從蝦皮到 Grab：監察院報告揭露的國安危機

監察院於 5 月 6 日公佈調查報告，由監察委員賴振昌、賴鼎銘指出跨境電商平臺在我國投資審查、第三方支付、跨境個資、洗產地及店到店物流五項面向，已生國安與消費者權益之結構性風險，並促請相關部會研議改善。同日，經濟日報社論〈從高德地圖省思潛在國安風險〉延伸論及跨平臺資料鏈之治理空白；公平會 4 月 7 日通知 Grab 收購 foodpanda 臺灣業務案補件之 5 月 15 日期限亦已經屆至。蝦皮逾半年之投資審理遲滯，與 Grab 案時程錨點，於同周內構成觀察我國跨境平臺監理之難得切片。蝦皮、Grab 兩家企業同源於新加坡母公司，其在資料鏈管理上明顯涉中；此非「數位平臺」之商業模式問題，而是「資料治理」之國家層級議題。

東吳大學法學院教授/前資策會科法所所長蕭宏宜。 蕭宏宜/提供。

從蝦皮到 Grab，事件鏈非僅同類業務之巧合。依監察院報告所示，蝦皮投資案中，投審司曾先數次函詢相關機關，並多次函請申請人補正資料，但對關鍵疑義未形成具拘束力之整合判斷，嗣經工作小組會議方作成決定；自申請至覈准歷時逾半年，較《外國人投資條例》第八條所定 2 個月之處理期間爲長。此一遲滯路徑，反映以股權比例爲核心之形式審查工具，恐難對應跨國企業常見之多層控股、董事會影響力及策略決策權。

不寧唯是，Grab 六億美元收購 foodpanda 臺灣業務案於3 月 27 日送件公平會、4 月 7 日獲通知補件、5 月 15 日補件屆期。工商時報 5 月 5 日社論已指出，公平會於 2024 年聖誕節否決 Uber Eats 直接收購 foodpanda 後，本案改由 Grab出面作爲買方；雖讓市場保留兩家業者，然 Uber 同時持有 Grab 約 13% 股份、執行長兼任 Grab 董事，並加碼入股 foodpanda 母公司 Delivery Hero 已超過三分之一，甚至更有收購Delivery Hero的相關動作與計劃，實質競爭關係顯然已大幅消解。

另據 Taipei Times 同日報導，Grab 與 Uber 均與文遠知行存在策略投資或合作脈絡；文遠提交美國證管會之 Form 20-F 載明其測繪與地圖資料相關服務，包括資料蒐集、儲存、傳輸、標註等，系由廣州禹跡提供或協助，並接受中國政府逾人民幣一億九千二百萬元附條件補貼，GrabMaps 並於 2025 年 6 月與華爲 Petal Maps 簽署合作備忘錄，供應東南亞地圖資料服務。若從跨境平臺資料治理角度觀之，蝦皮、Grab 與高德、文遠、GrabMaps 看似不相干，底層卻共指同一治理軸線：跨境平臺對臺灣空間運作、消費行爲與社會節奏之穿透性蒐集與儲存。

