公共政策網路參與平臺

提議內容或建議事項

 

《個人資料保護法》第21條規定，中央目的事業主管機關針對「非公務機關為國際傳輸個人資料，接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞者」得限制之。

 

民眾經常透過旅行社安排行程或代訂機票、飯店、景點門票。為了提供這些服務，旅行社通常會蒐集旅客的中英文姓名、身分證字號、國籍、電子郵件、地址、電話、出生日期、性別、職業、監護宣告、機票訂位紀錄、飯店訂房紀錄與信用卡資訊；有時包括收入狀況、個人興趣與消費紀錄；此外，網路旅行社的APP可以蒐集旅客即時行蹤，訂位紀錄、訂房紀錄與信用卡資訊的交叉比對辨認旅客的社交關係。

 

這些資料如果被有心人士利用，會怎麼樣呢？

 

掌握這些資料的第三者，可以向金融機構、電信公司、醫院等機關的網路或語音服務中，冒充當事人；可以盜刷信用卡；可以知道消費者相當私密的活動，譬如跟誰一起旅行？一起買機票？一起訂飯店？刷誰的信用卡付費？

 

所以，台灣與各民主國家均制定個人資料保護法規範業者對個資的蒐集、處理與利用。但是，這些法律無法規範中國，中國至今仍欠缺對於個資保護之完善法規。無論旅行社把資料庫或資訊工程部門設在中國、委託中國境內業者提供各項服務，或者與中國旅行社共同行銷分享消費者資訊，都會造成消費者個資被旅行業者傳輸至中國。參考2012年9月25日國家通訊傳播委會「限制通訊傳播事業經營者將所屬用戶之個資傳遞至大陸地區」的前例，提議交通部身為旅行業之目的事業主管機關，應依《個人資料保護法》第21條發布命令，限制旅行業將個資跨境傳輸至中國(除非旅客的目的地就是中國，旅行業可以在旅客同意且最小必要範圍內提供資訊)。

 

就現實而論，中國實施數位極權統治且對台灣主權懷有敵意已不是秘密，在威權統治下，中國政府能輕易要求商業機構提供台灣民眾個資。以中共的「法治」標準，只要發表支持民主的言論，去過友善人權的商家消費，都算是犯罪。網路旅行社握有的資料，極有可能成為中國政府將人定罪的佐證，在入境中國或其友好國家時遭到逮捕、送中審判，李明哲事件就是顯例。

 

就法制而言，中國《個人信息保護法草案》至今未完成立法，甚至其《國家安全法》、《刑事訴訟法》、《國家情報法》以及《港版國安法》普遍存在強迫業者將消費者個資提供給極權政府的離譜規定，為預防台灣消費者個資因兩岸經濟往來而遭不當利用，損害國人權益，甚至淪為中共政權的工具，交通部確實有限制旅行業將個資跨境傳輸至中國的必要。

利益與影響

 

我國現行法制禁止中資經營旅行社，但仍有數家旅行社遭接露擁有中資背景，包含承包台鐵環島觀光列車業務之「易遊網股份有限公司」，與國內知名旅遊網路平台「Klook客路」。客路的官方網站隱私政策表示：「我們可能不定時將你的個人資料及其他資訊分享和揭露給第三方，其中某些第三方可能位在你的國家以外的地方；分享和揭露的情況包括：第三方服務提供者……任何可適用的法律、法院命令或政府機關要求揭露資料。」

 

中國《國家安全法》第77條與第79條、《刑事訴訟法》第54條及《國家情報法》第14條，皆賦予中共政府於需要時，得向任何民間機構要求取得人民資料的權力。「港版國安法」更明訂，「香港特區政府可以准予警方等執法部門在調查嚴重犯罪案件時要求有關服務商提供協助」。中國的國安與情報法規，就是中資旅行社向中國政府揭露消費者資料的依據。

 

我們不知道這樣的違法中資旅行社還有多少，即便是合法的國內業者，也可能因為資料庫或資訊工程部門設在中國、委託中國境內業者提供各項服務，或者與中國旅行社共同行銷分享消費者資訊，造成消費者個人資料被旅行業者傳輸至中國。為了保障台灣消費者權益，我們提議交通部應依《個人資料保護法》第21條制訂相關規定，限制旅行業跨境傳輸消費者個資至中國。此行政命令能有效保護台灣消費者，不遭受個資外流中國風險，並確保未來其雲端資料儲存裝置與連結不轉移至中國，或其它個人資料保護法令未完備的國家。

 

對於有前往中國旅遊需求的國人，本提案允許旅行業者就目的地就是中國的旅客，在旅客同意且最小必要範圍內提供資訊，並不影響國人前往中國旅遊。