台人出國愛用境外eSIM!研究驚揭數據偷送中國 出現1狀況就有鬼!
〔即時新聞/綜合報導〕近年出國幾乎所有人都會選擇使用eSIM服務,只需掃描QR Code或手動輸入啟動碼安裝,一下機就能連網,簡單又方便。不過數位媒體經銷商cacaFly聖洋科技執行長邱繼弘示警,當心人在國外使用eSIM,一上網就被中國監控的風險!
邱繼弘今天(10日)在臉書發文,分享美國東北大學(Northeastern University)的研究團隊去年8月在非營利國際學術組織USENIX第34屆年會上發表的論文《eSIM簡單化,還是eSIM化繁為簡?》(eSIMplicity or eSIMplification?)。這份論文是經過「同儕審查」(Peer Review)的學術研究,該團隊買了25家主流旅遊eSIM業者的方案,包括Holafly、Airalo、eSIM Access等等,然後去實測「封包」(Packet,網路通訊中最基本的單位,當用戶傳送照片、訊息或點擊網頁,數據會被拆解成成千上萬個小碎片,這些小碎片就是封包)到底跑去哪裡。
論文報告指出,幾乎所有受測的eSIM,裝置拿到的公網IP都跟使用者實際所在位置對不上。其中最具代表性的就是總部位在愛爾蘭都柏林的Holafly,行銷上完全是歐洲調性,但研究團隊發現使用該品牌的eSIM上網,裝置拿到的IP是「223.118.51.96」,這個IP段屬於China Mobile International Limited,落在香港,「你人在巴黎,封包先繞到香港,由中國移動的國際分公司放你出去。」
邱繼弘接著說,更詭異的是,eSIM Profile(配置檔)安裝完後會自動透過SIM卡工具包(SIM Application Toolkit)指令,靜默地建立連線到新加坡的伺服器、從香港的門號收簡訊,整個過程使用者完全不知情。HTTPS (超文本傳輸安全協定)能保護內容,但流量行為、DNS查詢、連線時序、IP對應關係,這些詮釋資料(Metadata)本身就是高價值情報。所有封包在到達目的地之前,先經過了中國移動的核心網路。
「中國的《網路安全法》和《國家情報法》明定,在中國境內運營的電信業者必須配合國家情報工作。中國移動國際雖然註冊在香港,但香港的法律地位你我都心知肚明。如果到這裡你還覺得『資安問題太抽象、跟我沒關係』,那這個切身的問題你應該有感:你買的eSIM,大部分根本沒辦法用AI。不是『速度慢』,是『打不開』。OpenAI 明確封鎖中國、香港、澳門的IP,所以ChatGPT在這些IP上直接不給用。Claude跟Gemini更嚴格,不只登入時檢查IP,每次重開瀏覽器、每次切換網路,都會做一次即時IP偵測,一被判定為香港或中國IP,立刻拒絕服務。」
「意思是你人在日本、在泰國、在歐洲,但因為你買的廉價eSIM路由經過香港,你的IP在OpenAI、Anthropic、Google眼裡就是『香港使用者』。出差到東京飯店,想打開ChatGPT寫一封英文信——打不開。想用 Claude 整理會議記錄——打不開。Gemini 做市場研究——打不開。這不是少數人的特殊情境。AI已經是2026年的基礎生產力工具,工程師寫程式靠Claude Code、業務寫提案靠 ChatGPT、行銷做研究靠Gemini。一個出差5天的台灣工程師,等於這5天的生產力直接歸零。最諷刺的是你還不知道為什麼,你以為是ChatGPT當機、是飯店WiFi不穩、是手機壞了,其實是你買的eSIM 把你的網路出口設在香港。」
邱繼弘繼續說道,「連eSIM業者自己都心知肚明。打開幾家銷售中港澳eSIM的客服頁面,都明確寫著『想用ChatGPT跟TikTok,請手動把APN(存取點名稱,連接電信網路以存取網際網路的閘道)改成esimnext,把IP切到新加坡」。一個正常的消費電子產品,要客戶手動改APN才能用主流AI服務——這不是『便宜的代價』,是業者預設把使用者的流量送進中國管轄區,誰要用誰自己想辦法繞出來。」
