首份政府向數位平台索資報告：「對岸微信都可以，為什麼你們不行？」

發布 2026.06.25 13:26

開放文化基金會(25)日公布第一份民間版「配合政府執法，數位平臺該交出民眾資料嗎？」政府向媒體平台索資調查報傲圖：翻拍自開放文化基金會網站

開放文化基金會今(26)日公布第一份民間版「配合政府執法，數位平臺該交出民眾資料嗎？」政府向媒體平台索資調查報。除了有業者表示，有關機關會一年向他們索資2千多份，也有機關在各種閉門的溝通場合，以其他平臺為例施壓，例如質問：「對岸的微信都可以提供資料，為什麼你們不可以？」或稱「其他業者都配合，為什麼你不配合？」的集體氣氛，孤立堅持隱私原則的業者。

報告分文7個單元，包括「引言、隱私與執法拉鋸下的「數位索資」難題」、「壹、臺灣索資爭議的縮影：Dcard案」、「貳、平臺業者：索資實務中的風險與兩難」、「參、被排除的當事人：索資後的通知與救濟困境」、「肆、索資治理的下一步：來自現實面的挑戰」、「伍、索資治理的下一步：改革方向的建議」、「結語：走向三方皆贏的數位治理」。

報告直切入，當執法機關為了偵查犯罪，要求平臺業者提供資料（索資）時，核心難題隨之浮現：身為公民，我們是否有權利了解政府調取私密資料的狀況？持有資料的業者，是否有權代替我們決定交出資料？最關鍵的是，當個人隱私與調查／執法需求產生衝突時，該如何衡平兩者需求？

開放文化基金會表示，他們也深度訪談4家業者、2個政府主管機關、1個法律專家、與1個人權團體代表，盤點索資的實務挑戰與治理結構問題。此外，為了嘗試釐清臺灣執法機關索資的現況，也向臺灣高等檢察署、法務部調查局、廉政署、內政部刑事警察局申請政府資訊公開，希望取得過去兩年向平臺業者索資的統計數據。

當平臺業者收到機關提出索資，首先得評估索資的樣態。索資可依照提出的機關和提出請求的形式，大致分為以下四類：

司法令狀：由法院核發（如搜索票、扣押裁定）。司法令狀的特殊之處在於，犯罪偵查機關不能自行決定索資——必須先向法院提出申請，由與案件調查無利害關係的法官獨立審查索資是否確有必要、其範圍是否造成不相稱的隱私侵害。但也因程序較繁瑣，犯罪偵查機關除非情況特殊（如資料儲存於第三國、需要更強的調取正當性），通常不會主動選用令狀途徑。

刑事公函：法院／檢察／警察／調查單位基於犯罪偵查或訴訟審理需求，向業者發出的正式書面索資請求。

行政公函：各級行政機關（如衛福部、稅務單位、地方政府）基於行政調查需要（例如釐清裁罰對象身份），向業者發出的正式書面索資請求。

非正式：實務中，機關可能以電子郵件、電話等管道提出索資。

為了確保程序正當並保存正式憑據，平臺業者原則上僅接受令狀、公函作為索資憑據，對於非正式提出的索資要求，通常不予受理。除了審查請求形式是否合於正式受理要件外，平臺也會進一步辨識機關要求提供的資料類型。就單一使用者帳號而言，常見的索取資料大致可分為以下幾類：

註冊資訊：使用者ID、聯絡電話、顯示名稱、綁定E-mail及註冊日期等。這些資訊是連結虛擬帳號與實體身分的關鍵，機關可據此在現實世界中進一步查找使用者的真實身分。

中繼資料（Meta Data）：使用者IP、登入時間、使用裝置的識別碼等。這類資訊可用於追蹤使用者登入的時間與地理位置，透過長期累積的足跡，足以拼湊出一個人的生活作息與移動規律。

交易紀錄：買賣雙方的交易內容、金額與時間。這類資料直接揭露了使用者的經濟現況與消費習慣，甚至能推導出特定的生活偏好。

使用者間通信內容：使用者與他人的私密對話紀錄。這是隱私權最核心的地帶，涉及最真實的個人思想、情感與人際網絡。重視隱私的業者通常會採用端對端加密（end-to-endencryption）技術，意味著就算是業者也無法獲取實際的通訊內容。

