中國導航軟體「高德地圖」到底蒐集了多少資料?《報導者》組成數據團隊,以三支重置過的 iPhone 同步實測高德地圖、Google 地圖與本土的導航王 3D,發現高德地圖平均每 3 秒就把使用者定位連同氣壓計、陀螺儀等手機感測器資料回傳到中國阿里雲伺服器,頻率遠高於對手,封包中還埋有一組重灌也刪不掉的追蹤碼 CAID。本文所有實測數據與發現皆出自《報導者》獨家調查。
(前情提要:報導者/中國「高德地圖」跨境定位風險:每 3 秒回傳位置資訊、暗藏可追溯使用者代碼)
(背景補充:報導者/從台北街頭到中國伺服器,《報導者》實測「高德地圖」如何蒐集使用者資料)
重點摘要
- 《報導者》獨家實測:高德地圖平均每 3 秒回傳一次定位,Google 地圖約 5 分鐘、導航王 3D 約 22 分鐘一次。
- 高德把 GPS 連同氣壓計、陀螺儀等感測器資料送往中國阿里雲,全程側錄 8,713 次請求、高德獨佔 4,130 次。
- 封包暗藏中國官方追蹤碼 CAID,重灌不變、百度搜尋出現同一組碼,可跨 App 追蹤同一名使用者。
中國號稱國民級導航軟體「高德地圖」每天替數億人指路,但它在背景默默蒐集了多少資料、又把這些資料送去哪裡?《報導者》組成數據團隊,用三支重置格式化的 iPhone,分別安裝高德地圖、Google 地圖與本土的導航王 3D,在同一條台北市路線上同步實測,獨家拆解出結論,高德地圖回傳資料的頻率與內容,遠遠超過導航本身需要的程度。
實測方法:三支手機、解開加密封包、繞行國安區域
據《報導者》揭露(報導二),團隊以開源流量分析工具 mitmproxy 架設代理伺服器,並在手機安裝 SSL 憑證,才得以解開原本被 HTTPS 加密的封包內容,看清三款 App 在底層運行什麼程式碼。
該團隊測試路線從台北市中山區的辦公室出發,沿中山北路、北安路繞行國防部、松山機場、松山指揮部、法務部調查局、空軍作戰指揮部外圍,最後抵達總統府,全程約 1 小時 25 分鐘、30.75 公里。
為了讀懂高德地圖的封包,《報導者》工程團隊還反編譯了它的 APK 安裝檔,發現高德採用「Little-endian XXTEA 加密」再加上「Base64 編碼」層層包裹資料。
每 3 秒一次,連氣壓計都送進中國阿里雲
《報導者》實測中最關鍵的數字,是高德地圖平均每 3 秒就上傳一次使用者定位。相較之下,Google 地圖約每 5 分鐘上傳一次(偏離路線時加密到約 25 秒一次),導航王 3D 則幾乎不主動上傳,約 22 分鐘才一次。整趟下來《報導者》共側錄到 8,713 次請求,其中高德地圖獨佔 4,130 次,Google 地圖 3,454 次,導航王 3D 只有 1,129 次。
更值得注意的是上傳的「內容」。高德地圖每分鐘回傳的不只是 GPS 座標,還包含氣壓計、陀螺儀、環境光感應器、加速度感應器與方向等一整組手機感測器資料,這些數據通常只在本機運算使用,而且全部送往位於中國杭州、上海、南京的阿里雲伺服器。
反觀 Google 地圖與導航王 3D,只上傳必要的 GPS 位置,伺服器分別位於台灣、日本或新加坡。台灣數位安全發展協會理事長劉彥伯向《報導者》直言,這種高頻率上傳「應該不是導航軟體的正常情況」,因為這類運算理應在本機完成。
「即使沒有網路,手機也能感受到我轉彎了、我移動了。」台灣數位安全發展協會理事長劉彥伯向《報導者》表示,導航運算本應在手機本機完成,高德地圖每 3 秒一次的高頻上傳,「應該不是導航軟體的正常情況」。
