tp-link、OPPO、小米、飛利浦家電、Volvo……，這些全都是台灣買得到的中國品牌；買了張出國網卡，結果發現用不了Gemini或ChatGPT，才發現這張卡來自中國電信商。中國監控制度透過高CP值的商品鑲嵌進台灣人的日常生活，猶如另類「匪諜」，而且真的在你身邊。中國產品有什麼資安問題？一般人為何需在意？個人和國家分別又該怎麼應對？

中國民營企業也是國家機器的延伸

中國特殊的政治及法律制度，讓看似中立的商業市場實則在極權陰影下運作。成大電機工程系教授李忠憲說：『(原音)很多人會問說手機公司的廠牌真的會幫它們的政府做些什麼嗎？那關鍵不在於會不會，而在中國的法律體系裡面，像這個國家情報法、網路安全法、資料(數據)安全法，它們的企業在法律上有配合國家情報工作的義務，而且不能拒絕。所以用中國軟硬體的風險並不是猜測企業的動機，而是這個制度本身已經設計成企業必須配合國家。』

換句話說，即便生產Wi-Fi路由器、攝影機的tp-link總部位於美國，但只要它的負責人或公司結構與中國密切相關，將仍受中國政府掌控、讓民營企業成為「國家機器」的延伸。數位發展部資通安全署指出，中國政府依法可要求企業配合資料調取或監管要求，將用戶資料提供給國安、公安及情報工作部門。

文化大學資工系副教授蔡敦仁直說：『(原音)國外報導發現中國大陸有很多駭客組織專門入侵到歐美國家的基礎建設，就是說水電、瓦斯、醫療、交通、電信這些所謂的基礎建設，然後入侵以後它可能沒有做什麼事情，可是它埋伏在那裡，所以哪一天如果說必要的時候它可能就會發動一些攻擊，癱瘓你所有的基礎設施。那我們台灣有沒有受到這樣的一個埋伏或攻擊？我想是有的啦，只是說它沒有真正的去發動。』

中國手機霸榜！攝影機、出國網卡esim也很危險

近年中國品牌資通訊產品打著「高CP值」大旗登陸。攤開台灣手機十大銷售排行，中國品牌佔6名、市佔率超過四分之一，近日從華為分拆的手機品牌Honor(榮耀)也剛進軍台灣；另外，綜觀銷售排行及路上商家，到處都是小米、tp-link等中國品牌的攝影機，滲透率相當高，讓中國監控陰影進入每個台灣人的日常生活。

儲存在中國設備上的資料，依法需配合中國公安或情報等部門。(饒辰書 攝)

不只如此，蔡敦仁示警，目前市面上非台灣三大電信的出國網卡或esim幾乎都來自中國或香港，而且很難從包裝辨認。他解釋，中國電信業者會向各地電信商購買頻段後，分裝轉售成便宜方案；在正常經濟考量下，資料不應回傳中國，但若有其他意圖，仍恐「不計成本」抄錄回去利用或分析，所以他呼籲重要人士需特別小心。

蔡敦仁評估一般民眾拿來使用社群媒體、觀看網路新聞的風險不會太高，但是公務員如果「拿來批改公文是絕對不應該做的事」，於是他建議民眾盡量購買我國電信漫遊、或至當地再購買網卡，若使用有中國資安風險的網卡也應盡量搭配VPN服務加密。

資安署則說，「聯網」中國資通訊設備與軟體存在資安漏洞與潛在風險，至於「非聯網」設備，通常須實體接觸才能存取資料，因此斷網使用已可大幅降低因遠端入侵造成資料外洩等資安風險，也就是充電線材及設備、離線家電等中國產品的資安風險理論上較低。不過資安署仍強調「曾有行動電源遭植入惡意程式」的案例，民眾仍須謹慎使用。

普通老百姓為何要在意？非中設備就安全？

「我只是一般老百姓，資料又沒什麼價值，為什麼要擔心？」面對這樣的質疑，李忠憲直言一般民眾覺得資安很遙遠「是因為不了解現代科技下面的風險」。他解釋，掌握資料就可以掌握一個人的生活模式、傾向、財產、愛好、行動軌跡，所以詐騙第一步就是蒐集個資，找出能操作的「弱點」。

不僅個人隱私缺乏保障，李忠憲進一步指出，當蒐集到一定規模的數據後，便可進一步發動對核電廠、高鐵等重大建設的攻擊，甚至「讓無人機砲口轉向」。資安署也示警，中國品牌設備容易成為「攻擊發動點」，例如被網軍利用並發動大規模攻擊，讓防禦難度大幅提升，造成國家整體資訊安全環境威脅。

從這個角度來看，兩位學者都認為中國製造或中國品牌的資通訊產品能夠以「價格」稱霸市場，除了國際分工下的供應鏈能力及成本考量外，「國家補貼」也是一大關鍵。中國一方面藉此與美國對抗，另一方面也有助於其推動統一的政治目標，「不光只是賣一個產品這樣單純的經濟行為」。

