愛爾麗醫美診所疑似針孔偷拍事件持續延燒。根據中央社報導,案件起於消費者在診療間換衣時,發現天花板角落疑似藏有攝影鏡頭,警方到場拆開確認裝置內有攝影機,後續檢警擴大搜索數間分店,全案朝妨害性隱私等方向偵辦。新北檢警後續搜索板橋、新莊等分店,並帶回相關人員,新北地院也已裁定愛爾麗集團總裁、特助與廠商等人羈押禁見。
事件尚未結束,類似疑雲已擴散到其他醫美品牌。鏡週刊報導,光澤診所板橋站前店、板橋中山店也遭檢警前往搜索,疑似涉及微型針孔監視器,不過相關案情仍待檢警進一步釐清。這代表此事已不只是單一診所的刑事案件,而是整個醫美產業必須面對的信任危機。
更關鍵的是,衛福部醫事司已明確表示,醫療場域錄影必須經雙方同意,若行政調查發現違反醫療法第72條,最高可處新台幣25萬元罰鍰。也就是說,醫療機構不能用維護醫療品質、保護器材安全、避免糾紛作為萬用理由,在診療、更衣、麻醉、私密處置等高敏感區域任意設置攝影設備。
CyberQ 指出,從資安角度看,這起事件還有另一層更可怕的問題,很多安防攝影機本身就是低價、公版、白牌、OEM 或 ODM 方案。診所、店面、補習班、辦公室在採購時,通常關心的是看不看得到、手機能不能連、價格便不便宜,很少有人真正檢查韌體來源、雲端中繼伺服器、預設帳密、更新週期、ONVIF 權限、RTSP 暴露面,以及是否存在未公開或已知的認證繞過漏洞。
所謂公版漏洞的可怕之處在於,帳號密碼只能防一般攻擊者,卻不一定能防設備韌體本身的設計缺陷。這不是危言聳聽。CISA 2026年也曾針對 Honeywell CCTV 攝影機發布通報,指出特定型號存在未經驗證 API 端點暴露問題,成功利用可能導致帳號接管與未授權存取攝影機影像。Hikvision 過去的 CVE-2017-7921 也屬於不當身分驗證問題,可能讓攻擊者提升權限並存取敏感資訊,該漏洞在 2026 年仍被安全社群與 CISA KEV 脈絡重新關注。
這也是為什麼有設定密碼不等於安全。密碼可以阻擋一般登入,但如果攝影機存在認證繞過、硬編碼後門、未授權 API、P2P 中繼缺陷、舊版韌體漏洞,攻擊者可能根本不需要知道密碼,就能取得影像、快照、設定檔,甚至接管裝置。
CyberQ 認為,更現實的是,許多可用手機 App 遠端觀看的攝影機,背後都不是單純的手機直接連到攝影機。為了穿越 NAT、防火牆與浮動 IP,廠商通常會使用 P2P、Relay 或雲端中繼服務。對一般使用者來說,這很方便,對資安治理來說,這是一個黑盒。影像資料是否經過第三方伺服器?中繼節點在哪裡?是否有暫存?暫存多久?哪些維運人員能碰到?是否有稽核紀錄?這些問題,診所老闆、分店主管與消費者通常都無法驗證。
因此,這次事件真正該討論的不是攝影機要不要裝,而是攝影機該裝在哪裡、誰能看、影像流往哪裡走、錄影檔存在哪裡、誰能匯出、誰能刪除、出了事能不能查得到。
用 ONVIF 交給 QNAP NAS 納管,安全性會提升在哪裡?
CyberQ 依據平常進行攝影機監控相關環境的資安和資訊流程,建議攝影機採適當的機制來納管。ONVIF 規格的價值在於,它讓 IP 攝影機可以用標準方式被影像管理系統納管。ONVIF Profile S 主要用於 IP 影像系統的串流傳輸與控制,Profile T 則支援 H.264、H.265、影像設定、動態偵測、遮蔽偵測與 PTZ 控制等進階功能。
QNAP 官方文件也說明,QVR Pro 與 QVR Elite 可將支援 ONVIF 的攝影機加入系統,若攝影機支援 PTZ,建議以 Profile T 加入,其他一般攝影機則可用 Profile S。這代表企業可以把不同品牌、不同型號的攝影機,從原本各自依賴廠商 App、廠商雲端與各自帳密的狀態,改成由 NAS 端的影像管理平台集中接手。
這樣做的資安提升,不是因為 QNAP NAS 會神奇地避免這些坊間攝影機的韌體漏洞,而是它把風險治理的重心從每台攝影機各自上雲,改成攝影機只對內網影像平台吐串流。
最理想的做法是,各分店攝影機只允許連到本地 QNAP NAS 或總部影像伺服器,分點再同步到總部 NAS,這些攝影機被納管後都不允許直接連外,關閉攝影機原廠 P2P、雲端觀看、UPnP、自動穿透與不必要服務,攝影機 VLAN 不開放一般辦公電腦存取,只有 NAS 可以透過 ONVIF 或 RTSP 拉取影像。這樣一來,即使攝影機本身是公版硬體,也至少能降低它直接暴露到網際網路或原廠雲端平台的機率。
第二個提升是權限集中化。QVR Pro 提供使用者、群組與角色的權限設定,管理者可以指定誰能看哪些頻道、哪些版面與電子地圖。這比起每個分店都共用一組攝影機 App 帳密,要可控得多。
第三個提升是錄影資料可治理。錄影檔如果散落在每台攝影機記憶卡、白牌 NVR、廠商雲端與維護商帳號裡,事後根本很難釐清誰看過、誰下載過、誰刪除過。改由 NAS 納管後,企業至少能建立統一的保存週期、備份策略、帳號權限、匯出流程與存取稽核。QNAP 也已推出 QVR Surveillance 監控平台,官方宣稱單台 NAS 可支援最高 1024 路 IP 攝影機頻道,並支援 ONVIF 標準攝影機,另有 QVR Recording Vault 可作為監控錄影備份架構,適合多分店或長天期保留需求。
第四個提升是遠端觀看可以被重新設計。QNAP 的 QVR Pro Client 2.6.0 之後支援透過 myQNAPcloud Link 遠端存取 QVR Server,可免設定 VPN 或 Port Forwarding,並透過 QNAP ID 驗證與加密連線。這對沒有專職 IT 的中小企業來說確實降低了管理門檻。
不過,站在高隱私產業的角度,最佳實務仍然是 VPN 或 Zero Trust 存取優先,myQNAPcloud Link 則可作為便利性方案,但不應取代內部權限治理。尤其是醫美、診所、婦幼、健檢、心理諮商等高敏感場域,遠端觀看必須有明確規則,誰能看、什麼時間能看、能不能下載、能不能截圖、能不能看回放、是否需要主管核准、是否有紀錄?
