請更新您的瀏覽器

您使用的瀏覽器版本較舊,已不再受支援。建議您更新瀏覽器版本,以獲得最佳使用體驗。

中國「高德地圖」跨境定位風險:每3秒回傳位置資訊、暗藏可追溯使用者代碼

報導者

發布於 8小時前 • 文字 許詩愷 攝影 楊子磊 許詩愷 設計 黃禹禛 江世民 工程 黃靖緯 核稿/方德琳;共同採訪/方君竹;責任編輯/張詩芸
在《報導者》團隊測試高德地圖時,我們發現這款來自中國的導航軟體,將我國總統府稱為「台湾地区领导人办公场所」。(攝影/楊子磊)

今年4月底,中國導航軟體「高德地圖」因其功能齊全,在台灣竄紅,迅速攻上下載排行榜。有網友認為,它的導航體驗更優於Google地圖。只是在精確便利的背後,高德究竟搜集使用者多少資料?
5月,國安局點名高德地圖可能有資安疑慮;數位發展部檢測後也指出,其有多項風險行為:要求存取與核心功能無關的權限、關閉狀態下仍對外傳輸資料。
為驗證其傳輸資料內容,《報導者》以相同系統、相同路線、相同網路環境,同步測試高德地圖、Google地圖、導航王三款應用程式(App)後發現,高德地圖平均每3秒就向中國境內伺服器回傳一次資料,封包中更出現可被追蹤辨識裝置的固定代碼。

距離紅燈結束還有「30秒、29秒、28秒⋯⋯」僅剩5秒時,系統語音提醒駕駛準備前進,這是中國阿里巴巴集團旗下的導航軟體「高德地圖」主打功能之一,它在導航過程蒐集多種類型的交通數據,包含車流量、歷史號誌週期、車輛在路口前停等與再移動的軌跡資訊等,並透過AI模型進行推估,最後在用戶的手機螢幕上同步顯示紅綠燈秒數。

號誌倒數之外,當使用者設定了目的地,高德地圖也能估算沿途的紅綠燈數量,對何時該切換車道或轉彎、如何選擇匝道*的定位同樣準確,還有AI「陪聊」助手為駕駛解悶。搭配阿里巴巴橫跨電商、旅遊、物流、娛樂的豐富資料庫後,高德地圖的價值更是超越交通用途,以中國用語形容,它是一款「綜合性移動生活門戶」,曾在2025年創下中國境內單月活躍用戶數9.47億、單日最高使用者3.6億的驚人紀錄。

匝道*:車輛進出高速公路、高架道路或隧道的連接輔助車道。

高德地圖自2025年6月便開放台灣手機門號註冊會員,當時曾被使用者詬病地圖資料簡陋。同年11月,高德開始和荷蘭地圖公司HERE Technologies*合作,希望打入國際市場。據了解,最新版的台灣圖資便是由HERE授權高德使用,於是今年(2026)4月底,高德突然成為網路熱議話題,也因為功能齊全,迅速攻上App Store和Google Play兩大平台下載排行榜。

HERE Technologies*:提供電子地圖、導航服務的跨國集團,目前全球擁有200多個國家/地區的圖資。

便利背後,高德地圖如何精準追蹤使用者位置?是否暗藏過度蒐集個資的風險?

今年5月初,國安局局長蔡明彥赴立法院備詢,便指出高德地圖可能收集用戶通訊錄、通話內容、即時影音視訊,並回傳中國資料庫。數位發展部也在5月27日公布檢測結果,發現高德地圖在iOS裝置上出現了「要求存取與核心功能無關的權限」和「讀取使用者裝置的識別碼」等8項風險行為;若高德地圖安裝在Android裝置,更會「於關閉狀態下對外傳輸資料」。

為檢視行政單位對高德地圖的質疑,《報導者》記者與數據團隊在諮詢g0v社群*多名工程師後,使用開放原始碼的網路分析工具,在相同的網路環境與移動路徑下,同步監測高德地圖、Google地圖與樂客導航王全3D(簡稱導航王3D*)等三款導航軟體用戶端與伺服器之間的傳輸行為,結果顯示:擔憂並非空穴來風。

g0v社群*:2012年起由台灣程式設計師發起的技術社群,以去中心化、公民參與、開放原始碼為核心精神。

簡稱導航王3D*:導航王系列手機App目前主要分為兩種版本:「樂客導航王全3D」(採買斷制,具3D道路與建物圖資功能)為較早期推出之版本;而「導航王TM」則為較新上線之產品,採訂閱制並提供即時路況與持續更新服務。

