國家通訊傳播委員會6日晚間表示，接獲刑事警察局情資，發現台灣大哥大電信公司所販售的AMAZING A32手機製程中被暗中植入惡意程式，民眾購買、使用手機時，詐騙集團可利用該手機門號向遊戲公司申請遊戲帳號，不知情的手機使用者可能變成詐騙集團的人頭。

根據台灣大哥大內部資料，「Amazing A32」是在2018年4月上市，已經在2020年7月下市。該款手機包含使用中、尚未售出、已淘汰或未使用者，共9萬多支；截至2020年12月20日止，使用該款手機的台灣大哥大用戶約7,600人。NCC先前有受理5件相關消費者申訴。台灣大表示，基於偵查不公開，無法提前告知大眾，但已提前以客服電話通知部分手機用戶，協助軟體升級或更換其他手機的手機門號，至少1,337個。台灣大哥大新聞稿指出，「Amazing A32」手機為授權台灣廠商「力平國際」使用Amazing商標，委由中國廠商製造的手機。

目前台灣大哥大公司宣布：全面召回Amazing A32手機進行安全性軟體升級，民眾可至該公司官網下載更新程式，或即起可至台灣大各直營門市（1月8日後加盟門市也可辦理），由專人進行系統更新；同時也提出回收方案，民眾改辦其他手機方案可折抵1千元，並額外提供帳單金額折抵1千元。

5G時代來臨  手機資安檢測卻非強制性

據報載，本次發生問題的Amazing A32被植入惡意程式位置，位於儲存原始系統的手機韌體，重置手機無法移除，且手機權限未被「解鎖」，研判屬於手機出廠前製程問題。

目前政府針對智慧型手機的資安檢測採取分工形式，屬於手機與電腦之應用軟體（包含LINE）基本資安規範由經濟部主管，手機及出廠時已內建的軟體併同硬體由國家通訊傳播委員會(下稱通傳會)主管。針對後者檢測，2017年3月通傳會公告「內建軟體資通安全檢測技術規範」，次月啟動智慧型手機系統內建軟體 (Embedded Software on Smartphone Systems, ESS)資安標準與認證機制，惟該認證並非具有強制性，而是由手機製造商自主或委託送測。

雖然手機系統內建軟體資安機制並非具有強制性，本會認為，手機製造商應對販售商品負起自主或委託送驗的企業責任，確保產品品質符合《消保法》第7條規範，從事設計、生產、製造商品或提供服務之企業經營者，於提供商品流通進入市場，或提供服務時，應確保該商品或服務，符合當時科技或專業水準可合理期待之安全性。

從本次事件可以得知，政府不僅對於手機資安防護措施要求嚴重不足，電信終端設備甚未納入資安檢測的強制規範，呼籲主管機關應當儘速檢討加強資安管理的強度，確保5G時代消費者電信消費的品質保障。

資安機制抽測

應顧及全面性及完整性

    因應本次事件，通傳會將對大陸白牌手機採行兩項應處措施，包含一、「行動業者自有品牌手機在大陸製造者，須符合資安標準才可販售」：要求行動通信業者自有品牌手機在申請手機硬體型式認證時，應提出符合台灣資通產業標準協會（TAICS）發布之「智慧型手機系統內建軟體資安標準」佐證，亦須針對該款手機一旦發生內建軟體資安事件切結補救措施，並確實揭露資訊供用戶了解。二、「大陸品牌手機、行動業者自有品牌陸製手機將納入年度抽測標的」：年度手機資安抽測將納入大陸品牌手機、行動業者自有品牌陸製手機，抽測結果不符合產業資安標準者，將要求手機製造商或業者儘速改善。

本會認為，針對行動業者自有品牌手機在大陸製造者，也就是行動業者日後上市的陸製手機，除須符合資安標準才可販售，主管機關除應嚴格監督業者切實符合TAICS資安水準要求，此外，也應確保本項措施為強制性質，嚴格要求業者履行。

再者，針對已在市面上流通的大陸品牌手機及行動業者自有品牌陸製手機，應進行全面性及完整性的資安機制抽測，以強化主管機關處置措施的強度。因根據通傳會官網顯示，2019年5月8日曾對10款市售手機進行「手機內建軟體資安抽測」，依照該次抽測規劃與結果顯示，抽樣的手機選擇以市售占有率較高的手機作為標的，貼牌手機恐怕缺乏明確機制，可進入抽測程序。本會呼籲政府應重視手機內建軟體資安抽測機制，確保抽測之市售手機的全面性與完整性，不要有漏網之魚。