CyberQ 認為以上問題都一定要在實作時和主管、供應商與內部規劃同仁一起確認。
經營者與管理者要怎麼看各分店影像的集中呢?
CyberQ 建議,以管理的立場來看,要遵循資安上的最小權限原則。建議不要讓每間分店各自裝一套攝影機 App,也不會讓監視器相關維護廠商掌握所有分店的最高權限。比較合理的架構是分店錄影、本地保存、總部集中檢視、異地備份。
每間分店配置自己的攝影機 VLAN 與 QNAP NAS,攝影機只把串流送到 NAS,不對外開 P2P,不做 Port Forwarding。總部透過 site-to-site VPN 或企業零信任連線,集中登入各分店 QVR 系統或集中管理平台。老闆與總部管理者只取得必要頻道的觀看權限,例如櫃檯、公共走道、收銀區、倉儲、出入口,不應包含診療間、更衣室、麻醉處置室、私密諮詢空間。
若有多分店需求,可以設計三層權限。第一層是分店店長,只能看自己分店的公共區域即時畫面與短期回放。第二層是總部營運主管,可以看所有分店公共區域,但不能匯出檔案。第三層是資安或法遵指定人員,只有在客訴、事故、司法調查或內控事件時,才能依流程申請匯出,並留下紀錄。
影像匯出必須獨立控管。真正危險的通常不是即時看一下,而是誰把影片下載走。因此下載、匯出、複製、外接 USB、分享連結,都應該被視為高風險操作。醫美場域尤其應該採取最小權限原則,預設不給下載權,只有經授權的管理者能匯出,而且每次匯出都要有事由、時間、操作者、檔案範圍與保存紀錄。
醫美診所與各種有客戶隱私影像問題的場域,應立即採取的改善清單
CyberQ 指出,這類場域應該要有的即刻作為建議如下 :
1、全面盤點所有攝影機、針孔設備、NVR、DVR、記憶卡與雲端帳號。不要只盤點看得見的監視器,也要盤點煙霧偵測器外觀、插座外觀、時鐘外觀、USB 充電器外觀等偽裝型設備。
2、停止在診療間、更衣區、麻醉恢復區、私密處置區安裝任何影像設備。若因醫療品質或安全確有必要錄影,必須取得明確同意,並用醒目告示、文件同意、保存期限與調閱規則處理。
3、關閉攝影機原廠雲端、P2P、UPnP、遠端管理與預設帳號。攝影機只應在內網被 NAS 拉流,不應直接對外提供服務。
4、將攝影機網路獨立為 VLAN。攝影機 VLAN 只能連到 NAS、NTP、必要 DNS,不應連到一般辦公網段,更不應直接出 Internet。
5、改用 ONVIF 納管,把攝影機從各品牌 App 各自管理改成QNAP QVR 或 QVR Surveillance 統一管理。這能降低帳號散落、廠商遠端維護黑箱、錄影檔分散與權限不可控的問題。
6、建立影像資料保留與刪除政策。不是錄越久越好,而是依照目的、法規、風險與客訴處理需求設計保存期限。過期自動刪除,避免影像資料變成長期未管理的隱私炸彈。
7、維護廠商不能擁有永久管理權。廠商帳號應採臨時授權、限時啟用、事後關閉,並保留操作紀錄。不能讓廠商用一組萬用帳密維護所有分店。
CyberQ 觀點 : 醫美產業真正需要的是影像治理,不是更多鏡頭
CyberQ 認為,這次事件會讓許多消費者對醫美診所產生不信任,短期內影響生意幾乎可以預期。但更大的問題是,許多企業長期把監視器視為總務採購,而不是資安系統、個資系統與法遵系統。
攝影機拍到的是人,錄下的是隱私,保存的是責任。尤其醫美診所涉及身體、外貌、醫療紀錄與高度私密情境,影像管理標準應該比一般零售店更嚴格。
ONVIF 加上 QNAP NAS 納管,不是為了讓企業更方便監看消費者,而是讓企業把影像流、錄影檔、權限、遠端存取與匯出流程重新收回自己手上。真正的資安提升,不是買更貴的鏡頭,而是把誰可以看見影像這件事,從灰色地帶變成可稽核、可追蹤、可負責的治理制度。