面對高CP值的中國商品，或者如Volvo、飛利浦家電等遭中國企業大舉收購的國際知名品牌，台灣消費者必須跳脫經濟理性的思維，更有警覺心。李忠憲說：『(原音)因為安全很貴，重視安全的品牌通常價格會比較高，那你長期都讓無知、沒有風險意識、不知道資安是什麼的人來買這些手機，長期就是這些低價、不是有資安考量的產品會佔據市場，慢慢的就會產生產業被排擠、資料控制權、依賴風險，對整個國家(造成)影響。』

「Hello Moto!」美國品牌摩托羅拉的手機部門已遭中國聯想公司收購。(饒辰書 攝)

然而，也並不是「非中國品牌」的產品就安全。因為產品底層硬體各有其韌體，這些若來自中國或缺乏安全驗證，依然可能成為資安漏洞，甚至會對「整個生態系」造成威脅。蔡敦仁舉例說明：『(原音)我們無人機也說不能採購大陸的那幾個品牌，可是台灣的無人機裡面的那個硬體跟韌體有時候你看那個控制面板出來是簡體字。所以說這個東西的界定到底在哪裡，我們很難拿捏。』

對此蔡敦仁主張只能加強資安檢測制度，且應盡量細部檢測到底層韌體。李忠憲則認為資安的核心概念是可問責性，選擇品牌即是選擇「由誰來掌控資料」及「誰的救濟與監督機制更值得我們信賴」，因此他建議「考慮安全就不要買中國手機」。

除了「不用」還能怎麼辦？

除了「不買中國設備」之外，還有其他解方嗎？科技媒體《mashdigi》創辦人、前聯合新聞網數位頻道主編楊又肇表示，可透過網路路由器設定「VLAN(虛擬區域網路)」，將中國家電等設備與其他裝置的網段隔離、阻擋其連外權限來避免後門程式或資料被回傳至中國伺服器。但他也坦言，這對一般人而言技術門檻較高。

政策方面，兩位學者都認為現況下難以全面禁止中國設備，不過李忠憲認為國家仍可以做更精緻的治理，包括建立透明的標示制度、強化資安驗證、政府採購發揮示範作用、鼓勵我國產業發展等。李忠憲也坦言實務上只能採「風險排序」思維，意即優先限制高風險群體(如公家機關)使用中國設備，至於風險較低的一般民眾，只能透過定期公佈問題產品、風險案例等教育方式，在嚴格限制與完全放任之間找出權衡之道。

中國品牌tp-link的網路攝影機在台灣相當常見。(饒辰書 攝)

此外，蔡敦仁亦建議可強化「資安檢測」制度，並讓標章成為政府採購及民眾購買的關鍵判斷依據。然而，資安檢測會增加生產成本、降低商品競爭力，因此他提出一個方案是「補貼檢測費用」，另一方案則是「強制所有手機都需完成資安檢測才能販售」。

楊又肇則進一步建議，可給予符合高資安標準的台灣或友邦品牌裝置「節能或資安補貼」，從售價端引導民眾消費。

資安署對此回應，法規上已增訂相關規範以降低中國產品對「政府機關」之影響；針對「國內企業」亦推動建立產品安全事件應變小組(PSIRT)提升資安治理與外部信任，並推出「產品資安漏洞獵捕計畫」，由白帽駭客與國內網通設備廠商共同合作、即時修補漏洞。

在「民眾」方面，資安署每⽉發布的「資通安全網路月報」 中會提供整體威脅趨勢資料，並搭配國內外重點資安新聞來提升民眾的意識及認知。

繞遠路、多花錢 「自主研發」才是安全保障

回到議題核心，李忠憲坦言每個國家、每個廠牌都有資安風險，且重點從來不是「會不會出事」，而是「風險能不能被治理、被監督、被驗證」，尤其在數位、人工智慧的時代，他強調「如何保有選擇權跟風險管理的能力」是國家很重要的課題。

以過去我國討論「超級電腦究竟要投資新台幣50億元自建平台？還是花5,000萬元架設在美國Amazon伺服器上？」為例，李忠憲說：『(原音)這個其實也都是國家安全，就是說你跟Amazon租機器，那些訓練基本上都掌握在別人手中的時候，你怎麼知道說它是可信的？它只是美國一個民間的公司嘛，你怎麼知道說它會不會被中國買走？我覺得在很多重要的，比如說AI主權相關的政策，會影響整個國家未來的，你是應該要花錢，不能妥協。』

換句話說，台灣因應中國資通訊方面的威脅，若要從根本下手強化資訊安全環境與韌性，實有必要加強自主產品的研發與生產，即便從「性價比」的角度來看並不划算，但從國家安全的觀點而言，仍是值得的投資。

延伸閱讀

全球第一支安卓機是HTC！如今台灣智慧手機品牌幾乎歸零

HTC、ZenFone成回憶 台灣品牌如何失去手機江山？