消費者損害及賠償 電信公司應負完全責任

而對於業者僅僅召回Amazing A32手機進行安全性軟體升級，同時也提出回收方案，民眾改辦其他手機方案可折抵1千元，並額外提供帳單金額折抵1千元的補償措施，消基會甚不認同。因為依據《個人資料保護法》第四章「損害賠償及團體訴訟」第28條規定：「………被害人雖非財產上之損害，亦得請求賠償相當之金額；其名譽被侵害者，並得請求為回復名譽之適當處分。依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣500元以上2萬元以下計算。對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害賠償者，其合計最高總額以新臺幣2億元為限。但因該原因事實所涉利益超過新臺幣2億元者，以該所涉利益為限。同一原因事實造成之損害總額逾前項金額時，被害人所受賠償金額，不受第三項所定每人每一事件最低賠償金額新臺幣500元之限制。第二項請求權，不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者，不在此限。」。

以及第29條規定：「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。依前項規定請求賠償者，適用前條第二項至第六項規定。」

因此，如果消費者難以證明損害，業者應該賠償每個消費者500以上2萬元以下的非財產上損害賠償，方為正理；絕非業者片面宣布：民眾改辦其他手機方案可折抵1千元，並額外提供帳單金額折抵1千元之方案。

消基會表示，倘若這段時間消費者另換電信公司，豈不是失去求償機會？本會要求電信公司應對受影響的消費者損失及賠償，負起完全責任。

針對手上仍持有Amazing A32手機的消費者用戶，如近期收到疑似異常的使用跡象，如電話費用暴增或被收取不明款項等，請保存相關證據，儘速向台灣大哥大、各縣市消保官以及消基會申訴。

兩岸消保團體合作 共同打擊犯罪

    台灣電信公司推出自有品牌手機委由大陸廠商製造已屬常見，本次事件當中，消費者首當其衝、深受其害，台灣大哥大自有品牌手機的品質管控能力備受質疑，良好商譽也受到波及，始作俑者的大陸手機製造商卻仍舊逍遙法外，躲避應有的罰則，為避免類似事件再度發生，消基會將尋求合作夥伴─中國消費者協會的積極協助，請中國大陸主管機關儘速採取有效性的稽查和管理措施，以遏止不良廠商的違法行徑，保障兩岸廣大手機用戶的使用安全，維持兩岸業者商誼與兩岸人民的情誼。

呼籲

消基會指出，針對該起資安事件，呼籲應儘速訂定資安認證機制，以保障消費者免受個資外洩，損及財產和身家安全之慮。

• 一、電信業者應善盡企業基本責任，販售手機商品不應存有資安疑慮，呼籲各界建立社會共識。

• 二、本事件，凸顯貼牌手機資安把關不足的重大問題，也顯示部分企業經營者對於貼牌手機品質管理不一的經營態度，呼籲業者應對品牌販售的全品項產品，負起完全責任，產品品質要求不分貼牌與否而有差異性，才能保障消費者權益，善盡企業責任。

• 三、台灣大哥大貼牌手機資安外洩案件，對消費者造成的損失，業者應負起完全責任，沒有推拖餘地。為確保該業者販售之手機不再發生類似事件，不論貼牌或者自製產品，皆應提出資安維護計畫並落實進度，提供確保性的安全服務，挽回消費者的信心與信賴。

• 四、呼籲國內四家電信業者，應同步採取上述預防措施，避免再度爆發類似事件，戕害消費者權益。

• 五，'事件發生至今，主管機關是否確實掌控案件，進行完整的緊急處置與預防工作，呼籲主管機關應監督台灣大哥大負起消費者損失及賠償完全責任，履行資安檢測規劃與落實自主檢驗，且切實符合TAICS資安水準要求，監督才能收效。

• 六、本次事件，令台灣消費者受到傷害，亦波及台灣電信業者商譽，為避免類似事件再度發生，消基會將透過合作夥伴中國消費者協會的協助，呼籲大陸主管機關能採取有效的稽查與管理措施，以維持兩岸業者商誼跟兩岸人民的情誼。

財團法人中華民國消費者文教基金會