高德平均每3秒上傳使用者資訊,蒐集細節亦超越他廠軟體

我們從位於台北市中山區的《報導者》辦公室出發,沿著中山北路右轉北安路,目的地即是國防部外圍,接著跨過基隆河,繞行松山機場、松山指揮部一圈,再往南移動,路過大安區基信營區*、法務部調查局的台北市調查處、公館蟾蜍山腳下的空軍作戰指揮部,最後前往我國行政中樞「博愛特區」。

基信營區*:國防部資通電軍「網路戰聯隊部」前駐地。

三支格式化的空白iPhone手機分別安裝了高德地圖、Google地圖以及國產軟體導航王3D,我們同時設置一台筆記型電腦作為中繼站,讓三款軟體向伺服器回傳資料前,都必須被電腦中的分析工具記錄連線頻率、流量與封包*資訊。從數據可見,高德地圖平均每3秒就進行一次資料上傳,Google地圖約30秒*、導航王3D則是22分鐘一次。

封包*:封包 (Packet)是網路上傳、下載的檔案或資料的基本單位,原始資料會先被分解為小段落的封包,再傳送到接收端(使用者)的電腦、裝置重新組合為完整資訊。

30秒*:Google地圖在導航過程中約5分鐘上傳一次使用者位置資訊,在我們偏離導航路徑時,才會以約30秒上傳一次的頻率,較密集地上傳資料、重新計算路徑。

近90分鐘車程,我們全程未靠近任何禁制區,只透過一般道路移動,以Google地圖可查詢的多個行政單位正門為目標,然而它們在高德地圖上都查無此地;唯一例外是總統府,它在高德地圖上用簡體字寫著「台湾地区领导人办公场所」。

高德地圖最頻繁上傳資料的區域包含台北市松山機場、總統府、基隆路等地,但礙於技術限制,《報導者》數據團隊無法進一步拆解軟體上傳邏輯,無法確認此頻率是否與車速、壅塞程度或特定路段相關。至於「紅燈倒數」功能,目前僅有少部分路口正常顯示,且偶有數秒誤差;本次測試中,我們於下午5點經過鄰近行政院、立法院的中山北路及市民大道交叉口,當下實際秒數便比高德地圖快了約10秒。

不過,綜觀路程紅綠燈總數推估、車道辨識等功能,高德地圖的準確度確實優於他廠軟體。一位曾在Google地圖任職的後端工程師Miles(化名)說明,導航軟體向使用者索取全球定位系統(GPS)位置後,常會再結合手機內部的各類傳感器數據,例如氣壓計辨認高度、陀螺儀確認方向、螢幕亮度判斷車輛是否位於隧道,進而準確定位。

「導航準確與否,還取決於圖資的詳細程度,以及該軟體蒐集資料後用什麼模型計算,」Miles表示,高德地圖使用的圖資在台北市內達到「車道級*」,Google地圖通常僅有「道路級*」,再加上高德地圖幾乎不間斷地反覆定位,才能和他廠功能做出區隔。

車道級*:地圖精準度範圍為3公尺內,比例尺約是1:500至1:1,000。

道路級*:地圖精準度範圍為10公尺,地圖比例尺約是1:5,000至1:10,000。

進一步細看封包內容,蒐集類似數據的三款軟體中,Google地圖和導航王3D僅上傳必要的GPS位置至台灣、日本或新加坡伺服器;高德地圖則上傳包含位置、氣壓計、方向等所有資料,並且連線目標無一例外,全是位於中國杭州、上海、南京等地的「阿里雲」伺服器。

而在高德地圖的封包中,我們發現一串名為「CAID」的固定代碼,它綁定手機出現,即使移除高德地圖再重新安裝,這串CAID代碼在本次測試條件下依舊維持不變,只有在裝置格式化之後才會產生新的CAID。這種繞過作業系統隱私規範、強行辨識一支手機的技術稱為「裝置指紋」(Device fingerprint),受到Google和Apple兩大平台方嚴格約束。

