eSIM 數據安全與私隱:你需要了解的事
了解你的 eSIM 及電訊商能存取哪些數據、安全元件如何保護你的憑證、電訊商私隱政策的實際意義,以及香港 eSIM 用戶保護私隱的方法。
了解你的 eSIM 及電訊商能存取哪些數據、安全元件如何保護你的憑證、電訊商私隱政策的實際意義,以及香港 eSIM 用戶保護私隱的方法。
就電訊商對行動使用情況的可見度而言,eSIM ↗ 與實體 SIM 完全相同——不多也不少。電訊商可以看到你行動使用情況的後設資料:你的裝置連接到哪些基站(揭示你全天的大致位置)、通話的撥出及接聽時間(通話詳細記錄,包括通話時長及被叫號碼)、數據使用量及時間,以及短訊後設資料(發送/接收時間及號碼,但大多數電訊商無法看到短訊內容)。這些後設資料收集無論你使用 eSIM 還是實體 SIM 均相同——SIM 卡類型不會改變電訊商與用戶的基本關係,也不會改變電訊商為計費、網絡管理及監管合規目的所收集的數據。
你的電訊商無法看到你透過行動數據連線進行的加密通訊內容——如果你使用 WhatsApp、Signal、iMessage 或任何其他端對端加密通訊應用程式,電訊商只能看到你的裝置與互聯網之間有數據傳輸,而無法看到訊息內容。同樣,HTTPS 網頁流量在傳輸層進行加密,電訊商無法讀取你瀏覽的網頁內容,但可以觀察你的裝置連接到哪些 IP 地址(這揭示了你使用的服務)。對於希望進一步防止電訊商看到 IP 層後設資料的用戶,VPN 可以將所有流量路由至 VPN 伺服器,代價是將瀏覽目的地的可見度轉移至 VPN 供應商。
eSIM 引入了實體 SIM 沒有的一個額外數據點:eSIM 配置事件記錄。當你下載或更新 eSIM 設定檔時,電訊商的 SM-DP+ 伺服器會記錄裝置 EID、配置事件的時間,以及發起下載的 IP 地址。此配置後設資料由電訊商以操作和防詐騙為目的保存。根據香港《個人資料(私隱)條例》(PDPO),電訊商必須按照 PDPO 資料保護原則處理這些數據,並向用戶公開其數據保留及使用政策。PDPO 賦予香港居民要求查閱電訊商所持個人資料,以及要求更正不準確資料的權利。
你的 eSIM ↗ 憑證安全取決於儲存它們的硬件安全元件。安全元件——亦稱 eUICC(嵌入式通用積體電路卡)——是一個專用微控制器晶片,與裝置的主應用處理器實體分離,設計上具備防篡改特性。在 iPhone 上,eSIM 安全元件整合於保護 Face ID 生物特徵數據及 Apple Pay 支付憑證的相同安全隔離區(Secure Enclave)架構中——Apple 專門為高價值憑證保護設計此硬件元件。在 Samsung Galaxy 裝置上,eSIM 安全元件是通過通用準則 EAL(評估保證等級)標準認證的 Samsung 安全架構的一部分。
安全元件運行一個隔離的執行環境——在主操作系統(iOS、Android 及所有應用程式,包括惡意程式)中運行的代碼無法直接存取安全元件的記憶體空間。即使你的裝置受到惡意軟件侵害,惡意軟件也無法從安全元件提取 eSIM 認證密鑰,因為這些密鑰從不暴露於主作業系統的地址空間——所有加密操作在安全元件內部進行,只有結果(認證回應)才返回至作業系統。這種架構隔離是 eSIM 複製攻擊需要對晶片進行實體硬件攻擊而非軟件提取的原因,使 eSIM 憑證對行動惡意軟件的抵抗力遠強於儲存在裝置記憶體中的其他類型敏感數據。
GSMA ↗ RSP 規範要求所有 eSIM 設定檔配置操作必須使用 GSMA PKI(公鑰基礎設施)中的憑證進行授權。這意味著設定檔只能從持有 GSMA 根 CA 簽署的有效憑證的電訊商 SM-DP+ 伺服器下載至你的 eSIM。惡意行為者無法在未獲得 GSMA 簽署憑證的情況下向你的裝置推送未授權的 eSIM 設定檔——這一要求將此能力限制於已完成 GSMA 認證流程的合法電訊商及 MVNO 運營商。加上裝置要求用戶透過裝置介面明確授權 eSIM 下載,端對端的 eSIM 配置安全架構為防止未授權設定檔安裝提供了強大保障。
