新聞中的法律／資安遵循與實務操作的挑戰

在數位化時代，資訊安全已成企業生存與發展的關鍵因素。隨着各國政府相繼制定資安相關法規，如歐盟的《一般資料保護規則》（GDPR）、美國的《加州消費者隱私保護法》（CCPA）等，企業在落實資安措施時，常面臨遵循法規與實務操作的兩難。

我國在個資保護方面也有相應法律規範。據個資法規定，非公務機關對個資蒐集、處理和利用應符合特定目的，並採取適當安全措施。然而實際操作中，企業往往難以完全達到法規要求。例如依個資法第8條，企業委託他人處理個資時，應對受託者進行必要監督。但全面且持續監督需要大量人力、時間和成本，許多企業難以完全落實。

另一方面，資通安全管理法第12條要求企業採取適當安全措施，但如何界定「適當」卻存在解釋空間。例如爲確保資安，有些企業禁止員工使用隨身碟、限制存取權限等，但又可能降低工作效率。相反地，若安全措施過於寬鬆，企業又可能面臨資安漏洞和攻擊的風險。

除技術和管理層面，某些法規要求與實際業務需求也可能產生衝突。例如爲保護客戶資料安全，企業可能需要設置複雜的存取控制機制，但這會影響系統可用性和便利性，損害用戶體驗。

企業如何破解資安遵循與實務操作的兩難困境呢？關鍵是要找到兩者之間的平衡點。

首先，企業應建立全面的資安風險評估機制，對各類資訊資產分級管控。對於高風險、高敏感度資產，要採取更加嚴格的安全措施；而對於低風險、低敏感度資產，則可適度放寬管控力度。通過差異化管理策略，既能滿足法規合規要求，又能兼顧實際業務。

其次，企業應當在遵循法規的基礎上，結合自身業務特點和實際情況，制定切實可行的安全策略。一方面，可借鑑業界優秀實踐和標準，另一方面，也要因地制宜設計安全方案，同時還要關注新技術發展和應用趨勢，優化資安管理流程。

再者，企業還應重視員工資安意識教育和培訓，定期展開資安宣導和培訓，提高全員合規意識和安全技能，營造良好的資安文化氛圍。

此外，企業還要加強內外部溝通與合作。內部要建立跨部門的協調機制，加強業務、IT、法務等部門間溝通與配合；外部則要主動與監管機構、行業協會、第三方機構等加強互動，瞭解最新法規和技術標準，尋求合規指導和諮詢服務。

資安遵循與實務操作之間的矛盾，是數位化時代企業面臨的共同挑戰。企業一方面要嚴格遵守法律法規，避免違規所帶來的法律和聲譽風險；另一方面又要兼顧業務發展需求，在安全與效率之間尋求平衡。這需要企業在戰略層面上予以統籌考慮，建立健全的資安治理體系，將資安納入企業核心競爭力。唯有如此，企業才能在複雜多變的數位環境中穩健前行，實現可持續發展。

（本文由商研院智科中心主任林閔瑩口述、記者葉卉軒採訪整理）