回應〈高德地圖怎麼管?〉:個資法應對外國APP的兩個盲點
王德瀛(資策會科技法律研究所跨域整合中心組長)
台權會周冠汝副秘書長日前投書〈高德地圖怎麼管?資安討論下被忽略的個資保護〉(《鏡報》,2026年5月15日),指出政府在高德地圖事件中僅以《資通安全管理法》回應,忽略《個人資料保護法》(下稱個資法)所提供的管制工具。我基本上同意此一觀察方向,將「資安」與「個資」兩條軸線並陳,本應是台灣面對中國資通訊產品時應有的策略基礎。
不過,原投書所提出的兩項主要手段:限制跨境傳輸、行使個資法管轄權,在現行法制與行政函釋的格局下,可能比想像中更難真正啟動。我想補充兩個細節,並指出當前政府可以做的、最關鍵的一項行動。
一、外國APP直接蒐集,未必構成「跨境傳輸」
第一個盲點是:高德地圖在使用者手機端直接蒐集個資並回傳中國,是否屬於個資法第21條所稱的「國際傳輸」?這個問題的答案,未必如直覺所想。
歐洲個人資料保護委員會(EDPB)於2023年2月14日通過《GDPR第3條與第五章國際傳輸規定相互關係之指引(第二版)》(Guidelines 05/2021,第二版)指出,構成GDPR第五章意義下的「跨境傳輸」需同時滿足三項要件:
1. 資料輸出方(exporter)為受GDPR規範之控管者或處理者;
2. 該輸出方以傳輸或其他方式,將個資揭露予另一控管者、共同控管者或處理者(importer);
3. 接收方位於第三國或為國際組織。
EDPB認為這三項要件缺一不可,且該指引中有個例示說明:當資料當事人本人在新加坡公司營運之線上服飾網站填寫表單時,因不存在「輸出方→接收方」的個資揭露關係,該情境並非第五章所稱的跨境傳輸。
對應到高德地圖的情境:使用者在台灣下載APP、由APP直接向位於中國的伺服器傳送個資,過程中缺乏一個位於台灣境內、向中國端「揭露」資料的輸出方。若我國個資法第21條之「國際傳輸」採取類似EDPB的詮釋路徑,高德地圖的個資回傳行為可能根本不落入該條的射程,主管機關自然也難以該條為據限制其資料流向。
值得注意的是,EDPB同時強調,雖然這類情境不構成第五章意義下的跨境傳輸,但接收方的處理活動仍可能透過GDPR第3條第2項的「域外效力」直接受GDPR規範。問題就在於我國個資法並沒有一個對等的域外效力條款,或者更精確地說:我們可能有,但被解釋限制了。
二、個資法第51條第2項的管轄真空
個資法第51條第2項規定:「公務機關及非公務機關,在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者,亦適用本法。」乍看之下,這條款應可作為對高德地圖此類外國APP行使管轄權的依據。
但法務部2018年3月12日法律字第10703502240號函釋明白指出,第51條第2項所稱的「公務機關或非公務機關」,限於「我國」之公務機關與非公務機關。換言之,未於我國境內設立業務據點的外國控管者或處理者,即便其處理對象為台灣人民之個資,依現行函釋並無個資法之適用。
這在比較法上是一個明顯的落差。GDPR第3條第2項對於「不在歐盟境內設立」之控管者或處理者,只要其處理活動涉及對歐盟境內當事人提供商品或服務,或監控其行為,即直接適用GDPR,並透過第27條要求其指定境內代表(representative)以為管轄錨點。我國個資法雖有類似的域外效力文字,但被函釋限縮為僅涵蓋「本國機關」於境外之行為。對最需要被規範的外國服務提供者反而無法適用。
近來,個資會籌備處的函釋其實提供了另外一個可能的解決方案。個資會籌備處2025年6月2日個資籌法字第1140000636號函釋認為,外國電商若「雖未在臺設立分公司」但「涉及在我國境內有蒐集個人資料之行為」,仍有我國個資法適用。這自然是個資法的當然解釋結論。問題在於,一個未再台灣設立任何機構、伺服器不在台灣的APP服務,能否被認為屬於「在我國境內有蒐集個人資料之行為」,仍存疑問。而這樣的疑問,也尚未在函釋中獲得解答。
三、當務之急:重新詮釋管轄權
在我國個資法有更全面修正前,我國目前最可行也最具實益的一項作為,或許是由籌備處重新檢視法務部2018年函釋,將個資法第51條第2項解釋為兼及外國控管者於我國境外蒐用我國人民個資的情形,使行政管轄權能真正延伸至高德地圖此類服務。或是進一步釐清該處2025年函釋所指「在我國境內有蒐集個人資料之行為」的時樣態。
若管轄權的解釋不變,限制跨境傳輸的射程又如上節所述存在疑義,則個資法上的同意要件、資料最小化原則、目的拘束等諸多工具,無論如何打磨,都難以觸及問題核心。因為,我們連「能不能管」這道前提問題都尚未解決。
從這個角度看,與其期待個資法第21條一肩扛起防堵資料送中的重任,我們或許應該先回到管轄權的源頭:變更法務部既有立場、釋放行政機關積極監理外國APP的法律量能。這既是當下行政權能立刻著手的事,也是個資法的管制工具真正能否出鞘的關鍵。