凡此種種，共同浮現三軸結構性張力，亟待制度迴應。

其一，形式股權與實質控制間之認定鴻溝。公平會代理主委陳志民 4 月 23 日表示，本案審查不僅止於形式層面，將進一步檢視股權結構、董事兼任及跨公司持股等實質控制力。惟現行《公平交易法》第十一條結合審查門檻仍以市佔率四分之一（25%）及銷售金額爲核心；Uber 持有 Grab 約 13% 股份、投票權比例較低，並未當然落入單純以持股比例判斷之典型控制門檻；惟其同時具Grab董事席次，甚至是近期更已持有賣方母公司Delivery Hero 股份達 36%以上，即超過公平交易法第十條持股三分之一結合申報門檻之資本連結，仍足以構成公平會檢視「直接或間接影響業務經營、競爭誘因或商業敏感資訊流動」之重要事實基礎。Uber對Grab與foodpanda之實質控制力疑慮，已非單純臆測，至少已足以構成主管機關進一步調查與說明理由之基礎。高雄大學廖義銘教授 4 月 19 日投書亦指，本案買方、賣方母公司及我國市場僅存競爭者皆繫於 Uber，更深風險在於「平臺入口」之集中。歐盟 2025 年 6 月對 Delivery Hero 與 Glovo 透過少數股權與董事席次進行互不挖角、商業敏感資訊交換及市場分配等卡特爾行爲處以三億二千九百萬歐元裁罰，爲歐盟首次裁罰少數股權於競爭事業內之反競爭使用，已示範以實質控制力爲審查覈心之國際趨勢，我國形式股權審查恐難接續。

其二，資料即國安資產之政策定位空白。從蝦皮個資與消費資料、店到店末端配送網絡，到 GrabMaps 高精地圖供應鏈、文遠之外包架構，乃至高德與華爲花瓣地圖之圖資生態，已形成跨平臺、跨業態之資料鏈。經濟日報 5 月 6 日社論警示，各環節單獨觀之或許合法，累積效果卻可能使特定國家企業掌握我國空間運作與社會節奏；國防院學者楊長蓉亦指此類資訊經長期累積後可轉化爲具戰略意義之資訊資產。現行制度上，個資保護、資安檢測、跨境傳輸與圖資審查分屬不同機關，以「個案合法」爲標準之工具，難以捕捉「累積效果有礙國安」之結構性風險。監察院建議之「跨境資料傳輸分級管理機制」，關鍵不在於個別 App 之禁用宣示，而在於建立資料蒐集、儲存地、傳輸路徑及商業利用之全鏈條風險評估。

其三，跨機關整合制度化之缺位。投審司審查蝦皮歷時逾半年；公平會 Grab 案則自 3 月 27 日送件、4 月 7 日通知補件至 5 月 15 日補件期限，雖尚未正式進入法定審查期間，前置資料補正程序已接近七週。此一時間結構顯示，跨境平臺結合案的真正難題，往往不在單一機關是否依法起算審查期間，而在資料是否齊備、股權與控制關係能否穿透、資安與競爭疑慮能否即時整合判斷；金管會對第三方支付業者之「1 年日均餘額」單一監理指標，依監察院認定恐已不足以反映短期資金流量與實質風險承擔能力。投資審查、結合審查、資安檢測與支付監理四道閘門雖各有其法規依據，惟在跨境平臺資本與資料早已成爲跨平臺、跨市場、跨機關之結構性實體下，分散審查之累積延遲反成爲制度漏洞。監察院已要求建立穿透式審查與分級管理機制，惟「實際操作之主辦機關」與「跨機關協作觸發機制」尚未確立，恐難迴應跨境治理之系統性挑戰。

跨境平臺之治理，非單一審查工具可勝任。監察院所建議之穿透式審查、最終受益人揭示、跨境資料分級管理及補充性風險指標，皆非單一機關可獨立完成。當 5 月 15 日 Grab 補件期限將屆，行政部門宜以三項工作對應之：短期內，公平會應將 Uber 跨持股結構、董事兼任及 GrabMaps 與華爲花瓣地圖之合作納入實質控制力評估；中期應由行政院召集投審司、公平會、金管會、數發部研議「跨境平臺國安治理跨機關協作機制」，明確主辦機關、觸發條件與資訊共享規格；長期則應推動《外國人投資條例》與《公平交易法》之配套修法，使「實質控制力」與「累積資料風險」成爲法定審查事項。從蝦皮到 Grab，監察院報告所揭露者非僅程序瑕疵，更恐成爲治理思維由個案主義邁向結構主義之關鍵轉折。

（本文爲讀者投書，作者爲：東吳大學法學院教授/前資策會科法所所長蕭宏宜，以上文章不代表本報立場）