為了實驗CAID是否形成跨App追蹤,我們接續多次格式化三支手機,同時安裝高德地圖、百度搜尋與淘寶,並用相同方式抓取封包,分析上傳資料中是否出現相同的CAID;結果從「百度搜尋」封包中解析出完全相同的一串代碼──這可能意味著,若有心人士希望從後台透過這串共同代碼,追蹤使用者在不同軟體上的數位足跡,拼湊出該名使用者的身分和生活細節,這些行為在技術層面「理論上」可行,但《報導者》目前未有證據顯示兩者曾經串接。

★關於更多細節可閱讀:〈【Data Reporter】從台北街頭到中國伺服器,《報導者》實測高德地圖如何蒐集使用者資料

導航功能之外,高德封包中那串可追溯使用者行為的代碼

《報導者》詢問多名工程師,並比對技術文件後,判斷CAID應代表「CAA Advertising ID」,是2021年由中國信息通信研究院中國廣告協會(CAA)共同研發,專門規避Apple裝置(iOS系統)隱私規範的廣告追蹤代碼,用以協助廣告主與代理商規劃行銷策略。據《金融時報》(Financial Times)當年的報導,騰訊和抖音母公司「字節跳動」都疑似在研發時加入測試行列,中國廣告協會也曾聲明,CAID技術具有「匿名化、不蒐集隱私數據、加密結果不可逆」等防護措施。

中國信通院隸屬中國國務院的工業和信息化部,為官方單位,COVID-19期間,為防疫追蹤中國公民移動軌跡的「行程碼」就由中國信通院發明。中國廣告協會約有1,808家公司參加,其會員多為民營的廣告代理商、外資企業,但名單中也不乏中國共產黨機關報《人民日報》和直屬國務院的《中央廣播電視總台》名下子公司。

雖然軟體開發商植入廣告追蹤碼並非罕事,Apple、Google各自擁有專屬追蹤碼「IDFA」和「GAID/AAID」,兩者無法跨裝置、跨軟體連結資料追蹤;但CAID不一樣,它是由中國官方機構與廣告協會研發的系統,被多家廣告客戶採用,並且同時在「高德地圖」與「百度搜尋」出現同一串明碼。如果有心人要追蹤,利用這一串代碼就可能拼湊出該裝置使用者在百度與高德地圖的使用行為。

此外,雖然IDFA和GAID/AAID能讀取裝置的使用行為,然而IDFA預設關閉,唯有使用者同意才會開始蒐集廣告資料;GAID雖預設開啟,不過GAID和IDFA兩者皆可隨時關閉、重置ID,避免使用者遭辨認。我們在高德地圖上發現的「CAID」卻是未經使用者同意直接埋入追蹤碼,更難以手動移除。

至於讀取到的資料能否分享給第三方,兩科技巨頭Apple與Google的隱私政策都明訂,不開放跨軟體共享追蹤資料。

以Google為例,其隱私權政策說明「我們可公開不含身分識別內容的資訊,或是將這類資訊提供給合作夥伴,」使用者可以查看、管理第三方名單。Google也宣稱,他們「不會」與廣告客戶分享個人識別資訊,除非使用者「主動要求分享」。

但根據「高德地圖基本功能隱私政策(境外版)」條文,高德地圖基於提供服務、安全保障和其他目的,可能需要向位於中國、使用者所在地的「關聯公司、服務提供商和合作夥伴傳輸您的個人信息」,意即「可能」向第三方提供使用者的姓名、手機號碼、身分、位置、與生活相關的瀏覽紀錄。

兩者最大差異在於,Google預設「不主動」向第三方分享,可隨時關閉;高德地圖預設可向第三方分享。此外,Google地圖和導航王3D回傳的位置封包都未包含固定追蹤碼,即使高德地圖隱私政策也記載,使用資料前將進行去識別化處理,不過其封包每3秒上傳一次,幾乎能完整拼湊出使用者的移動路徑,CAID則可以進一步追蹤消費者行為,若將兩者重疊,使用者身分遭辨認的風險較高。

