议题背景
因为担忧来自的微信和WeChat可能威胁资讯安全,川普宣布行政命令,禁止所有企业及民众在今(2020)年9月20日后,和腾讯科技股份有限公司(后简称腾讯)有业务往来。
虽然腾讯表示,给用户使用的App是「微信」,给海外用户的称为「WeChat」,两者不同,但根据加拿大多伦多大学蒙克全球事务学院公民实验室(The Citizen Lab)的研究,即使是非注册的帐户使用WeChat传递图片给帐户的微信,图片内容仍普遍受到监视。若图片牵涉敏感的政治内容,首次传给帐户就会被封锁。
相关新闻与讨论:
自由时报:微信被爆监控非用户,恐遭调查或下架 INSIDE:多伦多大学详尽研究:不只,微信正在严密监控全球帐号究竟非帐号使用WeChat会有洩漏资讯的风险吗?用WeChat传递图片时,我们需要担心被腾讯公司监控吗?我们邀请专家释疑。
一起来看看专家怎么说。
徐瑞壕(国立中山大学资讯工程学系助理教授) 2020年8月24日微信(WeChat)是腾讯集团所开发,且是全球最多使用人口的即时通讯软体之一,平均每个月约有11.5亿位及国际的用户在使用。然而微信对于用户的聊天记录、文件档案以及图片进行监控的传闻不曾断过,
腾讯宣称「区用户使用的微信,和非区用户的WeChat两者不同」。因此,多伦多大学(注1)建立区以及非区的使用者帐号,做交叉讯息传递的实验,并观察非区的用户传递含有敏感性政治资讯的照片时,是否会被WeChat监控,或被用来阻断相同照片在区用户之间传递,以此验证传闻是否属实。
实验结果显示,WeChat确实有监控用户于区及非区传递的照片。实验中也显示,非区的用户所传递具敏感资讯的照片,会被记录起来。
WeChat的后端平台利用杂凑函式,计算出每一个照片的杂凑码(注2)做为唯一识别码。当区用户传递的照片杂凑值,跟那些具敏感资讯照片的杂凑值一样时,就会被WeChat过滤。
研究显示,WeChat透过这样的机制,建立在审查照片时可以参考的资料库,来阻断具敏感议题的照片在用户之间传递。此外,WeChat在非用户的隐私保护声明中,也没有明确的禁止WeChat在未经用户同意下使用个人资料。
对于WeChat可能侵犯个人隐私,以及自行过滤并阻断特定讯息的行为,结论以及应对如下:
给非区用户使用的WeChat软体跟区用户使用的微信软体,基本上它们所连结的伺服器都可共享用户的讯息,因此都存在被审查以及监控的状况。 WeChat以及同类型的即时通讯软体,都是透过所有的用户连上服务提供者的伺服器,·并透过伺服器转传使用者间的讯息,因此使用者的讯息都会暴露给服务提供者知道。所以,即使用户已限制WeChat软体存取手机内的资讯,所有WeChat用户的讯息传递,仍会被WeChat的伺服器知道。 WeChat本身结合了即时通讯、脸书以及电子支付的功能,代表着除了即时通讯的讯息可能被监控之外,用户的线上社群讯息以及电子支付的相关讯息,也存在着被监控的风险。 如非区用户本身需要利用即时通讯传递敏感以及机密的讯息,建议使用具端对端(End-to-End)安全传输机制(注3)的即时通讯软体。 黄政嘉(国立科技大学资讯管理系助理教授) 2020年8月28日WeChat截至现今,于全球有超过10亿的用户,WeChat提供多样性的服务,包含即时通讯、脸书、电子支付等功能。通讯软体具有保障言论自由的义务,同时,针对恶意散布不实、仇恨、色情等言论,各服务平台都应有相关的应对机制。
透过了解The Citizen Lab的报告(注1),可以初估WeChat的关键字审查,比多数的通讯软体更为严格。WeChat除了控管恶意言论,更可能审查敏感的字词。举近期最典型的事件为例,《德国之声》(Deutsche Welle)的报导指出,在新冠病毒爆发之际,的通讯平台与社群媒体平台不断的扩大审查範围,大量的封锁涉及敏感字词的资讯(注4)。
从技术观点来看,即便通讯软体有加密任何对象间的谈话内容,由于加密的金钥(注5)大部分是由通讯软体所发行,传递内容其实对通讯软体而言不是秘密,也因此任何通讯软体可以依其所需,订定相关敏感内容的筛选标準并审查传递的内容。
各种通讯软体厂商为了让自己更有竞争力,并确保市场上的佔有率,除了结合各种服务程式以外,也在存取授权中要求用户绑定即时通讯、脸书、电子支付等应用服务到自家的通讯软体。若用户不遵守,则厂商不提供这些应用服务或更多优惠。
普遍用户认为同意授权后,关闭通讯软体就不会有任何隐私外洩的风险。但从技术面来看,已经过用户授权安装的应用程式若没有被完全关闭,即使用户没有主动操作,应用程式仍可于装置背景执行。其实不只WeChat,很多应用程式也有此状况。
根据《德国之声》的一篇报导(注6),WeChat的典型案例是常常在安装后,用户不知情的情况下,WeChat自动订阅了与使用者无关的服务,令有些用户不堪其扰,且取消订阅的操作繁琐。报导提到,使用者表示WeChat在初始安装时,并未提示用户,多数用户对于自己订阅了何种服务并不知情。
这种状况在各种通讯软体中,皆有类似的案例,若是真正担心通讯软体可能造成隐私外洩,或是侵犯自己的隐私,我建议其实最好的方式,就是尽量避免涉及隐私或是敏感性内容的谈话。
根据The Citizen Lab的关键字审查报告结果,可以推断腾讯有审查与监控WeChat中被传递的言论;但是没有更具体实验的结果,可以指出究竟WeChat的讯息内容,是否会被传递到的伺服器做留存与监控。
可以确定的是,使用WeChat谈话时,若涉及敏感关键字,有可能遭到封锁。其实很多应用程式会审查敏感的关键字,只是管控的严格程度不同,我建议最重要的应该是先了解使用应用程式会面临的的风险,避免传递机密或隐私的内容。
注释 J. Knockel, C. Parsons, L. Ruan, R. Xiong, J. Crandall, and R. Deinert, “WE CHAT, THEY, WATCH – How international users unwittingly build up WeChat's Chinese censorship apparatus.”Research Report, The Citizen Lab, Munk School, and University of Toronto, June, 2020. 请参考Microsoft〈使用杂凑程式码确定资料完整性〉。 请参考APNIC文摘〈端对端加密即时讯息传输到底有多安全?〉 李澄欣(2020)。〈微信早于12月屏蔽消息 ""成敏感词〉。2020/09/01检索。 金钥:是用来进行密码学演算法操作的的一组秘密资讯。在加密演算法中,需要有相对应的金钥才能解密被加密的资讯。 Fabian Schmidt (2020).“TikTok, WeChat & Co: How does spyware get into smartphones?”Deutsche Welle. Retrieval Date: 2020/08/31。本文经新兴科技媒体中心授权刊登,原文刊载于此