痛點：機關索資量大且廣，業者行政量能難以負荷

受訪業者普遍反映處理能量已達臨界點。對人力規模有限的臺灣在地業者而言，更是難以負荷。有在地業者曾短暫開放電子公文的管道，結果被爆量的機關索資請求淹沒，最後只能選擇再次關閉，退回紙本公函的流程，以控制機關發起請求的頻率。有受訪業者表示，公司僅有2-3位法遵人力，一年卻需處理超過2,000件索資要求；LINE官方透明報告亦揭露，單在2025年上半即接獲953件索資要求。

反對「搭便車」式的身分反查：業者極力反對機關將平臺視為自動化身分比對工具。例如機關常因《洗錢防制法》有資料留存規定，便要求業者在無明確法律義務的狀況下，進行大規模資料比對與篩選。執行資料反查，恐讓業者落入目的外利用個資、侵害使用者個資的風險。

受訪業者說：（機關）可能透過其他平臺、或是資料來源，拿到手機號碼之後，想試試看可以從哪裡撈到更多個人資料，（機關）就會拿手機號碼來問我們，可不可以確認這屬於哪個用戶、提供他的資料過來。

在臺灣現行法律中，《通訊保障及監察法》對國家取得人民通訊內容與通訊資料設有最精細程序要求（發動要件、調取資料類型），主要規範電話監聽、調取通聯紀錄及通訊使用者資料等行為，並在2024年修法後將網路流量紀錄資料納入規範範圍。然而，其適用對象僅限於電信業者，數位平臺並不在列，使最敏感的數位足跡反而落入規管薄弱的法治地帶。目前，機關向數位平臺索資所援引的程序性法源，可分成刑事搜索／扣押、以及一般性的調查權兩類。

一般性調查權：無論是犯罪偵查還是行政機關，都會援引依程序性法律授予的調查權，向平臺業者索取使用者個資。常被引用之法條如下：

●犯罪偵查機關經常援引《刑事訴訟法》第229、230、231或247條（檢察官與司法警察有偵查、蒐集證據之職權）。

●行政機關則會援引《行政程序法》第39、40條（授權行政機關為查明事實，可要求第三方提供必要資料或文件）。

●也有機關會援引《個人資料保護法》第15、16條，主張其基於執行法定職務或公共利益需要，得向平臺索取（蒐集）資料，本質上仍是用機關的調查權來賦予索資行為的合法性。

整體而言，臺灣對於索資的規管密度極低，但可索取的資料類別極為廣泛，且未設「機關何時可以發動索資」的實體要件、索取範圍限制或救濟機制，平臺實務上幾乎沒有拒絕或裁量索資範圍是否合理的空間。這造成了「不對等」的現狀：法規賦予機關廣泛的調取權限，卻未建立讓平臺判斷索資合理性的制度基礎。

缺乏具體事實資訊與明確法遵指引，平臺難以實質把關平臺作為使用者個資的持有者，在交付資料前仍有《個人資料保護法》上的把關義務，至少需檢視機關是否具備法律依據、調取目的與資料內容是否具有合理關聯、範圍是否過廣等，避免讓機關浮濫取得使用者資料。儘管平臺試圖兼顧使用者隱私與回應執法需求，但業者在實務上幾乎沒有拒絕的空間與權利。

這種無力感主要來自以下三個面向：

業者缺乏事實資訊：機關在索資時，通常僅提供簡短案由（如：偵辦詐騙案件），並未說明具體調查事項爲何、爲何需索取該人個資、以及該資料如何滿足調查需求等。資訊的缺乏，導致業者難以進行比例原則的衡量，被迫成為國家行使調查權時的「延伸手腳」，不僅需要承擔合法風險，也可能承受因資料提供而引發的隱私侵害爭議。

機關缺乏原則規範：資料調閱的正當性原應由執法機關依法律授權判斷，但現行制度多仰賴程序性法規。即便是實體法，也僅規定了業者的配合義務，或廣泛列出可調取的資料類型，沒有先就機關發動索資的實體要件建立統一規範，例如須具備何種事實基礎、應說明哪些理由、以及調取範圍如何受到必要性與最小化原則拘束。於是，平臺在面對索資時，只能依賴內部流程與個案狀況自行判斷，也讓索資過程中的隱私保護存在業者間的不一致性。

