIC文摘〈端對端加密即時訊息傳輸到底有多安全？〉
4. 李澄欣（2020）。〈微信早於12月屏蔽疫情消息 "習近平"成敏感詞〉。2020/09/01檢索。
5. 金鑰：是用來進行密碼學演算法操作的的一組秘密資訊。在加密演算法中，需要有相對應的金鑰才能解密被加密的資訊。
6. Fabian Schmidt (2020).“TikTok, WeChat & Co: How does spyware get into smartphones?”Deutsche Welle. Retrieval Date: 2020/08/31。

本文經新興科技媒體中心授權刊登，原文刊載於此

責任編輯：朱家儀
核稿編輯：翁世航