資安公司Jscrambler最新研究報告揭露，Meta（Facebook）與TikTok的廣告追蹤像素（tracking pixel）在用戶點擊廣告跳轉至廣告主網站後，持續蒐集大量個人與財務敏感資料，包括全名、電子郵件、電話、位置、信用卡末四碼、到期日、持卡人姓名、購物車內容、價格、數量、幣別與結帳流程細節等。研究更指出，這些像素完全無視用戶在網站上選擇「不分享我的個人資訊」或自訂隱私設定的意願，在同意橫幅出現前即開始運作，恐嚴重違反GDPR、CCPA等多國隱私法規。資安專家直指，這兩大社群巨頭已成為全球最大合法「資訊竊取器」（infostealer）運作者，對台灣大量使用Meta與TikTok廣告的電商、金融與品牌業者構成重大合規與信譽風險。

 

Jscrambler頭號資安研究員Gareth Bowker表示：「追蹤像素與傳統資訊竊取器的唯一差別，在於它們有隱私政策與設定選項。但本質上，它們同樣未經明確同意蒐集敏感資料。」根據W3Techs統計，全球9%的網站嵌入Meta像素，0.7%嵌入TikTok像素。這些像素透過1x1透明圖片載入JavaScript腳本，一旦網站載入即開始向Meta或TikTok伺服器傳輸資料，建構用戶詳細行為檔案，用於超精準廣告投放。

 

研究發現，Meta像素比TikTok更進一步，不僅記錄購物車細節，還完整記錄廣告主結帳表單結構與按鈕位置。Bowker強調：「這已超出廣告分析範疇，幾乎等同監視用戶完整購物流程。」更嚴重的是，當用戶在網站首頁看到同意橫幅並選擇「拒絕」或「僅必要Cookie」時，這些像素早已開始運作，「Do Not Share My Personal Information」選項形同虛設。

 

Meta發言人回應Dark Reading稱Jscrambler報告為「自我推銷的點擊誘餌」，強調Meta Pixel屬標準數位廣告實務，且平台政策禁止分享敏感資料，並提供用戶隱私控制功能。TikTok發言人則表示，廣告主負責自行設定Pixel事件與參數，平台僅接收廣告主主動傳送的資料，並要求廣告主遵守用戶選擇與當地隱私義務。

 

Bowker反駁，責任不應全推給廣告主：「Meta與TikTok的像素預設蒐集最多資料，僅靠條款、指引與有限護欄來合理化行為。許多企業未充分審查第三方工具，導致客戶信任受損、聲譽受創、合規風險暴增，甚至將定價、購買行為等商業機密間接餵養給競爭對手的廣告演算法。」他警告，廣告主若知情卻未限制或移除這些像素，將面臨法律追責風險。

 

類似案例已發生：麻州總醫院與Dana-Farber癌症研究院因網站嵌入追蹤像素蒐集病患健康行為資料，遭集體訴訟，最終於2021年支付1,800萬美元和解。Bowker指出：「企業若明知風險卻未審查、限制或移除這些工具，一旦觸法，將難以脫責。」

 

對台灣影響深遠。台灣電商、金融與品牌廣告主高度依賴Meta與TikTok進行精準行銷，許多企業網站直接嵌入兩平台像素。若用戶個資與信用卡資料遭蒐集，可能觸發個資法與金融監理規範違規，甚至引發集體訴訟。近期台灣已多次傳出跨境資料外洩與廣告詐騙事件，此研究應視為重大警訊。

 

資安與法務專家建議台灣企業立即採取以下行動：

 

Jscrambler報告顯示，Meta與TikTok像素已成為隱藏在合法廣告背後的「合法資訊竊取器」。Bowker結語：「企業不能再把責任全推給平台。當你主動在網站嵌入這些像素，就等於同意它們偷走客戶的隱私與財務資料。一旦出事，受害的不只是用戶，更是企業自身。」

 

台灣電商與品牌業者若繼續漠視此風險，恐付出高昂合規與信譽代價。隱私保護已不再是行銷選項，而是數位生存的底線。

 

 

出處： 基於Dark Reading文章《Researchers: Meta, TikTok Steal Personal & Financial Info When Users Click Ads》，作者Nate Nelson，發布日期2026年3月18日；並參考Jscrambler研究報告、Gareth Bowker訪談、Meta與TikTok官方回應，以及相關隱私法規與追蹤像素訴訟案例。