明石/數位發展部審查委員
2026年4月23日,數位發展部宣布,中國導航應用程式「高德地圖」依資通安全管理法列為危害國家資通安全產品,公務機關全面禁用,國防部同步跟進。數發部資安署長蔡福隆的理由清楚直白:「根據中國法規,中國政府有權存取企業資料,高德地圖涉及定位、行動軌跡等資料,都會回傳到中國伺服器。」換言之,數發部將高德地圖列為「危害國家資通安全產品」,確立了一條清楚的判斷標準:凡採集台灣地理空間資料、人民生活軌跡,而相關資料可能流向中國主體者,即視為國家資通安全風險。
事實上,近期一個規模更大、滲透更深、卻尚未納入國家安全審查範疇的測繪風險,仍待台灣主管機關作成決定——Grab收購foodpanda台灣案背後所引進的GrabMaps,與受中國政府扶植之企業間存在密切合作關係,其潛在資料安全風險乃至國家安全風險,迄今未受正面評估。
GrabMaps:規模遠超高德的地理空間資料庫
GrabMaps並非普通地圖服務。依據Grab於2021年向美國SEC申報之Form F-1招股說明書,其資料資產累積超過440億公里GPS軌跡,覆蓋東南亞8國,由數百萬名司機與外送員持續採集道路網絡、人流密度、商業座標及交通行為數據。此類資料,如從軍事情資角度觀察,可認已屬「情報級」地理空間資訊 —— 它記錄的不只是道路形狀,而是「誰、在何時、以何種頻率、出現在何處」的完整行為模式。
尤其值得注意的是,相較於高德地圖仍依賴用戶主動下載,GrabMaps的資料採集嵌入於每一次叫車與外送交易,用戶無從選擇是否被採集,資料累積具有強制性與持續性。440億公里的資料規模,相當於地球到月球往返逾6萬次,其戰略價值不言而喻。
條條大路通中國:華為與WeRide
第一條通道:華為Petal Maps
2025年6月,GrabMaps與華為旗下Petal Maps簽署合作備忘錄,向其提供東南亞高精度地圖測繪資料,除此之外,更與華為旗下Huawei ID與Huawei Pay整合,向中國觀光客提供自行前規劃到落地接駁的一條龍服務。然而,華為自2019年起即列入美國商務部實體清單;更關鍵的是,依中國國家情報法第7條,任何組織與公民均有義務支持、協助並配合國家情報工作,華為自不例外。GrabMaps已透過與華為的合作關係,建立了一條將東南亞高精度地圖測繪資料輸送至中國主體的可行通道。無法排除Grab進入台灣後,循相同模式建立繞過股權審查,將台灣的「超在地化商業數據」及「360度街景影像」直接輸出中國華為,進而令中國統戰機關掌握極具軍事重要性的台灣地景,背後的國安破口風險,實令人擔憂。
第二條通道:WeRide與廣州禹跡
第二條通道來自中國自動駕駛廠商WeRide(文遠知行)。2025年8月,Grab與Uber宣布戰略投資WeRide;同年10月WeRide於香港聯交所IPO,Grab與Uber同列基礎投資人,三方並在WeRide發布之新聞稿中確認,將在自動駕駛技術、市場、生態系統與全球營運上深度合作。 WeRide與Uber的合作,早已於2025年底在阿布達比、今年3月間在杜拜,開啟自駕計程車的合作服務;同時,WeRide與Grab在新加坡的自駕車隊合作,更亦已於2026年3月正式啟動。
殊值留意的是,WeRide自動駕駛車輛所採集的感測資料,在精度與密度上遠超一般導航裝置,而WeRide與Grab的整合,意味著GrabMaps將獲得自動駕駛等級的資料注入,使其地理空間資料庫的戰略價值呈數量級提升。依WeRide於2026年4月23日向SEC申報之Form 20-F,其與中國官方的合作與關係,並非外界所想像的單純:
其一,WeRide將高精地圖的採集、儲存、傳輸與標注,委外予廣州禹跡公司(Guangzhou Yuji)辦理——而廣州禹跡,正是由WeRide執行長韓旭(Dr. Tony Xu Han)之胞兄韓明(Ming Han)所實質控制的關聯企業。三年累計測繪服務費合計逾人民幣2.68億元。更關鍵的是,依中國自然資源部2022年及2024年要求,任何外商投資企業若需從事地理資訊資料的採集、儲存、傳輸與處理,「須委託具備相應測量測繪資質的機構」辦理,被委託機構須承擔所有相關作業,並在中國法律框架下全面受到規管。易言之, WeRide依據中國法律必須透過廣州禹跡處理測繪資料,此一安排並非商業選擇,更是中國法令的強制要求。
對台灣的具體危害風險在此已然成形:若Grab攜WeRide進入台灣,WeRide自動駕駛車輛在台灣道路上運行時,將採集涵蓋路網幾何、交通時序、人流密度,乃至軍事敏感設施周邊地形的高精度感測資料。依WeRide現行合規架構,前述資料須流經廣州煜積處理,亦須儲存於廣州境內資料中心,並受中國法律全面管轄。換言之,台灣的地理空間情資,將透過一條合法合規、卻完全不透明的技術鏈條,流入受中國國家情報法管轄的主體手中。這與高德地圖「定位資料回傳中國伺服器」的國安邏輯,在結構上完全一致——差別僅在於,資料的精度更高、規模更大,且流通管道更為隱蔽。
其二,Form 20-F進一步揭示,WeRide受有中國官方逾人民幣1.92億元的「條件式政策性補貼」,並列為負債科目;補貼條件的認定,屬「地方政府當局的絕對裁量權」。換言之,中國政府對WeRide施下「緊箍咒」:無需持有股份,無需任命董事,僅憑近2億人民幣的條件式補貼,即對WeRide的資料申報合規行為取得持續性的財務強制力。試問,有哪一家企業,會願意以違抗大金主的政策性要求為代價,換取在台灣市場的商業利益?在此被犧牲的,是台灣人民的資通安全與國家主權。
監管盲點:三條通道均不在現行審查框架射程之內
若Grab進入台灣,上述三條資料通道將同時開啟:GrabMaps透過與華為Petal Maps簽訂之備忘錄、WeRide測繪資料透過廣州禹跡流入廣州資料中心、以及中國補貼槓桿對WeRide資料合規行為的持續施壓。三條通道的共同特徵:均不需要中資持股,均不出現在任何股權登記表上,均不在現行投審會審查框架的射程之內。
申言之,投審會以30% 陸資持股比例為主要審查門檻、公平會僅審查市場競爭、數位部尚無整合機制,能同時評估前所涉及的複合風險。數發部本週以高德地圖確立的審查邏輯,能否在本案中,與公平會、投審會、國安會等相關部會協力,共同守住台灣的資通與國家安全防線,實需各權責機關審慎以對,不容拖延。
