資誠臺灣企業領袖調查系列專欄二－在數位經濟時代遵法 做好個資保護

工商時報

近年來，個人隱私保護的觀念逐漸抬頭，企業如何在取得數據的同時確保遵法，成為數位時代的新挑戰。根據《2020資誠臺灣企業領袖調查報告》，將近八成的臺灣企業領袖認為各國政府將加速立法，要求企業所發布的網路內容遵守規範；同時，有超過半數的臺灣企業領袖認為，未來各國政府將持續增加立法，強制企業在蒐集個資時必須為消費者提供補償，可見個資法規監管趨嚴將是未來趨勢。

許多企業常以為只要把資訊安全做好，就不會違反個人資料保護法，這其實是很大的誤解。臺灣雖然通過個人資料保護法，但罰則不高、稽核的力度也尚未全面，使得多數企業並未感受到個人資料保護法的規範力度。但若看2018年上路的歐盟個資保護法（GDPR）及2020生效的加州消費者隱私保護法，不但在法遵要求上有全面性的規定，處罰方面也有高額的罰金強度。這樣的立法趨勢，可以想見後續臺灣也將跟進，企業必須重新正視個資遵法的問題。

企業到底應該怎麼做，才算是做好個資的法令遵循？首先，資訊安全仍不可少，如此至少能防杜外部的駭客入侵竊取企業的客戶個人資料。然而，這只是管理最基本的外部風險，要做好個資遵法，必須擴大至企業如何蒐集、處理及利用個資等整體內部環節，不管是在決策、或在作業的層次，都須遵守個資法所要求的尊重個人資訊自主，在企業體植入符合法令的制度規章，並加以落實，如此才是完整地做好個資的內部風險管理。

因此，做好個資的遵法絕不只是資訊部門的工作，必須從上至下建立一個遵法的文化制度及規章，才不至於在蒐集、處理及利用客戶資料（也包括員工的資料）時不慎觸法。

以GDPR要求為例，此套號稱為史上最嚴格的個資法，要求企業必須針對個人資料的蒐集與處理建置完善的「組織」與「科技」的機制，以確保資料的安全；並要求企業在評估任何產品、服務或流程時，需要確保在過程中將個資保護納入考量因素之一，若該產品、服務、或流程涉及個資蒐集和處理，企業即需進行個資風險評估，一旦評定為有個資風險時，則需更進一步進行隱私衝擊分析，釐清風險程度、判定該風險是否能被避免、以及該風險降低的機制為何。這些要求涉及的不只是公司資訊安全，而是從企業的整體營運進行管控，以確保企業能夠合規。所謂合規，包含符合相關法規的規定、相關契約的約定、以及企業內部內控機制的規範。

其次，企業需檢視跟第三方簽署的契約是否針對個資保護有所規範。隨著越來越多國家開始立法保護個資，不少較為大型的企業會將個資保護的要求載入其與第三方合作廠商所簽訂的契約中，惟企業於評估其個資保護政策或相關程序時，經常忽略該等契約中的個資保護條款導致違約。

最後，企業應檢視其內控與內稽的制度，以確保相關制度符合相關法規與合約的要求，且有被企業確實地執行。隨著法規環境越來越強調個人資料保護，建議企業在蒐集、處理及利用個人資料時，應重新建構一個全流程的法令遵循認知，讓資訊、法務、業務、採購、人資、內稽等相關部門共同參與個資的遵法工作，並確實施行，如此才能真正管理個資遵法的風險。