近日，關於微軟Windows係統針對歐美用戶和包括中國在內的亞洲大部分用戶進行區別對待，涉嫌侵犯公眾隱私乃至國家數據安全的話題，再次引發全網熱議，同時也使更多消費者體會到中國市場對於華為原生鴻蒙係統開發和普及的迫切需求。

起因是，9月15日，從事網絡安全的技術員“玄道”在個人公眾號發文稱，微軟利用其壟斷地位使用UCPD.sys在注冊表深層隱藏加密數據、動態釋放未知程序，獲取用戶數據。

此外，UCPD還內置了針對中國軟件廠商的攔截機製，通過數字簽名黑名單、進程名黑名單、進程路徑黑名單進行過濾，限製第三方軟件與微軟體係軟件的競爭，維護其市場壟斷地位。

北京市道可特律師事務所高級合夥人林蔚律師向觀察者網表示，如上述指控為真，微軟不僅涉嫌侵犯個人用戶隱私，還可能存在濫用市場支配地位、不正當競爭等違法行為。

一石激起千層浪，“玄道”的調查結果引發多位技術人員及網絡安全專家在網絡上呼應。而微軟方麵卻仍對此質疑置若罔聞，截至目前未有任何回應。

值得一提的是，9月15日-21日期間，是中國2025年國家網絡安全宣傳周。有知情人士透露，近日已有國家網絡安全相關部門介入調查該事件。

核心爭議：UCPD.sys的“越權操作”

UCPD.sys全稱為User Choice Protection Driver（用戶選擇保護驅動），微軟官方宣稱其功能是“保護用戶默認應用設置不被第三方軟件隨意修改”，但實際技術追蹤與用戶體驗卻暴露了更複雜的問題。



微軟係統內置的驅動UCPD.sys

“玄道”研究發現，每當默認設置被篡改時，均有UCPD.sys進程在後台運行，即使用戶嚐試修改注冊表鎖定設置，也會被係統攔截。

即用戶試圖將默認瀏覽器更換為國產軟件、設置PDF文件用第三方閱讀器打開後，係統更新或重啟時設置會自動恢複為微軟旗下應用。

更令人警惕的是該組件的技術特性。網絡安全公司技術人員指出，UCPD.sys具備高度隱蔽的“遠程加載與執行”能力，會在係統注冊表深層寫入加密數據，持續監控注冊表項變化，一旦檢測到變動便自動解碼、校驗並加載執行外來程序，而用戶對此完全不知情。這種機製被專家直指為“隱形後門”，微軟或可通過該通道遠程下發指令執行未知操作。

此外，UCPD.sys的代碼中包含doc、xls等常用文件格式標識，有技術分析認為，未來其可能進一步強製綁定微軟Office軟件，擴大對用戶辦公場景的控製。

定向限製：國產軟件成“黑名單”重點目標

這樣的“越權操作”和“隱形後門”除了影響用戶使用體驗之外，還延伸至對軟件市場競爭的幹預，尤其針對性地對中國軟件廠商形成係統性限製。

“玄道”通過逆向工程深入研究發現，UCPD程序內置了一套“黑白名單機製”，從曝光的代碼數據來看，“黑名單”中集中出現了數十家中國企業的產品，涵蓋安全防護、辦公軟件、瀏覽器、輸入法等核心領域，包括360、騰訊、聯想、金山、搜狗、2345、迅雷等知名廠商。



數字簽名黑名單列表（部分）

當這些國產軟件嚐試修改默認應用設置時，UCPD.sys會直接返回“操作失敗”錯誤代碼，而同類功能的國外軟件卻可順利通過。

更嚴重的是，該機製對國產安全軟件的限製削弱了用戶的安全防線。

360等國產安全軟件本可攔截UCPD.sys擅自修改注冊表的行為，但因其被列入“黑名單”，相關操作會被UCPD.sys拒絕，甚至遭Windows Defender阻止安裝與運行，導致用戶設備暴露在更高的安全風險中。

在行業人士看來，這種操作實質是通過係統級權限限製第三方軟件競爭，維護微軟自身市場壟斷地位。

用戶普遍認為，是否開啟數據收集、選擇何種瀏覽器與安全軟件，應由用戶自主決定，微軟通過係統權限強製設定的行為不僅侵犯用戶選擇權，更扼殺了軟件市場的競爭活力。公眾呼籲微軟公開組件功能、開放風險選項關閉權限，將設備掌控權還給用戶，這既是科技產品的底線，也是守護數字安全的起點。

地域雙標：中國與歐美用戶區別對待

此外，“玄道”還通過技術分析表明，UCPD.sys內置區域檢測邏輯，存在明顯的區域性差異化處理，其中中國用戶與歐美用戶的體驗差異最為突出。

在歐盟地區，受《數字市場法》（DMA）約束，微軟為Windows係統推出“公平模式”。歐盟用戶可一鍵切換瀏覽器、PDF閱讀器等默認應用，係統不會阻攔修改操作，更不會自動恢複原有設置；Edge瀏覽器和必應搜索功能可通過標準Windows機製卸載；第三方網絡搜索應用還能通過任務欄搜索框提供服務，並依托任意瀏覽器顯示結果，Windows小組件麵板也支持第三方新聞源接入。北美市場與之類似。



微軟歐盟官方博客的說明

相對的是，在中國市場（包括中國內地、香港、澳門和中國台灣地區），情況截然不同。UCPD.sys會強製開啟數據收集與日誌上報機製，日誌內容詳盡包含進程完整路徑、注冊表修改記錄、驅動及雲規則版本等信息。

若用戶開啟“發送可選診斷數據”，這些加密日誌將被上傳至微軟服務器，足以還原用戶的軟件使用習慣與偏好。這種針對性的數據收集機製在歐美地區則完全不會觸發。

安全隱患與潛在風險不止一次

值得關注的是，類似因國際企業“隱形後門”造成的網絡安全事故，並非首次發生。

就在1個多月前的7月31日，國家網信辦通過“網信中國”官微披露，依據《網絡安全法》《數據安全法》《個人信息保護法》的相關規定，就H20算力芯片漏洞後門安全風險約談了英偉達公司。

彼時，英偉達算力芯片被曝出存在嚴重安全問題，美國人工智能領域專家還透露，英偉達算力芯片“追蹤定位”“遠程關閉”技術已成熟。

在此背景下，國家網信辦要求英偉達公司就對華銷售的H20算力芯片漏洞後門安全風險問題進行說明，並提交相關證明材料，旨在維護中國用戶的網絡安全與數據安全。

相比之下，微軟更稱得上類似事件的“常客”。

2025年4月，央視新聞曾報道哈爾濱亞冬會期間，美國國家安全局（NSA）向黑龍江省內基於Windows係統的特定設備發送未知加密字節，疑似激活預設後門，當時賽事信息係統遭境外攻擊27萬次，黑龍江省內關鍵信息基礎設施攻擊次數更是高達5000萬次。



而據經濟觀察網等媒體報道，更早之前，2022年7月至2023年7月，國家互聯網應急中心（CNCERT）監測到美國情報機構利用微軟Exchange郵件係統漏洞，長期攻擊我國軍工企業、航天研究所及生物醫藥公司。

2024年曝光的“BITSLOTH”後門可記錄鍵盤輸入、截屏屏幕，代碼中包含的中文日誌暴露了針對中國用戶的意圖。

2019年的“SockDetour”後門，則在服務器中潛伏兩年半，通過劫持係統程序悄悄傳輸數據，成為境外勢力竊取商業機密的隱形通道。

涉嫌濫用市場支配地位、不正當競爭

如今UCPD.sys的存在讓風險進一步升級。我國千萬級終端依賴Windows係統，若此類組件被惡意利用，可能成為境外攻擊者滲透關鍵信息基礎設施的突破口，個人隱私、企業機密乃至國家核心信息均麵臨泄漏風險。

對此，北京市道可特律師事務所高級合夥人林蔚律師向觀察者網表示，若“玄道”等網絡安全專家的指控為真，就個人用戶而言，《個人信息保護法》中對於跨境傳輸部分更有詳細規定。而根據《Microsoft 隱私聲明》，微軟並未完全履行告知義務，且該隱私聲明也沒有設計“單獨同意”的交互界麵以獲得個人信息主體的單獨同意，存在合規瑕疵。個人用戶既可以向國家網信辦等監管部門進行投訴舉報，亦可以采取《個人信息保護法》第七十條中規定的公益訴訟製度，“個人信息處理者違反本法規定處理個人信息，侵害眾多個人的權益的，人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法向人民法院提起訴訟。”

針對企業方麵，林蔚律師認為，微軟通過UCPD驅動單方麵將競爭對手軟件列入“黑名單”並進行攔截或限製的行為如果屬實，則涉嫌濫用市場支配地位和不正當競爭兩方麵。針對前者，相關企業可考慮向反壟斷執法機構，即國家市場監督管理總局進行舉報，但其中需要收集微軟濫用市場支配地位的證據，包括技術分析報告、市場數據、用戶投訴、經濟損失評估等；針對不正當競爭行為，可考慮直接向法院以不正當競爭為案由提起訴訟。此外，還可向國家網信辦等部門投訴舉報，並聯合行業力量與輿論監督進行維權。

但同時，林蔚律師指出，“玄道”及自媒體網絡平台上所謂的專家言論，並不能作為行政舉報或司法訴訟的直接證據。建議請《國家司法鑒定人和司法鑒定機構名冊》列示的司法鑒定機構來出具相關結論，以保障證據內容的真實性、合法性。