ESG 最前線／二大合規風險 考驗永續經營

美國人臉辨識公司Clearview AI近日遭荷蘭政府開罰超過3,000萬歐元的罰款，理由是該公司在未取得當事人許可的情況下，從社羣媒體蒐集大量的臉部圖像，透過人臉資料庫出售給執法部門客戶。於此之前，Clearview AI已經接獲英國、法國、義大利等政府的開罰。

對一家AI公司來說，遭逢這樣巨大的罰款，不僅實質影響到公司的獲利能力，也對客戶、投資人、員工等利益關係人的信心產生衝擊，進而影響企業形象與品牌價值。違規事件未發生之前，它背後衍生的風險往往被嚴重低估。一旦違規事件升級爲罰緩、訴訟，企業亡羊補牢的機會成本，卻是遠超出預期。

從這樣一個「合規風險」案例，可以看出企業法遵合規未能落實的兩大陷阱。

第一，無法正確掌握法令規範

由於近年來資訊科技的發達，「個人資料隱私」的保護牽涉到許多新的媒體平臺、新興的應用技術。什麼是侵害個資的那一條線，不僅實務運作上存在灰色地帶，政府立法機構、執法部門也在不斷學習摸索。

此外，當企業的運作橫跨不同國家、不同產業時，也可能因爲沒有注意到適用法規的差異，產生「這裡合法，去到那裡就不合法」的情況。臺灣許多以國際貿易爲主的廠商，便面臨這樣的挑戰。

第二，外部法規要求，沒有接軌內部營運流程

面對多個歐洲國家政府的開罰求償，Clearview AI宣稱，他們只向「歐盟以外」的政府情報部門提供服務。很顯然，企業對法規內容的「認知」，與自身運作的「執行」是存在落差的。至少在歐盟政府與Clearview AI之間，就存在巨大的理解差距。

很多時候，企業也缺乏將「外部法規」有效轉化爲「內部規範」的能力，以至於法規頒佈、異動之後，法遵部門雖然已經掌握了實質內容，甚至也做了內部宣導，但是內部運作流程並未同步接軌，形成了俗稱「『知道』不等於『做到』」的情況。

總和來說，在比過往相對複雜的經營環境，企業必須先對外部法規有及時、正確的掌握。再者，內部運作要能合理連接外部規範的要求，才能將合規風險極小化，建立永續經營的有力基礎。