高德地圖怎麼管？資安討論下被忽略的個資保護

周冠汝／台灣人權促進會副秘書長　

高德地圖因為利用並分析臺灣使用者的個資大數據而得以預測紅綠燈秒數，引發政府是否能以資安風險而全面加以禁用，或只能限制公部門人員使用的爭議。在這次事件中，數發部雖主動以資通安全管理法為據提出因應策略，比較可惜的是，竟沒有任何政府機關從個資保護管制的角度切入，思考可以如何更細緻地處理APP過度蒐用個資，回傳中國的問題。

中國政府可以輕易取得中國企業持有的用戶個資，已有很多討論；但台灣個資法其實藏有可以部份防堵人民資料送中的工具，卻未被有效打磨。個資跨境傳輸的規定在台灣採取「原則開放、例外禁止」的管制模式，雖然較歐盟等國的「原則禁止、例外允許」寬鬆許多，但仍在「涉及國家重大利益」、「接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞」等情況下，可由主管機關限制該服務的資料跨境傳輸。

儘管過去也已經有媒體報導過諸如中國的基因檢測公司將其境外基因資料送中等各種問題，但台灣目前為止並沒有太多由政府發動限制跨境傳輸的實例。少數與防止資料送中有關的跨境傳輸案子反而是由文化部發動。2021年，香港蘋果日報遭香港國安法控制，隨著香港政府清算蘋果日報的資產，台灣蘋果日報掌握的眾多個人資料可能遭轉移至中國政權控制的風險驟升。在經民連等民間團體的督促下，文化部函令蘋果日報，依個資法第21條，禁止跨境傳輸個資，並要求應主動或依當事人請求刪除個資。

除此之外，在愈來愈蓬勃的人工智慧APP進攻下，科技、民主與社會研究中心（DSET）也在2025年發布的《威權凝視：中國的全球資料聚斂與系統性民主風險》報告中，建議針對中國人工智慧服務，應建立入境審查機制，比如原則上禁止將資料傳輸至中國。同時，報告也進一步指出，政府應盡速修訂個資法，強化至少在個資傳輸至中國的管制。若服務持續違規，而必須走到下架的最終手段，台灣政府也會需要清楚的正當程序、明確的法律授權以及司法監督。

以「危害國家資通安全」為由針對公務機關或少數提供關鍵基礎設施的私部門限制或禁用特定資通產品，與因為「他國個資保護不足」而全面限制禁止資料跨境傳輸，是兩種不完全相同的管制途徑。在資通安全管理法之外，個資法其實也提供多個可以保障使用者個資，以及進一步防堵資料傳輸至獨裁政權的管制工具。不只是跨境傳輸，在個資蒐用同意權、資料蒐用必要性（資料最小化原則）與目的特定，都是台灣政府可以強化落實，杜絕強迫用戶必須同意分享不是該服務所必要的個資，在全面放任或全面下架的兩極選擇之外，同時打造更細膩而有效的管制手段。

可惜的是，台灣至今仍未有獨立的個資保護機關（目前仍只是個資保護委員會籌備處），而部分目的事業主管機關甚至在個資會成立後六年的業務移交緩衝期內，依舊維持多頭馬車的治理狀態。在這漫長的空窗期中，個資爭奪的角力，已經沒有下一個六年可以等待。從「資安」與「下架」的微觀視角放大視野，台灣其實可以在「個資保護」積壓已久的五斗櫃中，找到民主韌性需要的那把多功能的瑞士刀。