
【文/蘇軒】2026 年 3 月,東南亞超級應用程式巨擘 Grab 宣布收購 Delivery Hero 旗下台灣 foodpanda 外送事業,預計同年下半年在主管機關核准後完成併購程序。消息釋出後,外界隨即對外送平台掌握的大量用戶個資及跨國企業常態性的跨境資料傳輸模式,展開熱烈討論。
外送平台日常蒐集消費者的訂單習慣、支付紀錄與即時地理位置等個資,一旦平台所有者易主,資料流向亦將改變。因此個資保護與資訊安全的把關方式,也是這次檢視台灣數位治理能力的核心考題。
然而,大眾認知的風險疑慮是否實質存在?財團法人台灣網路資訊中心執行長余若凡指出,真正的關鍵在於台灣政府當前的數位治理框架成熟度,以及風險控管機制是否已經到位。
跨境傳輸屬當前跨國企業常態,風險評估怎麼做?
Grab 官方在 5 月 20 日正面回應,強調其 App 資料皆儲存於新加坡的亞馬遜網路服務(AWS),且台灣用戶資料完全不涉及中國大陸供應商的處理或存取,且整體資料架構皆以區域雲端與嚴格的安全控管機制為基礎,以保障用戶隱私安全。這則聲明的目的在於回應外界對資料流向的疑慮,其背後卻也反映出社會大眾對「跨境資料傳輸」的理解,與當前實務業界上的資安防護觀念有所落差。
「跨境傳輸是現行跨國企業很普遍的現象。」余若凡執行長說明,台灣法規並未禁止跨境傳輸,過去雖曾討論預設禁止、例外許可的模式,但經多方評估後,目前現行政策方向仍為「鼓勵跨境傳輸、必要時才限制」,背後考量正是希望有利於數位時代的跨境商務合作。
將資料儲存於新加坡、日本、美國等區域節點,是跨國數位平台的普遍做法,總部設於新加坡的 Grab 就是如此。事實上,現任業者 Foodpanda 也表示,目前 Foodpanda 的台灣用戶數據儲是同時儲存在德國和新加坡,顯示跨境傳輸異地儲存的常態。
余若凡強調:「資料儲存在何處不是問題根源,重點在於我們如何衡量與管理風險。」問題應聚焦於:資料放在哪一個雲端服務商、控制權歸屬於誰、業者如何管控存取權限。
此外,若資料只在單一區域儲存,就企業本身的管理治理而言也有所不足。健全的資料保護應避免將資料儲存於單一地點。若限制資料備份地點只在台灣本地,平台將失去跨區域執行業務連續性與災難復原(BCDR)的能力;一旦本地基礎設施發生故障——無論是因天災、網路中斷或網路攻擊事件所引起——台灣使用者都將面臨失去備援機制、無法進行容錯移轉的困境。
這些評估標準,也與國內外隱私保護的核心精神相符。余若凡執行長指出,業者在落實隱私與資料安全時,實務上包含三個層次——首先是個資法的法遵基礎,如落實告知同意與資料最小化原則;其次是跨境傳輸與儲存區域的風險評估,以確保當地法規的隱私保護力;最後則是技術面的安全防護,包括網路架構設計、雲端與實體主機的存取權限控管,以及確保雲端服務供應商具備透明的稽核保證與法遵報告。「這些都是成熟的觀念,也是既有技術完全可以做到的。」她說。
以明確、客觀的治理框架建立企業的跨境投資信心
余若凡執行長指出,跨境傳輸其實是非常普遍的現象。網路架構本來就是跨界設計,台灣法規原則上也並未禁止跨境傳輸,且已有相當成熟的技術規範可供遵循。Grab 案真正懸而未決的,是外界對於審查機制本身的信任。跨國併購案牽涉廣泛,公平交易委員會雖負責市場競爭審查,但國家安全、勞工權益與產業監理則分屬經濟部、勞動部及交通部等部會。在各部會審查各自獨立的現況下,不同面向如何取得平衡、依據什麼標準作成綜合判斷。
余若凡執行長解釋,市場競爭、國家安全與勞工權益等考量並非相互排斥,關鍵在於建立透明的對話機制。「政府要明確地說明疑慮在哪,具體要求是什麼,因為每個公司營運的方式、網路架構、資安風險都不同。」
本次 Grab 案的審查的意義,政府如何審查、依據什麼標準審查⋯,都是在向未來有意願投資台灣的國際企業釋放訊號,對台灣的經濟發展具有長遠的影響。主管機關的責任是制定出具體且可驗證的要求,避免讓企業暗自揣測。基於這類「以證據為基礎的技術審查」,也利於避免主管機關的決策受到地緣政治焦慮所干擾。明確且客觀的標準,不僅能為業者提供一條具可預測性的法遵途徑,也能確保主管機關本身在法律上站得住腳。
至於企業主動揭露資料架構與存取管控,能否有效回應外界疑慮?余若凡執行長的看法謹慎。她認為企業資訊可能涉及自身營業秘密,所以能對外公開的資訊終究有所侷限,重點在於如何明確回應主管機關的疑慮。即使出於公開透明的立意良善,然而過度揭露數據架構與存取控制,反而可能因增加系統設計細節的曝光而遭致惡意攻擊所利用,進而對大眾帶來資安風險。其實目前主管機關已有相應的資安風險檢測工具,包括數位部的相關規範、工研院行之有年的行動應用 App 資安認驗證機制,都是可適用的檢測模式。
在技術標準評估上,應涵蓋資料庫配置與備份機制、網路存取權限、供應商資安管理與遠端存取管控,並輔以技術查核與紅隊演練。她強調:「基於法律基礎、有證據的決策,這才是幫助台灣營造良好投資環境的作法。」
資安治理應回歸法治基礎,提升台灣對全球科技資本的吸引力
資安治理的挑戰並不局限於單一交易案。余若凡執行長坦言,個資與資安在這個時代對所有人都是極大挑戰,「我們所有的足跡都在網路上,這麼多裝置,基礎建設要應對大量的隱私及資安需求。」她肯定台灣政府在關鍵基礎設施防護與應用層資安規範上的努力,當前的問題在於:「比較欠缺的是,政府很認真做,但民眾認知有嚴重斷層。」
一方面,社會大眾是否了解政府的努力並信任政府的治理能力?另一方面,民眾自身的資安意識是否足夠?根據 TWNIC 長期蒐集與分析的網路情資,民眾設備或路由器遭入侵的情況時有耳聞,多數人卻渾然不知。她因此提醒,民眾本身對上網安全也必須具備自主意識。
回到跨境企業併購的議題,余若凡執行長認為,不論本國企業或外商,在台灣營運就必須符合在地法律規範;反觀企業只要遵循在地法令規範,就應受到公平對待。若僅因觀感上的疑慮,就推遲或懲罰願意依法合規的服務,這將使跨國企業對台灣整體投資環境的評估感受到負面訊號,降低台灣對全球科技資本的吸引力。
最後,余若凡執行長強調,唯有一致性的法治基礎與明確的治理框架,才是台灣在數位經濟時代營造良好投資環境、吸引優質外資的務實解方。
(本文經關鍵評論網同意授權刊登,原文連結)
