中国"高德地图"跨境定位风险:每3秒回传位置信息

今年4月底，中国导航软件“高德地图”因功能齐全在台湾迅速走红，并快速冲上下载排行榜。有网友认为，它的导航体验甚至优于谷歌地图。然而，在精准与便利的背后，高德究竟收集了用户多少数据？台湾国安局与数字发展部先后发出警告，指出该软件存在多项风险行为，例如索取与核心功能无关的权限，以及在关闭状态下依然对外传输数据等。这引发了各界对其过度收集用户个人信息的强烈质疑。

台湾调查媒体《报道者》以相同系统、相同路线以及相同网络环境下，同步测试了高德地图、谷歌地图和导航王三款应用程序。结果发现，高德地图平均每3秒就会向中国大陆境内的服务器回传一次数据，其数据包中更出现了可用于追踪和识别设备的固定代码。更关键的是，这些数据包内暗藏了由中国官方机构参与研发的“CAID”设备指纹代码；这是一串能够强制绑定手机并规避iOS等操作系统隐私规范的明码，具备跨App拼凑用户数字足迹与身份细节的潜在能力。

尽管目前尚无高德地图直接滥用个人信息的确切证据，但真正的威胁源于中国的法律体制。中国的《国家情报法》、《数据安全法》与《网络安全法》等法规，明文强制要求企业与公民必须配合国家安全情报工作。这意味着，即便高德地图宣称数据仅用于商业路况分析，中国政府仍拥有随时调阅这些庞大数据的绝对权限，能够随时将商业数据库转化为国家级的监控工具。

高德地图的争议，凸显了台湾在保护数据主权方面防线的脆弱。由于该软件在台湾未设立分公司，现行已落后于科技发展16年且未经大修的台湾《个人资料保护法》，难以对其“跨境传输”行为进行有效管辖与限制。面对中国将大数据视为重要战略资源的野心，专家呼吁台湾亟需加速修法，并尽快成立专责的个人信息保护机构，填补这一块的空白。

以下为文章内容节选

我们从位于台北市中山区的《报道者》办公室出发，沿着中山北路右转北安路，目的地即是国防部外围，接着跨过基隆河，绕行松山机场、松山指挥部一圈，再往南移动，路过大安区基信营区、法务部调查局的台北市调查处、公馆蟾蜍山脚下的空军作战指挥部，最后前往我国行政中枢“博爱特区”。

三支格式化的空白iPhone手机分别安装了高德地图、Google地图以及国产软体导航王3D，我们同时设置一台笔记型电脑作为中继站，让三款软体向伺服器回传资料前，都必须被电脑中的分析工具记录连线频率、流量与封包信息。从数据可见，高德地图平均每3秒就进行一次资料上传，Google地图约30秒、导航王3D则是22分钟一次。

近90分钟车程，我们全程未靠近任何禁制区，只透过一般道路移动，以Google地图可查询的多个行政单位正门为目标，然而它们在高德地图上都查无此地；唯一例外是总统府，它在高德地图上用简体字写着“台湾地区领导人办公场所”。

进一步细看封包内容，搜集类似数据的三款软体中，Google地图和导航王3D仅上传必要的GPS位置至台湾、日本或新加坡伺服器；高德地图则上传包含位置、气压计、方向等所有资料，并且连线目标无一例外，全是位于中国杭州、上海、南京等地的“阿里云”伺服器。

而在高德地图的封包中，我们发现一串名为“CAID”的固定代码，它绑定手机出现，即使移除高德地图再重新安装，这串CAID代码在本次测试条件下依旧维持不变，只有在装置格式化之后才会产生新的CAID。这种绕过作业系统隐私规范、强行辨识一支手机的技术称为“装置指纹”（Device fingerprint），受到Google和Apple两大平台方严格约束。

为了实验CAID是否形成跨App追踪，我们接续多次格式化三支手机，同时安装高德地图、百度搜寻与淘宝，并用相同方式抓取封包，分析上传资料中是否出现相同的CAID；结果从“百度搜寻”封包中解析出完全相同的一串代码──这可能意味着，若有心人士希望从后台透过这串共同代码，追踪使用者在不同软体上的数位足迹，拼凑出该名使用者的身分和生活细节，这些行为在技术层面“理论上”可行，但《报道者》目前未有证据显示两者曾经串接。

CAID虽是商用代码，但根据中国《国家情报法》第7条规定，“任何组织和公民都应当依法支持、协助和配合国家情报工作。”同法第14条也提到，国家情报机构可以要求“机关、组织和公民提供必要的支持、协助和配合。”这两项条文将“配合”定义为所有中国人民的义务。

中国《数据安全法》第2条，又将中国境外发生，但与中国企业相关的资料使用行为都纳入管辖范围，只要损害中国“国家安全、公共利益或者公民、组织合法权益”，都可依法追究。同法第35条还再次强调：“因维护国家安全或侦查犯罪需要调取数据时，有关组织、个人应当予以配合。”

类似条文也在中国《网络安全法》中出现。该法虽规定了企业不得滥用民众隐私，被视为进步立法，但在第13条仍规范“不得利用网络从事煽动分裂国家、破坏国家统一”；第30条更明订，网络营运者应为公安机关、国家安全机关“依法维护国家安全活动提供技术支持和协助”。

中国即将在2026年7月1日施行的《民族团结进步促进法》，第31条也有相关规定。这些法律可能如何运作？适用范围是否包含已向海外发展的中国企业？长期研究科技与人权关系的加拿大多伦多大学公民实验室（Citizen Lab）便指出，使用非中国手机门号注册会员的WeChat用户若在中国境外分享政治敏感图文，资料仍会传进中国伺服器进行记录，甚至被用来训练监控系统，用以审查中国境内用户。