機關施壓：機關有時會動用各種管道與手段，包括正式與非正式，來迫使業者更加配合索資要求。

●動用輿論：機關可能會向媒體釋出「平臺不協助偵查、包庇犯罪」的消息，利用公眾對社會安全的需要來迫使業者降低把關程度。

●司法程序威脅：例如2023年Dcard因拒絕提供資料遭警方大舉搜索。這類透過合法程序產生的經營干擾，具備強烈的寒蟬效應。亦有受訪業者表示，曾因機關認為業者處理索資的效率太差，開傳票給董事長；或者曾因拒絕配合索資，遭機關扣押電腦而無法營業。

●訴諸集體壓力：機關在各種閉門的溝通場合，以其他平臺為例施壓，例如質問：「對岸的微信都可以提供資料，為什麼你們不可以？」或在跨部會協調會議中，利用「其他業者都配合，為什麼你不配合？」的集體氣氛，孤立堅持隱私原則的業者。

受訪學者說：目前的法規都是賦予主管機關執法權力，非常少賦予平臺業者裁量或拒絕的權利，因此平臺是很難拒絕被索資的。

受訪業者說：因為沒有充分的工具可以抵抗索資，消極的方式是以行政作業量能為理由提高行政機關索資的成本，減少索資的數量。

本次受訪業者大多花費1至2週處理一案（包括回函）。當機關要求調取「與嫌疑帳號互動過的所有帳號清單」時，平臺必須提取大量紀錄（如共同群組、頻道或交易）。機關看似針對單一對象索資，背後卻是牽連出數千甚至數萬筆關聯資料，導致調取極為耗時。

但《詐欺犯罪危害防制條例》要求業者須於收到通知3日內提供資料。機關常以「偵辦急件」要求業者在24至72小時內回覆。機關只求行政效率，隱私風險卻由平臺承擔快，還要更快；多，還要更多。在索資制度缺乏隱私風險評估與優先順序設計的情況下，機關往往只追求行政效率，要求平臺加速提供更多資料，實質上卻將隱私、聲譽與營運風險全面轉嫁給業者。

受訪業者說：（我們）是社群為主的服務，希望保護使用者的言論自由，但同時也是有一些配合政府的義務。變成給資料會被罵－－你們要好好保護使用者的隱私；不給也會罵說－－你有助於犯罪的事。我們一直都是陷在這兩難，腹背受敵。

在現行制度下，法律廣泛賦予機關索資權限，卻未同步建立清楚的實體要件、審查標準與課責機制，使平臺被迫承擔實質隱私把關責任。目前各機關依據執行各自業務的條文請求資料，不僅造成沉重的行政負擔，更讓平臺缺乏判斷請求合理性的法理依據。這宛如一場沒有裁判的球賽：機關投出的每一球，平臺都必須被迫揮棒接招。平臺沒有不擊球的權利，任何拒絕都可能被判定為不配合執法的失分。

機關傾向「先拿資料再說」：執法機關通常以效率為首要考量，傾向在偵查階段盡可能收集資料再進行篩選。這種邏輯極易模糊比例原則，導致無辜民眾的數位足跡在不知情下被納入監控。

平臺資訊不對稱、難以實質把關：平臺常因機關主張「偵查不公開」而無法得知索資的真正理由。在缺乏案情資訊、法源標準不一的壓力下，平臺難以在第一關進行有效的程序評估。

受訪業者說：（索取的資料）是非常深的，因為你把這個人過去某段時間發的每一個訊息的IP利用三角定位，在地圖上顯示，就可以看到他實際移動的軌跡是什麼，以及他在哪些IP出現的熱點特別的高。

事後：你無法得知，公民社會也無從監督
政府機關是發動索資的主體，通知當事人的程序保障原則上也應由國家承擔。至於業者是否在偵查保密需求消滅後配合通知，仍有賴制度提供明確的分工與時點。然而，在現行實務中，資料一旦交付，通常不會有任何一方主動告知當事人，使用者對自身個資去向處於「無感」狀態，甚至不知道這件事曾經發生。

無透明度義務：國內目前無法律要求平臺業者或政府機關公布索資量體、案由、接受比率等統計數據的「透明度報告」。

以「資訊不存在」或「偵查不公開」迴避監督：OCF針對索資現況發函詢問多個關鍵機關，然而並無任何單位願意提供實質的統計紀錄。各機關拒絕提供的法律理由摘要如下：

●法務部廉政署、調查局：均表示未辦理該項統計作業，或相關統計資訊在客觀上「並不存在」，因此無法提供。這顯示機關對自身索資行為與規模，未必建立完整的統計與追蹤機制，更遑論進一步評估其隱私風險與比例原則。

