第1034期-高德地圖數據蒐集之法律與國安風險
關鍵字:高德地圖、情報蒐集、國家威脅
(本評析內容及建議,屬作者意見,不代表財團法人國防安全研究院立場)
2026年4月,中國高德地圖於我國推出,其精準度極佳,甚至具紅綠燈倒數功能,引發國安層級關注。此功能不需與我國交通單位資料串接,僅透過分析大量用戶於路口之即時位置與速度變化,即可推算紅綠燈週期。數發部調查指出,高德地圖涉及定位與行動軌跡等資料,將回傳至中國伺服器,並可能被中國政府蒐集利用,因而依《資通安全管理法》認定其為危害國家資通安全產品,政府機關隨後禁用。惟民間使用並未停止,既有數據持續累積於境外,此禁令亦引發對其可行性之質疑。[1]
因此,問題並不在於資料「如何被蒐集」,而是當敵對國家導航軟體於我國境內大規模使用時,其位置數據蒐集行為如何構成國家安全威脅?此威脅之技術機制、法律架構為何?
從位置數據到軍事情報
現代導航軟體已非單純路徑指引工具,而是全方位位置情報蒐集平台,蒐集類型包括精確 GPS座標、連續移動軌跡、速度變化與加速度模式、停留時間與停留點地理分布、興趣點搜尋與打卡行為,以及背景持續蒐集位置數據等。就算未與官方資料串接,仍可經過資料分析推算交通號誌、基礎設施運作模式與群體活動規律,且可透過既有方法轉化為情報,例如藉由群聚分析可識別具規律移動之群體、依軌跡挖掘可推估活動據點、從熱力圖可辨識異常活動區域,另透過長期監測則可掌握群體行為變化,2026年法國航母與2018美軍基地的Strava熱力圖事件已證實,此類資料足以揭示敏感設施位置。[2]而匿名化處理效果有限,因僅需少數時空點,即可識別出多數個體;結合其他資料來源後,重識別風險更為顯著。[3]
從資本來源到管轄權
現行討論多以「中資背景」作為風險判準,然此標準在法律上並不充分。更具分析意義者,應回到「管轄權」,即該服務是否受特定國家之國安與情報法體系所規範。中共《網路安全法》與《國家情報法》形成一套明確制度安排,特別是《國家情報法》第七條規定,任何組織和公民均有支持、協助及配合國家情報工作的義務。此規範具有屬人兼屬地之效果,涵蓋在中國境內設立之企業、境內營運服務,乃至具實質連結之組織與人員。
該制度設計重點不在是否實際調取資料,而是企業在法律上「無拒絕空間」,只要資料進入該領域,即處於可能被國家動員之狀態,與多數民主國家對政府調取資料所設之比例原則與程序保障存在差異。因此,風險判斷不應僅限於股權或資本來源,而應著重於該服務是否受「可強制資料揭露且缺乏外部監督」法制體系拘束。依此標準,部分看似「非中資」或「結構複雜」之平台,仍可能落入高風險範圍;反之,單純以股權結構判斷,則可能產生誤判。
數據性質亦發生轉變。一般市場體系中,民用數據不再僅為商業資產,而可能具有國家資產屬性,惟當法律允許國家直接調取企業資料且缺乏監督時,民間數據與國家情報之界線即被壓縮。此亦解釋為何單一看似無害之功能(如交通資訊)經過長期累積,可轉化為具戰略意義之資訊資產。我國資料一旦跨境後,將面臨無法有效監督使用、難以透過司法機制取得資訊,以及無法要求刪除或限制再利用等問題,形成單向資訊流動。
法制缺口與風險
我國現行法制則存在明顯缺口,《資通安全管理法》主要規範政府與關鍵基礎設施,對民間應用缺乏直接管制能力;《個人資料保護法》第21條雖可作為跨境限制工具,但其設計屬個案審查,門檻高且程序繁複,難以應對大規模、持續性之資料流動。此外,現行法制未建立風險或規模導向之分級機制,亦缺乏資料流向與存取權限之揭露要求。即使限制個別應用,資料仍可能透過雲端或後端架構流向高風險法域,顯示規範偏重個案處理,而缺乏整體治理能力。
高德地圖所揭示的,並非單一程式問題,而是跨境數據在不同法制體系下所產生之結構性風險,我國應將數據視為國家安全議題,而非單純個資問題,否則難以有效回應其所帶來的長期挑戰。
[1] 〈資安疑慮 數發部:公部門禁用高德地圖〉,《聯合新聞網》,2026 年4月25日,https://udn.com/news/story/6656/9461023。
