20201126【新聞稿】中資旅行社跨境傳輸消費者個資的風險

經濟民主連合日前揭露,台灣最大網路旅行社「易遊網」的實質控制人是中國攜程網(Trip.com)。經濟民主連合今日(26日)早上聯合立法委員陳柏惟與台北市議員苗博雅舉行記者會,台灣公民陣線秘書長江旻諺表示,旅行社業務常態收集大量消費者個人資料,因此當明確的中國影響力涉及此領域,我們就必須注意中資旅行社跨境傳輸消費者個資的風險。

易遊網的實質控制人「攜程網」表示中國有權索取用戶個資

他提到,經濟民主連合於11月5日的記者會中,已彙整公開資訊,並清楚揭露Trip.com公司(中國攜程網)對易遊網股份有限公司(下稱易遊網公司)的實質控制關係;若進一步細閱Trip.com公司最近年度報告的第17頁,Trip.com公司宣稱其相關業務收集個人資料的範疇包括用戶的電子郵件、網路使用數據、個人識別資料、密碼、信用卡帳號、全名、帳單地址與手機號碼等。

江旻諺特別指出,Trip.com公司甚至在年度報告第46頁中露骨地揭露:「中國政府有權力,命令網路服務提供者提交用戶的個人資訊,如果該使用者發佈任何被禁止的內容或在網路上從事非法活動。」 (原文:The PRC government, however, has the power and authority to order internet information services providers to submit personal information of an internet user if such user posts any prohibited content or engages in illegal activities on the internet.)

江旻諺質疑,中國的個人資料保護法令尚不健全,更別說一個對台灣主權懷有敵意的極權國家內部本就沒有可信賴的監督機制,不該期待其遵循法治精神,相反地,中國政府還可能透過其它行政手段獲取商業機構所儲存的台灣民眾個資。江旻諺引述「港版國安法」第43條,香港特區政府可以准予警方等執法部門在調查嚴重犯罪案件時要求有關服務商提供協助,並且第38條規定,所有不具有香港永久性居民身份的人,在香港以外,違反「港版國安法」皆適用本法。他認為「港版國安法」清楚揭示,倘若旅行社機構沒有妥善迴避中國影響力的相關風險,中國政府有充足的行政手段要求境內或境外受中國控制的商務機構,以國安理由配合提供台灣民眾個資。

另外,根據中國《國家安全法》第77條,公民和組織應如實提供所知悉之涉及危害國家安全活動的證據;第79條:企業事業組織根據國家安全工作的要求,應當配合政府部門採取相關安全措施;中國《刑事訴訟法》第54條:中國人民法院、人民檢察院和公安機關有權向有關單位和個人收集、調取證據;中國《國家情報法》第14條:國家情報工作機構依法開展情報工作,可以要求有關機關、組織和公民提供必要的支持、協助和配合。江旻諺強調,Trip.com公司所謂遵守中國境內個資規範,極可能是讓個資暴露在中國掌控的風險之中。

要求觀光局發布行政命令限制跨境傳送民眾個資

為了有效保護使用易遊網公司服務的消費者不遭受風險,江旻諺要求主管機關交通部觀光局根據《個人資料保護法》第21條——非公務機關為國際傳輸個人資料,接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞者,中央目的事業主管機關得限制之——發布行政命令,限制包括易遊網旅行社在內的全國旅行業不得將用戶之個人資料跨境傳輸至中國(除了單筆赴中旅客的必要資訊外),並確保其雲端資料儲存裝置不設在或連結中國等個人資料保護法令未完備的國家。

經濟民主連合對中政策組召集人、中研院法律所邱文聰研究員表示,今年10月中國發布《個人信息保護法》草案,標示中國將制定個資保護相關的法令,其中共有70條條文;他認為,最關鍵應該注意第40條及第42條。第40條寫明,雖然中國打算開始執行個資保護,但其個資保護規範仍不超越其國安法制的框架,在這個框架中,中國政府可以要求中國民間機構提交民眾個資。第42條則表明,中國網信部門可介入執法過程。

面對這樣的中國法制,邱文聰認為臺灣應依《個人資料保護法》規定,若民眾需要被跨境傳輸,則要有管控機制。當傳輸目的國本身法制有缺陷,主管機關則可以對該傳輸加以限制(個資法第21條)。因此,他要求觀光局積極擬訂、發布行政命令,予與限制或禁止,讓台灣民眾個資不陷入風險。

立法委員陳柏惟表示,我們便必須注意到在台灣投資的中資企業必然掌握國人的個人資料。他以中國《網路安全法》為例,中國會要求所有東西在中國留一份副本,包括所有交易紀錄。據此,他認為中國作為個資資料跨境傳輸的接受國沒有完善的法規來保護國人的個人資料。

