



























Grab 併購案引發跨境資料儲存的公共討論。然而,資料存於境外已是數位服務常態,真正的風險判斷應該是:資料儲存地的司法保障是否完善。對此,新加坡的答案,值得細看。
Photo Credit:Shutterstock / TPG Images
近期,東南亞外送龍頭 Grab 正向台灣公平交易委員會申請承接 foodpanda 台灣業務,在市場競爭討論之外,也在輿論場引發了一波關於跨境資料儲存與國安風險的焦慮。然而,仔細檢視這波討論,不難發現其中混雜著對「資料出國」的泛泛恐懼,卻缺乏對風險本質的合理辨識,將所有跨境資料處理一律視為同等威脅,反而是最容易被操作、也偏離現實的說法。
因此,透過還原數位服務的基本事實,從資料存放境外、與資料存放於特定法域,看法律意義與資安風險上的本質差異,唯有建立這道判準,關於跨境資料的公共討論才能從情緒導向轉為事實導向。
對於台灣數位服務的使用者而言,「資料出國」其實不是新鮮事,打開 Klook 訂購行程、在 Spotify 聆聽串流音樂、透過 LinkedIn 建立職涯人脈,這些指尖下的數據,時時刻刻都在跨越國境,跳轉於亞太各地的資料中心之間。在數位國界日益模糊的時代,跨境資料處理已經是雲端服務運作的技術常態。
然而,資料跨出國境是否等於危險?從各大國際數位平台的實際部署觀察,答案遠比直覺複雜。舉凡 Agoda、Booking.com、Airbnb 等全球旅遊電商,以及 Netflix 等影音串流平台,多半採用 AWS、Google Cloud 或 Microsoft Azure 等全球大型雲端服務商。這些平台的亞太區資料儲存節點,普遍託管於新加坡、東京或雪梨等具備成熟雲端區域(Region)的樞紐,這些聯網緊密且政治穩定的節點,也是確保服務低延遲、運算高效能的產業標準規範。
而在亞太網路版圖中,新加坡的地位尤為關鍵,受惠於多條主幹海底電纜匯接與獨特的地理優勢,新加坡在傳輸效能上擁有難以複製的競爭力,成為國際平台部署基礎設施的首選據點。根據 TeleGeography 2026 年上半年的市場連通性評分(MCS),新加坡與東京就持續穩坐亞太核心樞紐地位。如總部設於新加坡的 Grab,其資料基礎設施也是建立於此。
針對輿論關切「資料節點是否可能繞經中國法域」的疑慮,可從雲端基礎建設的架構來看。事實上,前述國際雲端大廠在亞太部署上,多採取嚴格的技術隔離策略,其全球服務與中國境內,從帳號體系、管理介面到物理設備,基本上是互不相連的,例如:Google Cloud 就沒有在中國設立機房;而 AWS 在全球區域與受中國法律管轄的北京、寧夏區域也完全隔離。
簡言之,當平台選擇將基礎設施託管於這些國際雲端供應商的亞太節點時,資料在傳輸路徑與儲存環境中,技術上已排除繞經中國法域的必要性。
不過,談到資料儲存地的安全性,可從法制再談起,新加坡作為亞太數位樞紐的可信度,其實是建立在成熟的法規治理之上,並獲得多層國際框架的背書。
在境內法規層面,新加坡的《個人資料保護法》(PDPA)就明確規範企業對個資的保護、告知與跨境傳輸限制義務,在法律層面禁止企業將個資任意移轉至法治程度不透明的區域。
在國際框架層面,新加坡與台灣同為亞太經合會(APEC)跨境隱私保護規則(CBPR)的成員,具有跨境傳輸的問責制基礎。另外,新加坡也與歐洲自由貿易協會(EFTA)簽署數位經濟協定(ESDEA),建立資料安全跨境流動的健全框架,以及針對日本《個人資訊保護法》(APPI)的嚴格跨境傳輸要求,新加坡企業亦透過標準契約條款或 CBPR 框架完成對接。這一系列協定,代表新加坡是歐、日等成熟法治國家所共同認可的可信任法域。
這套法治保障在實務上的意義是,新加坡法律為資料劃定了明確的管轄邊界,因此企業必須透過金鑰在地化與權限區域化管理等技術手段,賦予實質的法律防禦效果。換句話說,即便跨國企業具備多國據點,若無新加坡法域授權的維運權限,外部指令也難以跨區解密資料,進而確保數位主權不會因企業的跨國性質而遭到越界干預。
回看台灣現行法規的立場,《個資法》第 21 條就明確指出限制跨境傳輸的判斷基準,聚焦於目的地國家的法令是否完善,而非地理位置本身;在此標準下,具備成熟隱私法律與 APEC CBPR 認證的新加坡,其法規嚴謹度與對個資保護的實質要求,已與台灣處於對等且互認的水準。
同時,也可參考數位發展部《政府公有雲服務供應商檢核作業指引》。政府在評估境外儲存的安全性時,要求必須通過國際檢驗門檻,確保企業具備國際認證的資安管理體系,以及能有效防止非法破解與存取的加密技術。
台灣法規所劃定的紅線,並不是禁止跨境傳輸,而是防止資料流向缺乏透明司法監督、或存在國安威脅的特定法域,只要符合國際資安標準且位於法治透明的環境,跨境儲存不僅是合法合規的選擇,更是接軌全球數位生態系的理性趨勢。
要理解跨境資料儲存的真實風險,必須在公共討論中建立一道清晰的分水嶺,以反例來說,今年(2026)4 月,國安局針對來自中國的「高德地圖」進行內部檢測,15 個項目就發現了 9 項問題。國安局長蔡明彥更公開說明,高德地圖即便在使用者關閉 APP 後,仍持續將通訊錄、通話內容、即時影音等資料回傳至中國伺服器。
問題的根源,在於制度。因為中國《國家安全法》要求中國籍企業必須應政府要求交出企業與用戶資訊,因此整個過程無需經過任何司法審查,即可開放中國政府取用。
對照之下,國際平台將亞太節點設於新加坡,其資料所處的法律環境具備實質的防火牆。若政府要求調閱儲存於新加坡的個資,必須遵循正當法律程序,並透過如法院簽發的傳票或處分等具法律約束力的途徑。程序是否公開、是否受法律約束,就是兩種法域之間最根本的差異。
回看 Grab 進入台灣市場引發的輿論討論,必須明確釐清的是:Grab 是否將台灣使用者資料儲存於中國境內。「儲存於新加坡」與「儲存於中國境內」在資安等級上存在本質區別,辨識其中差異、理解背後的法理脈絡,也應該是數位時代公民識讀的基礎。若將受信任法域的資料處理常態,與中國境內的特殊法律風險混為一談,不僅不符合現實,更可能誤導防衛資源的分配,使社會真正需要警戒的國安威脅,淹沒在對跨境服務無差別的盲目焦慮中。
責任編輯:羅弘旭 / 核稿編輯:林筠騏
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。