開發導航王系列軟體的台灣地圖廠商、勤崴國際科技副總經理林映帆也說明,路況預測只需在同一地點有複數訊號回傳資料庫即可,每次上傳資料都是隨機亂碼,「第一次和第二次上傳,後台無法辨認來自同一支手機,」她強調,計算路況只需要確認多少車正在現場,「我根本不必知道是哪一個人上傳。」

從商用代碼到政府監管,中國法律對企業的國安要求

「所有商業軟體都有建構資料庫的需求,分析使用者行為模式就是他們的利益所在,」國防安全研究所副研究員曾怡碩指出,導航軟體必須不斷更新車況、道路狀況,因此「愈多人用,愈好用」。此時如何保護資料,以及「誰」有權取用資料庫?成了最重要癥結點。

曾怡碩長年研究中國對內的數位監控、對外的資訊作戰,他強調「企業擁有資料」不等於「政府『持續』監看所有資料」,即使高德地圖尚未傳出任何實質的資安疑慮,但是中國多部法律賦予政府取用民間資料的權限,更成為監管企業的工具,「當他們(共產黨)想看的時候,就可以看。」

CAID雖是商用代碼,但根據中國《國家情報法》第7條規定,「任何組織和公民都應當依法支持、協助和配合國家情報工作。」同法第14條也提到,國家情報機構可以要求「機關、組織和公民提供必要的支持、協助和配合。」這兩項條文將「配合」定義為所有中國人民的義務。

中國《數據安全法》第2條,又將中國境外發生,但與中國企業相關的資料使用行為都納入管轄範圍,只要損害中國「國家安全、公共利益或者公民、組織合法權益」,都可依法追究。同法第35條還再次強調:「因維護國家安全或偵查犯罪需要調取數據時,有關組織、個人應當予以配合。」

類似條文也在中國《網路安全法》中出現。該法雖規定了企業不得濫用民眾隱私,被視為進步立法,但在第13條仍規範「不得利用網絡從事煽動分裂國家、破壞國家統一」;第30條更明訂,網路營運者應為公安機關、國家安全機關「依法維護國家安全活動提供技術支持和協助」。

中國即將在2026年7月1日施行的《民族團結進步促進法》,第31條*也有相關規定。這些法律可能如何運作?適用範圍是否包含已向海外發展的中國企業?

第31條*:國家支持利用互聯網、大數據、人工智能等現代技術手段開展交流活動,鼓勵和引導網絡產品、服務的提供者製作、傳播體現中華民族大團結的作品和信息,營造有利於鑄牢中華民族共同體意識的和諧網絡環境。任何組織和個人不得以文字、圖片和音視頻等方式,制作和傳播含有民族仇恨、民族歧視等破壞民族團結進步內容的信息。

網絡運營者應當加強對其用戶發布的信息的管理,發現含有前款規定的破壞民族團結進步內容的信息的,應當依法立即停止傳輸該信息,採取消除等處置措施,防止信息擴散,保存有關紀錄,並向有關主管部門報告。

長期研究科技與人權關係的加拿大多倫多大學公民實驗室(Citizen Lab)便指出,使用非中國手機門號註冊會員的WeChat*用戶若在中國境外分享政治敏感圖文,資料仍會傳進中國伺服器進行記錄,甚至被用來訓練監控系統,用以審查中國境內用戶。

WeChat*:WeChat和微信是由中國騰訊集團旗下不同公司所營運的產品,但有提供部分的互聯和互通服務。一般區分WeChat和微信用戶的方法是取決於綁定的手機號碼,微信用戶是使用中國大陸地區區號(+86)的手機號碼,而WeChat用戶則使用其他區號號碼。

中國對科技業的強硬監管還有一例。2021年6月30日,中國最大的預約計程車平台「滴滴出行」在美國紐約證券交易所上市,短短2天後,就被中國政府因「防範國家資料安全風險,維護國家安全,保障公共利益」為由喊停,並依《國家安全法》和《網路安全法》相關條文,對滴滴出行進行審查。

又過了2天,中國政府迅速公告滴滴出行「嚴重違法收集個資」,要求所有平台下架它們的叫車軟體。滴滴出行在年底宣布從紐約證交所退市,該季營收虧損300億人民幣(約新台幣1,365億元),隔年還被中國政府開罰80.26億元人民幣(約新台幣365億元)。