●內政部警政署刑事警察局：主張相關資訊涉及《政府資訊公開法》第18條，認為相關統計若公開，將妨害犯罪偵查或侵害企業營業權益，故拒絕提供。但我們認為，若資訊僅以年度總量、案由類型與接受比率等聚合統計方式呈現，既無法識別個案身分，也難以推知個別業者在特定案件中的配合方式或審查標準。更何況現行制度下亦已有通訊監察統計的定期公開機制，顯示公開此類統計並非不可行。

●臺灣高等檢察署：僅提供現有針對電信業者的「通訊監察統計」網址，並聲明除此之外針對數位平臺業者索資並無統計資料。

既有稽核難以防堵權力濫用：以前臺北市派出所長葉育忻洩密案為例，葉員曾利用職權洩漏個資給詐騙集團高達17次。儘管臺北市警察局強調每月皆依規定稽核，但面對單月高達3,150萬餘筆的龐大查詢紀錄，現行稽核仍可能流於形式，難以主動發現異常或防堵權力被惡意濫用。

外部難以檢驗，問責無從落實：更根本的是，即使機關宣稱設有稽核機制，外界通常仍無從確認其實際內容、執行頻率與成效。這不僅是機關究竟調取了多少資料的問題，也包括調取資料是否確實

索資治理的下一步：來自現實面的挑戰20有助於調查、是否蒐集了不必要的資料而逾越比例原則、是否被用於他案查察或建置資料庫等目的外利用、取得後如何保存並控管存取權限，以及案件結束後是否確實刪除或銷毀。當從調取理由到後續管理的整個過程都無法被外部檢驗時，「機關自律」便容易停留在書面宣稱，而難以形成實質問責。

跨境法源不明引發業者法遵疑慮：缺乏明確法規的現狀下，業者常面臨母國法律與臺灣執法慣例的衝突。以受訪平臺業者為例，其母公司所在國隱私保護法規較嚴，因此原則上需臺灣法院的令狀才能提供使用者個資。經磋商後，雙方目前採取折衷方案，僅限法定刑三年以上的重罪及有共識的個案，方可憑「搜索票」索資；另針對《詐欺犯罪危害防制條例》議定特別程序，允許機關以公文調閱使用者的註冊資料。但這些安排仍欠缺穩定且明確的合法性基礎，使業者持續承擔違反母國法律的風險。

訪談中，業者普遍指出，「案由不明確」是索資實務中最核心的困擾。機關則擔憂，若程序過度細緻，將影響執法效率。這樣的張力或許難以完全消除，但在效率與權利保障之間，至少應建立一套明確、可遵循的最低程序標準，使平臺不再於模糊地帶獨自承擔判斷風險。

借鏡美國《雲端法案》（CLOUD Act）：該法案的核心機制是「雙邊執行協議」，兩國政府允許執法機關得以直接向對方境內的服務業者發出索資命令，無須經由傳統司法互助條約的繁冗程序。協議設有明確限制——請求須針對具體對象、限於嚴重犯罪，並須受獨立機構監督——索資治理的下一步：改革方向的建議以此在執法效率與隱私保障之間取得平衡。目前美國已分別與英國（2022年）、澳洲（2024年）建立協議，顯示此框架具備實踐先例。臺灣可以此模式為藍本，與平臺母公司所在國家建立類似的雙邊資料調取框架，為跨境索資建立明確、可預期的法律依據。

落實利害關係人諮詢：訂定跨境傳輸限制或法規時，政府應充分諮詢相關領域，以避免規範脫離實務。以衛福部過去研議限制資料傳往中國為例，因忽略國際新藥研發的臨床試驗需求，最終被迫加入大量例外條款。因此，跨境治理規範若要達成隱私保障目的，必須建立在對既有傳輸結構與產業運作邏輯的理解之上，方能避免落入「法規補丁」的窘境。

推動公私協力治理：政府應邀集民間科技社群與公民團體共同討論比例原則與資料保存細節，透過多方長期對話與滾動式討論，才能在快速變遷的數位環境中，尋找比單一法條更合適、更能兼顧隱私與執法的解決方案。

培力專業人才：好的制度還需搭配專業人才來落實。建議政府設立專門職系培育個資保護專才，並提升公部門與大眾對於數位隱私及外洩風險的認知。