「很多人以為改了APN切到新加坡就『安全了』。其實沒有。APN 改的是『網路出口』,不是『網路身分』。你拿到的新加坡IP騙得過OpenAI的地理封鎖,騙不過你SIM卡發行業者的核心網路。你的 IMSI、IMEI、位置軌跡、流量行為、DNS查詢,從你開機那一刻起就在中國移動的系統裡完整呈現。封包先進中國移動的核心網路,APN才把它送出來——APN影響的只有『最後一段出口』,前面那一大段早就由你SIM卡的發行業者決定了。」
「SIM卡可以在你完全不知情的情況下,命令你的手機建立連線、發簡訊、查位置。APN改成新加坡、日本、火星都沒差。業者教你的這個技巧,是把『ChatGPT打不開』這個你看得見的問題用切換出口蓋過去;那個你看不見的問題——你的所有通訊元資料持續經過中國移動的核心網路,一動都沒動。表面解決,實質沒解決。對業者來說,比重新設計路由架構便宜太多;對你來說,從『明顯被擋』變成『以為自己沒事』。」
那政府應該查禁中國eSIM嗎?邱繼弘不認為這個結論是正解,真正要問的是台灣消費者買eSIM的選擇,為什麼是Airalo、Holafly,而不是中華電信、台灣大、遠傳?答案不是消費者不愛國,是本地業者根本沒有推出能打的產品,「中華電信、台灣大、遠傳,每一家都跟全世界數百家電信業者有 IPX/GRX互連協議。技術上要切出一個『Chunghwa Global eSIM』、『Taiwan Mobile Travel eSIM』賣給出國的台灣消費者,是完全做得到的事。那為什麼沒做?」
「因為國家通訊傳播委員會(NCC)把eSIM框在實體SIM的監管邏輯裡。台灣現行的eSIM規則:必須本人臨櫃辦理、要付300元設定費、不能線上轉移、換手機要重辦。NCC說這是為了防詐騙,結果就是台灣消費者連申辦自家電信的eSIM都嫌麻煩,怎麼可能去申辦本地電信商的『旅遊eSIM』?如果這個產品根本就不存在的話。」
「而本地電信商的『國際漫遊』是綁在台灣門號上的加值服務,要先有他們的台灣門號才能開漫遊。沒有人推出『純流量、不綁門號、像Airalo那樣的旅遊eSIM商品」。為什麼沒推?因為這個商品形態在現行NCC監管框架下,連『算什麼業務』都沒定義。電信業者最怕的事就是法規灰色地帶,做了被罰,比不做損失更大。所以乾脆不做。」
「於是台灣消費者面對的選擇,是『臨櫃辦、收300、綁門號、價格貴』的本地電信商,跟『掃碼三分鐘、不用身分證、五天200元、但AI都打不開』的境外eSIM。用腳投票,誰都會選後者,然後到了當地才發現工作做不下去。而這些境外eSIM的封包,繞道中國移動香港。」
邱繼弘慨歎,這整件事就是個死循環,NCC用防詐邏輯綁死本地業者,本地業者沒有競爭力的產品,消費者轉向境外服務,境外服務的流量經過中國管轄區,國家通訊安全因此暴露,每一環都覺得自己在做對的事,合在一起卻是把台灣消費者推進別人的網路裡。
最後邱繼弘指出,要解決這件事,不需要查禁誰,不需要海關攔截,不需要平台下架,需要做的事其實很簡單,就是讓NCC明確定義「旅遊型純流量eSIM」是一個合法的業務類別,不需要本人臨櫃、不提供台灣門號與語音服務、可以線上開通、專供漫遊使用。准許三大電信用子品牌打價格戰,跟Airalo 正面對打。公務員、國營事業、軍方、外館人員出國差旅,強制使用本國電信業者的旅遊eSIM,給本地業者一個敢投資的理由。
當中華電信、台灣大、遠傳能用Airalo的價格賣旅遊eSIM,而且帶著「資料不經中國管轄基礎設施、AI工具開箱即用」的差異化賣點,市場自己會把Holafly、Airalo邊緣化,「中國貨在台灣eSIM市場橫行,本質上不是中國太強,是台灣自己把本國業者的手綁起來。便宜跟方便從來不是免費的。你省下來的那幾百塊漫遊費,是用一段你看不到的繞路換來的,在那段繞路上,誰在看你,沒人會告訴你。而你下飛機後想打開Claude處理工作,它告訴你『服務在你的地區無法使用』。而本來該幫你解決這個問題的台灣電信業者,正站在場邊,等政府吹哨上場。」