從個資到國安情報:交通位置數據的戰略價值

列舉封包監測結果、法源依據後,專家們雖無法斷言高德地圖一定有國安風險,也尚無證據顯示高德地圖曾經侵害個資,但假設任何一款軟體可描繪出特定使用者路徑,將對國家安全造成何種影響?今年3月法國《世界報》(Le Monde)便刊登一則獨家新聞,某法國海軍士兵在「戴高樂號」航空母艦甲板上慢跑時,因為忘記把健身軟體定位設為「非公開」,因此洩漏艦隊在地中海靠近阿拉伯地區一側時的航跡。

2022年俄羅斯入侵烏克蘭後,Google為了避免俄軍鎖定烏克蘭境內的人潮聚集處,藉此推斷烏方難民、軍隊走向,也主動關閉烏克蘭境外使用者上Google地圖查看即時路況。

若使用者路徑再搭配更多資料,甚至被分析出行為模式,今年初爆發的美國─伊朗戰爭更有慘痛前例,伊朗最高領袖阿里.哈米尼(Ali Khamenei)在戰爭剛開始便遭空襲身亡,正是其行跡遭美國、以色列聯軍鎖定。

哈米尼擁有多個藏身所,出入為最高機密,美以兩國的情報機構同時結合了伊朗首都德黑蘭的監視器數據、衛星與無人機空照圖、伊朗高層的座車移動紀錄,計算出哈米尼在2月28日上午將難得離開地下堡壘,美以才決定突襲開戰。

軍事作家李志德長期研究中國對台灣進行的情報滲透、灰色地帶襲擾,近期出版《海鯤破浪》一書揭露台灣的潛艦發展史。(攝影/許詩愷)

「導航很好用,導航有國安風險,這兩件事其實同時存在,」資深政治記者、軍事作家李志德強調,大眾使用數位產品時,只要信用卡資料、銀行密碼未外洩,通常不會太在意資安問題,然而用戶一開啟高德地圖,便是隨時替它修正圖資。

針對圖資的可能風險,台灣不像韓國明訂《國家空間資訊基本法》統一規範與國安相關的測繪行為。據了解,若政府希望向地圖商、導航服務商申請對特定地點進行模糊處理,都是各單位依各自需求辦理,例如軍事機關就由國防部參謀本部情報參謀次長室(簡稱情次室)負責。

又基於中國各項法源在先,李志德主張,若高德地圖能準確辨認台灣巷弄與使用者輪廓,可能讓中國對台進行「灰色地帶襲擾」的難度下降,藉此鎖定政府官員行程,或趁關鍵基礎設施周遭固定塞車,軍警消難以增援的時段進行破壞。

「假設某營區門口的一支紅綠燈總是在特定時間改變秒數,是否就有辦法計算將領的進出規律?」李志德舉例,若兩岸進入戰爭狀態,解放軍士兵可在登陸後靠著長期校正過的圖資規劃路線。他認為:「每一個人只要無意間(替中國)貢獻一點點資訊,這些資訊被集合起來以後,就會事關重大。」

李志德更提及,解放軍的軍用地圖也可能靠著高德地圖回傳的資料進行修正。不過前陸軍航空特戰指揮部副指揮官、退役少將郭力升有不同意見,他認為,軍用地圖和民用地圖的格式差異太大,軍用地圖會以專用座標標定攻擊目標,再加上等高線、橋梁承重、隧道高度、河水深度等資訊,力求清楚明瞭,這些細節仍需要現場勘查,衛星和導航無法直接完成測繪。

但郭力升也提醒,「無法預測中國情報人員會如何分析資料,」對方可能從各類公開數據進行推算,例如政府工程招標的規格內容,就可能包含建物的承重數據。由於高德地圖仍是民用導航軟體*,政府無權限制大眾的使用自由,因此郭力升建議:「保持戒心,但不要因此驚慌。」

民用導航軟體*:高德地圖是由中國網路巨頭阿里巴巴集團全資擁有的高德軟體有限公司開發。

落後16年的《個資法》如何形成數位主權真空?

