個人資料保護研究發展委員會 主委 楊白全
近年來,企業執行永續發展ESG(Environmental,Social,Governance)政策,已成為全球企業治理的重要指標。從氣候變遷、碳排管理,到勞工權益與公司治理,政府已逐步要求企業揭露相關資訊並建立管理制度。然而,在ESG議題的討論中,有一項風險正快速上升,卻經常被忽略,那就是「個人資料保護」。
隨著數位經濟發展,企業所掌握的客戶資料、會員資料、交易紀錄與行為數據大量增加,一旦發生個人資料外洩事件,不僅可能違反法律規範,更可能對企業的品牌信任、客戶關係與資本市場評價造成重大衝擊。因此,從ESG的角度來看,個人資料保護其實是企業治理(Governance)與社會責任(Social)兩大面向的重要交集。
ESG評價的新指標:個人資料管理制度
近年全球多起大型企業資料外洩事件,顯示個人資料洩漏風險已成為企業經營的重要挑戰。隨著數位服務普及,電商平台、旅遊業、飯店業、醫療機構等產業都持有大量客戶資料,一旦發生個人資料外洩事件,不僅可能違反《個人資料保護法》,也可能在ESG評鑑中被視為重大治理缺失。由此可見,企業對個人資料保護的能力,亦代表其企業治理能力。
臺灣證券交易所與證券櫃檯買賣中心所發布之114年度(第十三屆)公司治理評鑑介紹暨評分指南及參考範例說明指標4.32,(A題型)公司是否制定個人資料保護政策,並揭露內容及其實施情形?為推動上市櫃公司尊重客戶隱私權,保護客戶提供之個人資料,爰新增本指標。並在[社會]個人資料保護新增4.32指標,對公司是否制定個人資料保護政策,並揭露內容及其實施情形?指出並須同時符合下列三項要件,始能於構面計分。[要件一]訂定並揭露個人資料保護政策。[要件二]揭露個人資料保護政策適用範圍,及負責部門或人員。[要件三]揭露當年度實施情形相關量化數據(如:員工訓練時數等)。且在115年度(第一屆)ESG評鑑介紹暨評分指南及參考範例說明,再次提及上述三要件。顯示,公司制定個人資料保護政策,未來將適用所有上市櫃公司ESG評鑑。
ESG中的三大面向通常被理解為:E(Environment)環境、S(Social)社會責任、G(Governance)公司治理,而個人資料保護其實同時涉及「S」與「G」兩個層面。首先,企業在社會責任(Social)面向上,必須保護消費者的隱私權與個人資料安全。當企業蒐集客戶資料時,本質上是一種「信任關係」,消費者願意提供資料,是基於對企業的信任。如果企業未能妥善保護客戶個人資料,造成外洩或濫用,將直接侵害消費者權益。其次,在公司治理(Governance)面向上,個人資料管理涉及企業內部制度、風險控管與管理責任。企業是否建立個人資料管理制度?是否設置專責人員?是否進行內部查核與教育訓練?都反映企業治理成熟度。因此,在ESG治理架構中,個人資料保護其實是「企業治理」的重要核心。
ESG時代:企業需要建立個人資料保護制度
企業面對日益嚴格的法規與市場要求,不能再將個人資料保護視為單純的法律問題,而應將其納入企業治理與風險管理架構。具體而言,企業可以從以下幾個方向建立個人資料保護治理制度:
一、建立個人資料管理制度
企業應盤點所持有的個人資料類型,包括客戶資料、員工資料、會員資料與合作夥伴資料,並建立完整的資料管理流程,例如蒐集、使用、保存與刪除機制。
二、設置個資管理責任體系
在國際企業治理架構中,越來越多企業設置「資料保護長(Data Protection Officer)」,負責統籌個人資料管理與資訊安全政策。透過專責人員制度,可以提高企業個人資料保護的治理能力。
三、建立資安與稽核機制
企業應定期進行個人資料保護與資訊安全檢測稽核,確保資料存取權限、資料加密與系統安全符合相關標準程序。此外,也應建立個人資料外洩通報與應變機制。
四、落實員工教育訓練
企業的個人資料外洩事件,大多數源自內部人員的疏忽,例如誤寄文件、使用不安全設備或未妥善管理帳號密碼。因此,企業應透過教育訓練提高員工對個人資料保護的意識。
從法律遵循走向企業治理:個人資料保護的ESG價值
過去企業談到個人資料保護,多半是因為法律要求,例如《個人資料保護法》所規定的義務。然而在ESG時代,個人資料保護不只是「避免違法」,更是一種企業治理能力的展現。
對企業而言,完善的個人資料保護治理制度可以帶來三項重要價值:
第一,提升消費者信任。在數位服務時代,消費者越來越重視隱私權與個人資料安全,能妥善保護資料的企業,往往更容易建立長期客戶關係。
第二,降低企業風險。客戶個人資料外洩不僅可能導致罰款,更可能引發集體訴訟、品牌形象受損與營運成本增加。
第三,提升ESG評價。隨著投資市場對ESG的重視,企業若能建立完善個人資料保護治理制度,將有助於提升ESG評級與投資人信任。
個人資料保護將成為ESG新核心
在數位經濟時代,「客戶個人資料」已成為企業最重要的資產之一。然而,客戶個人資料同時也是企業最大的風險來源之一。若企業缺乏完善的客戶個人資料管理制度,一旦發生外洩事件,所付出的代價往往遠高於事前投入的管理成本。
因此,企業應重新思考個人資料保護的角色。它不僅是法律遵循問題,更是企業治理與社會責任的重要一環。當企業能將個人資料納入ESG治理架構時,不僅能提升企業信任與競爭力,也能為數位社會建立更安全與可信的個人資料保護環境。