陳柏惟提到,2012年NCC便公告限制通訊傳播事業把客戶的個資傳到中國;當時NCC就已經認定了因為中國對於個人資料保護的法規不足,所以限制通訊傳播事業經營者將其用戶的個人資料傳遞至中國。

另外,陳柏惟指出,金管會對於銀行等金融機構在境外委外處理客戶個資時,也必須要經過核准。比方境外的金融主管機關不會取得我國客戶的資訊、所在地客戶資訊保護不低於我國提供的相關規定標準等。

基於關心國人的個人資料保障、中國對台經濟和政治滲透,陳柏惟提醒,除了確保國人的個資符合原本目的使用外,還要防範中國的政治企圖。陳柏惟表示他將持續追蹤觀光局對於若有中資在台投資旅行社,國人個資跨境傳輸到中國時,除了合於原本客戶所購買產品和付款等資料外,相關的保障規範會是什麼?

他舉例,有許多關鍵問題需要釐清:觀光局可否比照NCC,認定中國對於個資保護不足,會損害國人的權益?當中國政府認定台灣用戶於網路張貼非法內容,要求在中國的網路提供者提交網路用戶的個人資料,我們政府有什麼因應辦法?如果個資的資料庫設在中國,我們會如何因應?比方如果客戶資料在中國被委外利用,又要如何因應?

中國人董事登記在台北市 市府須公開說明

江旻諺並要求台北市政府公開說明,為何登記在台北市政府的易遊網公司,其五席董事中,竟包括兩位未經主管機關許可的中國人:中國攜程網執行長Jie Sun(孫潔),以及中國攜程網國際執行副總裁Xing Xiong(熊星),還有被熊星取代的Jian Zhang Liang(梁建章)。江旻諺說明,中國攜程網現任執行長Jie Sun(孫潔)自2011年02月08日起至2018年01月21日,長年擔任易遊網旅行社股份有限公司(下稱易遊網旅行社)董事,並自2011年06月24日起,長年擔任易遊網公司副董事長至今。中國攜程網國際執行副總裁Xing Xiong(熊星)也於2018年07月17日起接任Jian Zhang Liang(梁建章),擔任易遊網公司董事。這些明顯是Trip.com公司派在易遊網旅行社及易遊網公司執行業務之人。江旻諺呼籲,依《兩岸人民關係條例》第72條之規定,若未經主管機關許可,台北市政府應撤銷中國人Jie Sun(孫潔)與Xing Xiong(熊星)之公司董事登記。

台北市議員苗博雅表示易遊網公司登記在台北市政府,台北市政府商業處即應針對其董事登記,說明是否依照《兩岸人民關係條例》第72條,提交主管機關審查。若登記時沒有經過實質審查過程,那就應撤銷違反《兩岸人民關係條例》的董事登記。她也呼籲投審會若重啟調查,也應謹慎處理。

會後,易遊網公司董事長陳甫彥主動來到現場說明。苗博雅回應,她多次以議員身份,參與疫情後旅遊經濟復甦的討論,今日記者會同樣是基於這樣的本意,為消費者的個資保護做好制度上的保障。當易遊網有中資疑慮,也應進一步討論有什麼機制能保障臺灣消費者,以及透過投審會確實審查,呈現清楚資訊,交由消費者自由判斷。

陳柏惟提到,董事長的回應似乎沒有回應,如果中國向易遊網對方索取民眾個資,易遊網將如何應對。陳柏惟指出,今日記者會要求觀光局發布行政命令的通案規範,其實也是為了保護台灣企業,建立規範,使企業有更多手段免於中國政府的威脅。陳柏惟相信,完善制度規範,不只保護到消費者,同時也為各旅行社打造出更安全的經商環境,有利於長期發展。

邱文聰感謝陳董事長肯定記者會對於個資保護的訴求,他再次呼籲交通部觀光局儘速設立個資跨境傳輸的規範。針對陳董事長認為Jie Sun(孫潔)與Xing Xiong(熊星)皆以外國人身份登記為董事,邱文聰補充,目前台灣現行中資規範於認定中國籍人士或中資時,確實往往陷於形式審查的謬誤,而非由實質審查的精神,審慎處理「假外資、真中資」的案例;因為許多中國因素及中國影響力非常顯著的法人或個人,可能透過外資或外國人身分規避審查。從形式審查的面向而言,許多公司不被認定為中資,但實質上卻讓台灣陷入困境。他期盼投審會能夠透過實質審查,給予台灣社會清楚的答覆,也真正解答陳董事長的提醒。

記者會資訊:

|主辦單位:經濟民主連合

|時間:2020年11月26日(四)上午九點

|地點:立法院中興大樓101室


|出席:

 邱文聰|經濟民主連合智庫對中政策組召集人、中研院法律所研究員

 陳柏惟|台灣基進立法委員

 苗博雅|台北市議員

|主持:

 江旻諺|台灣公民陣線秘書長

|媒體聯絡人:江旻諺(0937-169-222)

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *