
5 月底,數位發展部公布多款中國應用服務的資安檢測結果,其中風險項目最多的正是過去幾個月在台灣引發討論的「高德地圖」。經數位發展部調查與《報導者》實測,隸屬中國阿里巴巴集團的高德地圖被指出在關閉狀態下仍將個資傳回中國伺服器。
針對此議題,科技、民主與社會研究中心(DSET)民主治理組副組長賴又豪近日於《報導者》發表投書,分析高德地圖資安爭議所凸顯的個資治理與民主防衛問題。賴又豪指出,高德地圖並非單一資安事件,而是中國數位服務常見資料處理模式的一環,凸顯台灣面對中國數位服務所帶來的資料外流與威權治理風險,亟需補強個人資料保護法制,建立兼顧國家安全、資訊自由與法治原則的民主防衛機制。
投書延續 DSET 今年 1 月發布、由賴又豪撰寫的研究報告《威權凝視:中國的全球資料聚斂與系統性民主風險》(The Authoritarian Gaze: Chinaʼs Global Data Reach and the Systemic Risks to Democracy)之分析。該報告檢視十個中國生成式人工智慧服務的隱私條款後,指出中國數位服務常透過資料境內儲存、集團內共享,以及依法配合政府調取資料等方式,形成用戶資料流向中國的制度性管道。
文章分析,中國的資料治理體制具有明顯的黨國支配特徵。依據中國相關國安、情報與數據法制,中國政府可基於安全、情報或反間諜等理由,要求受其管轄的企業提供資料。當中國應用服務掌握大量用戶資料後,這些資料可能轉化為中國政府可取得的戰略情報資產。
賴又豪指出,高德地圖蒐集的位置資料、設備資訊、搜尋與行程紀錄等資訊,經長期累積、匯聚與交叉分析後,足以描繪個人移動軌跡、生活型態與行為模式,對特定人士可能造成隱私、人身安全與情報滲透風險。更值得警惕的是,當資料被用於群體層級分析與模型訓練時,也可能協助外部行為者掌握台灣交通流動、關鍵基礎設施周邊動態、人車物流規律與區域人口集散模式,進一步影響台灣整體國土防衛優勢。
針對現行法制不足,投書指出,數位發展部雖已依《資通安全管理法》將高德地圖指定為「危害國家資通安全產品」,並禁止公務機關使用,但《資通安全管理法》主要適用於政府機關與部分關鍵基礎設施提供者,仍難以完整處理高德地圖在消費市場廣泛流通、蒐集一般用戶資料並傳往中國的問題。因此,制度補強的關鍵,應落在《個人資料保護法》跨境資料傳輸治理框架的改革。
賴又豪主張,台灣首先應明確將境外中國數位服務提供者納入《個資法》管轄範圍,使高德地圖等境外業者至少負擔「蒐用同意」、「資料最小化」等基本個資法義務。為避免納管範圍過廣,投書建議可參考歐盟作法,以服務是否明確「瞄準台灣用戶」作為判斷標準。以高德地圖為例,其隱私政策已明確納入台灣用戶並提供中文、粵語服務,顯示其跨足台灣消費市場意圖明確,監管機關不應再忽視其資料治理責任。
投書進一步建議,台灣應透過修法建立數位服務「入境審查」機制,將持續符合台灣法規作為在台營運的基本條件。對於蒐集機敏資料或達一定規模以上資料的服務提供者,應建立「原則禁止」將台灣用戶資料傳往中國的基線義務;對於在中國註冊或受中國企業實質控制的供應商,因直接連結威權體制法域,應要求更嚴格的資料儲存、處理、維運、合規與稽核機制,以證明其能有效降低個資與資安風險。
針對持續違規且拒不配合的境外業者,賴又豪也主張,有必要建立第三方配合機制,保留將應用服務下架等最後手段。不過,文章強調,這類措施必須嚴格遵守法律保留、正當程序、司法救濟與比例原則,避免在防衛威權滲透的同時,過度限制民主社會珍視的資訊流通自由。
賴又豪最後指出,面對中國數位服務帶來的科技國安風險,民主社會的回應不應只是個別禁令,而應建立一套本於憲政民主與法治原則的治理架構。在制度改革之外,公民也應主動檢視應用程式權限、閱讀隱私政策,了解服務提供者、資料儲存地與資料分享對象,並審慎評估是否使用高風險資通訊產品。唯有透過法制補強與公民意識並行,台灣才能在維持開放社會價值的同時,補上面對數位威權滲透的民主防衛缺口。