今年4月23日,數發部宣布高德地圖屬於「危害國家資通安全產品」,已依《資通安全管理法》禁止公務機關使用,然而該法僅規範政府機關和關鍵基礎設施,無權限制民眾。於是避免高德地圖「蒐集」個資並「跨境」傳入中國伺服器的相關法源,仍得回歸《個人資料保護法》辦理。

中央研究院法律所研究員、智財技轉處處長邱文聰強調,與高德地圖相關的爭議,凸顯台灣對「資料主權」的保護十分不足。邱文聰說明,當個人隱私成為跨國科技公司亟欲蒐集的資料,還可能進一步牽涉國家安全時,如何確保數位領域的防衛手段,並杜絕中國軟體對台灣造成灰色地帶侵擾,甚至濫傳假訊息,將是未來的隱形國安戰場。

中央研究院法律所研究員、智財技轉處處長邱文聰強調,現行《個人資料保護法》已有機會杜絕中國製軟體傳輸資料回中國伺服器境內的風險,端看行政、司法機關是否積極防範。(攝影/許詩愷)

邱文聰援引「個資籌法字第1140000636號」函釋主張,未在台設立分公司、子公司的境外企業只要在我國境內有蒐集個人資料的行為,且後續的處理與利用若發生在境外,都屬於「跨境傳輸」,主管機關若認定有必要性,即可動用《個資法》第21條處理。

根據《個資法》第21條,凡是涉及國家重大利益,或者接受國對個資保護不夠完善、以迂迴方法向第三國(地區)傳輸資料,主管機關都有權限制。

另一項關鍵條文則是第51條,條文明訂公務機關及非公務機關,若在中華民國領域外針對國人蒐集個人資料,亦受《個資法》管轄。不過資策會科技法律研究所跨域整合中心組長王德瀛指出,本條文預設的適用對象是「我國公務機關及非公務機關」,目前高德地圖並未在台灣落地設立子公司,所有傳輸都是在境外的中國伺服器進行,因此依法難以觸及。

《個資法》自2010年立法,從未經歷大修,王德瀛表示,當年社群媒體才剛起步,連生成式AI都不存在,「科技在這16年內爆炸式成長,許多立法當下從未預設的情境,目前都發生了,」它急需修訂,並盡快成立「個人資料保護委員會」對台灣的數位主權提供防線。

從抖音、小紅書到高德地圖,不少中國製軟體在功能上確有獨到之處,吸引大量使用者支持。王德瀛指出,關鍵仍是深化全民認識數位隱私,否則每一款中國製軟體引發的論戰,背後差異往往只是兩派民眾「對個資價值的判斷方式、對風險的接受性不同」。

一般民眾的價值判斷,或許只需考慮便利或資安,那麼數據在中國國家主席習近平眼中又有何價值?習近平曾在2013年視察中國科學院時直言:「大數據是工業社會的『自由』資源,誰掌握了數據,誰就掌握了主動權。」

中國政府每5年提出一期「五年規劃」,2016年習近平主導「第十三個五年規劃」(簡稱十三五),當時提倡打造紅色供應鏈的「中國製造2025」和軍隊改革等命令,目前已深刻影響國際局勢。

而「十三五」正式上路後,中國官方媒體紛紛撰文闡述習近平的各項未來大戰略,在〈國家大數據戰略〉專文的最後一段開頭,他們如此定義:

「大數據是每個人的大數據,是每個企業的大數據,更是整個國家的大數據。」

查看原始文章

更多國內相關文章

01

台北父子檔「同日猝逝」 兒子剛走...老爸陳屍陽台

EBC 東森新聞
02

開15年爛車狂賴22萬!不理催繳人間蒸發 查封祖產地她急跪求

三立新聞網
03

疑偷吃20多歲女警!台中已婚所長遭火速拔官

自由電子報
04

巴威才走…4女大生衝五峰「騎車露營」遇午後暴雨 大水沖走頭卡護欄1死

三立新聞網
05

蝦仁煎沒蛋! 店家補救「加1顆荷包蛋」引網友熱議

華視新聞
06

下班回家變涉水求生!雲林豪雨淹爆 網友直呼:只能用牽的

上報
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...