新聞中的法律/資安遵循與實務操作的挑戰
在數位化時代,資訊安全已成企業生存與發展的關鍵因素。隨着各國政府相繼制定資安相關法規,如歐盟的《一般資料保護規則》(GDPR)、美國的《加州消費者隱私保護法》(CCPA)等,企業在落實資安措施時,常面臨遵循法規與實務操作的兩難。
我國在個資保護方面也有相應法律規範。據個資法規定,非公務機關對個資蒐集、處理和利用應符合特定目的,並採取適當安全措施。然而實際操作中,企業往往難以完全達到法規要求。例如依個資法第8條,企業委託他人處理個資時,應對受託者進行必要監督。但全面且持續監督需要大量人力、時間和成本,許多企業難以完全落實。
另一方面,資通安全管理法第12條要求企業採取適當安全措施,但如何界定「適當」卻存在解釋空間。例如爲確保資安,有些企業禁止員工使用隨身碟、限制存取權限等,但又可能降低工作效率。相反地,若安全措施過於寬鬆,企業又可能面臨資安漏洞和攻擊的風險。
除技術和管理層面,某些法規要求與實際業務需求也可能產生衝突。例如爲保護客戶資料安全,企業可能需要設置複雜的存取控制機制,但這會影響系統可用性和便利性,損害用戶體驗。
企業如何破解資安遵循與實務操作的兩難困境呢?關鍵是要找到兩者之間的平衡點。
首先,企業應建立全面的資安風險評估機制,對各類資訊資產分級管控。對於高風險、高敏感度資產,要採取更加嚴格的安全措施;而對於低風險、低敏感度資產,則可適度放寬管控力度。通過差異化管理策略,既能滿足法規合規要求,又能兼顧實際業務。
其次,企業應當在遵循法規的基礎上,結合自身業務特點和實際情況,制定切實可行的安全策略。一方面,可借鑑業界優秀實踐和標準,另一方面,也要因地制宜設計安全方案,同時還要關注新技術發展和應用趨勢,優化資安管理流程。
再者,企業還應重視員工資安意識教育和培訓,定期展開資安宣導和培訓,提高全員合規意識和安全技能,營造良好的資安文化氛圍。
此外,企業還要加強內外部溝通與合作。內部要建立跨部門的協調機制,加強業務、IT、法務等部門間溝通與配合;外部則要主動與監管機構、行業協會、第三方機構等加強互動,瞭解最新法規和技術標準,尋求合規指導和諮詢服務。
資安遵循與實務操作之間的矛盾,是數位化時代企業面臨的共同挑戰。企業一方面要嚴格遵守法律法規,避免違規所帶來的法律和聲譽風險;另一方面又要兼顧業務發展需求,在安全與效率之間尋求平衡。這需要企業在戰略層面上予以統籌考慮,建立健全的資安治理體系,將資安納入企業核心競爭力。唯有如此,企業才能在複雜多變的數位環境中穩健前行,實現可持續發展。
(本文由商研院智科中心主任林閔瑩口述、記者葉卉軒採訪整理)