刪不掉的追蹤碼 CAID
《報導者》在高德地圖的封包裡揪出一組固定代碼「CAID」。團隊測試發現,就算把高德地圖移除再重新安裝,這組 CAID 依然不變,只有把整支手機格式化才會改變;更關鍵的是,他們在百度搜尋的封包裡發現了「同一組」CAID,意味著它可被用來跨 App 追蹤同一名使用者。
《報導者》比對技術文件並諮詢多名工程師後判斷,CAID 全名為「CAA Advertising ID」,是 2021 年由中國信息通信研究院與中國廣告協會共同研發的廣告追蹤碼。簡單說,這是一種「裝置指紋」技術,專門用來繞過 Apple 的隱私規範強行辨識手機,和蘋果的 IDFA、Google 的 GAID 不同的是,CAID 未經使用者同意就被埋進去,而且很難手動移除。報導也提到一個對照細節,同樣使用 CAID 的百度搜尋會事先徵求同意,高德地圖卻沒有。
從個資到國安,專家怎麼看
除了資料量,《報導者》也記錄到一個耐人尋味的細節。全程未靠近任何禁制區,高德地圖卻在總統府、北安路(國防部)、松山機場一帶與基隆路高架橋下上傳得特別密集;同時它查不到多個行政機關的正門,唯獨把總統府標註為簡體的「台湾地区领导人办公场所」。
資深政治記者、軍事作家李志德向《報導者》分析,這類資料可能讓中國對台進行「灰色地帶襲擾」更容易,例如鎖定官員行程,或針對基礎設施周邊下手;退役少將郭力升則認為軍用與民用地圖格式差異大,仍需現場勘查,建議民眾「保持戒心,但不要驚慌」。
中央研究院民族所副研究員李梅君點出更根本的風險,中國企業「無法預測何時會被要求對『黨』效忠」,這種不確定性才是最大的隱憂。
這並不是杞人憂天,中國《國家情報法》《數據安全法》《網路安全法》分別授權政府調用民間資料、把境外數據納入管轄,並要求網路業者為公安機構提供技術支持。
台灣這端,數位發展部早在 2025 年 4 月 23 日就依《資通安全管理法》禁止公務機關使用高德地圖,5 月 27 日公布的檢測報告更指其在 Android 上有 11 種、iOS 上有 8 種資安風險行為。
中研院法律所研究員邱文聰提醒,台灣《個人資料保護法》自 2010 年以來未經大修,高德地圖又未在台設立子公司、資料全在境外傳輸,現行法律幾乎搆不著;資策會科技法律研究所組長王德瀛則呼籲,應盡快成立「個人資料保護委員會」築起數位主權防線。
《報導者》強調,這份獨家實測只能監測手機端送出的流量,無法確認資料進入中國伺服器後被如何使用;但光是「每 3 秒一次、連感測器都送、還埋了一組刪不掉的追蹤碼」這幾項事實,已足以說明政府部門的疑慮並不是空穴來風。對使用者而言,最實際的一句話或許是,你以為只是借它指個路,它記下的可能遠比你想的多。
常見問題
高德地圖到底回傳了哪些資料?
據《報導者》獨家實測,高德地圖平均每 3 秒上傳一次定位,並回傳氣壓計、陀螺儀、加速度計等手機感測器資料到中國杭州、上海、南京的阿里雲伺服器,頻率與內容都遠超過導航所需,整趟側錄到的請求次數也居三款 App 之首。
什麼是 CAID?為什麼難以移除?
CAID 全名 CAA Advertising ID,是 2021 年由中國信息通信研究院與廣告協會研發的廣告追蹤碼,屬「裝置指紋」技術,能繞過 Apple 隱私規範辨識手機。《報導者》發現重灌高德地圖也刪不掉,只有把手機格式化才會改變。
📍相關報導📍
報導者/中國「高德地圖」跨境定位風險:每 3 秒回傳位置資訊、暗藏可追溯使用者代碼