國際旅遊 eSIM 供應商——Airalo、Holafly、Saily、Roamless——在數據收集和私隱管轄方面與本地香港電訊商的運作方式不同。當你在 Airalo(於新加坡註冊)購買旅遊 eSIM 時,購買交易會與 Airalo 建立帳戶關係,包括你的電郵地址、裝置 EID、付款信息及使用記錄。Airalo 的私隱政策受新加坡《個人資料保護法》(PDPA)及歐盟用戶的 GDPR 管轄,提供有結構的數據保護框架。大多數信譽良好的國際旅遊 eSIM 供應商不會將個人數據出售給第三方,主要將收集的數據用於服務提供、客戶支援及防詐騙目的。
目的地國家的網絡合作夥伴也會收集使用後設資料——你的裝置連接到本地電訊商的網絡(日本的 NTT Docomo、法國的 Orange、美國的 T-Mobile),該電訊商的系統會記錄連線事件。目的地網絡合作夥伴收集的數據受該國數據保護法律規管——日本的《個人信息保護法》(APPI)、歐盟的 GDPR,或各自的美國私隱法規。對於大多數旅遊使用場景,這些後設資料在功能上與國內電訊商收集的內容相同,不是重大的私隱問題。然而,有較高私隱需求的用戶(記者、研究人員、社會活動人士)在選擇旅遊 eSIM 供應商時,應考慮目的地國家的數據保護標準是否符合其要求。
你裝置的 EID(eUICC ↗ 識別碼)是一個唯一的持久識別碼,在 eSIM 配置事件和網絡連線時傳輸。與代表實體裝置的 IMEI 不同,EID 特指 eSIM 硬件。從私隱角度看,EID 是一個半持久的追蹤識別碼——你連接的每個 eSIM 供應商和電訊商都可以將你的 EID 與你的帳戶關聯。對大多數用戶而言,這不是問題,因為 EID 對私隱的敏感程度不高於行動網絡必然使用的其他裝置識別碼。擔心跨多個 eSIM 供應商進行 EID 追蹤的用戶應注意,EID 在功能上是不可更改的——與電話號碼可以更改不同,它無法變更或匿名化。
保護 eSIM 安全首先要保護你的電訊商帳戶。你的 eSIM 設定檔與電訊商帳戶關聯,任何能存取你電訊商帳戶的人都可能發起 eSIM 轉移——將你的號碼下載至其控制的裝置(即 SIM 轉換攻擊)。請使用未在其他地方重複使用的強密碼保護電訊商帳戶,並使用驗證器應用程式而非短訊開啟帳戶雙重驗證。新增電訊商帳戶 PIN 或口頭密碼,任何 SIM 相關變更前必須提供驗證——香港四大主要電訊商(3HK、CMHK、SmarTone、csl)均支援此帳戶安全功能。請以與銀行登入相同的安全嚴謹程度對待電訊商帳戶。
對於儲存在裝置上的 eSIM 憑證數據,最重要的保護是裝置鎖定畫面的 PIN、密碼或生物特徵驗證。儲存 eSIM 憑證的安全元件受裝置層面的安全保護——沒有鎖定畫面或只有弱 4 位數 PIN 的裝置是重大的安全漏洞。使用 Face ID(iPhone)或指紋驗證(Android)作為主要解鎖方式,並以強英數字元密碼(6 位元以上,而非簡單圖案)作後備。啟用裝置加密——這是現代 iOS 及 Android 裝置的預設設定,但在 Android 的「設定」>「安全」中加以確認。透過「尋找我的 iPhone」(iPhone)或「尋找我的裝置」(Android/Samsung)啟用遠端清除功能,確保裝置遺失時可遠端清除你的數據和 eSIM 憑證。
對於旅遊 eSIM 私隱,請從具有透明私隱政策的信譽良好供應商購買旅遊 eSIM,而非提供異常低價的不知名供應商。私隱披露不透明的廉價旅遊 eSIM 供應商更有可能以用戶數據作為次要收入來源。請選用已確立的供應商——Airalo、Holafly、Saily、Roamless——其私隱實踐公開透明,可核實,並受到既定監管框架約束。旅程結束後,從裝置中刪除不再需要的旅遊 eSIM 設定檔,保持整潔的裝置管理。
