亚太个资治理规范CBPR也有台湾在地认证机构了！资策会建议瞄准跨国市场的企业，可建立个资法遵并自愿认证

国际重要个资规范除了超严格的欧盟GDPR之外，在亚太，APEC组织也有一套自愿性而非强制性的个资保护规范CBPR（跨境隐私保护规则体系），台湾最近终于有了第一家CBPR当责机构（Accountability Agent），由资策会提供台湾企业在地的CBPR认证服务。

资策会科法所组长林冠宇解释，当责机构所扮演的角色，类似于国家指定的大考中心，为国内企业提供国际性CBPR认证服务，负责检视企业的隐私保护与个资管理能力，是否符合CBPR认证标准。目前全球有9家提供CBPR认证的当责机构。

欧盟GDPR以强制力闻名，多家跨国企业因隐私资料不当利用而遭裁罚，CBPR是另一个较少提及，但也是国际重要的个资保护治理框架，这是美国在APEC力推的跨境隐私保护制度，已经通过发布10年了。林冠宇解释，是因APEC作为亚太地区经济合作对话平台，为了推动不同国家的数位经济与贸易交流，在隐私资料的治理层面也需订定一套共同的法遵标准，因而催生了CBPR。

但与GDPR不同的是，CBPR并非是一套要求所有国家遵循的规范，而更像是一种参考框架，各国可依据CBPR制定各国自己的个资保护律法，并由各国自行对内执行与约束。它的精神，是在融合国际法遵标准的同时，又尊重各国法规体系的特色。

换句话说，欧盟要求各会员国的隐私法规，须逐渐修正趋近于GDPR规范，但CBPR是让各国在同一个框架上，去发展各自的法规体系。

APEC在2011年正式实施CBPR之后，已有不少国家陆续获得认可成为会员，至今除了台湾之外，还有美国、墨西哥、加拿大、日本、韩国、新加坡、澳洲、菲律宾等8个会员国家。台湾则是在2018年加入CBPR，由APEC审查国内的隐私执法机关与个资保护体制，获准加入。

成为会员后，台湾指定资策会申请作为CBPR认证的当责机构，于2019年向APEC递件申请，直到今年6月终于获得APEC许可，成为继美国、日本、新加坡、韩国之后，第5个拥有当责机构的APEC会员。

资策会将扮演CBPR认证与推广角色，提升国内产业个资法遵环境

“历经千辛万苦，好不容易才获得APEC认可，”林冠宇感叹，当责机构的角色，就是要协助国内企业接轨国际经贸发展，由于台湾本身面临复杂的国际情势与压力，这份许可得来不易，申请过程中屡遭阻碍。

台湾有好几家个资保护规范认证机构，资策会是其中之一，也长期提供台湾个资保护与管理制度（TPIPAS）认证服务，也因此成为-指定的CBPR台湾当责机构，扮演国家指定大考中心的角色，负责执行CBPR验证作业。

除了验证作业，资策会也会透过推广活动，“让大家理解CBPR实际的内容、如何实作，让国内企业慢慢整备，来达到国际的水平。” 林冠宇表示，逐步改进并提升整体产业的个资法遵环境，也是当责机构的使命。

不过， 林冠宇表示：“我们不能球员兼裁判，资策会负责CBPR验证，辅导还是要交由其他机构来进行。”所以，资策会对企业进行评CBPR评估，了解企业当前相关制度建立的完备程度之后，会转介给其他专业辅导机构来协助建置符合CBPR的法遵环境。

国内企业取得CBPR验证后，林冠宇指出，企业个资法遵制度将逐渐接轨国际水平，进而提高跨国消费者的信赖程度，来经营国际市场。国际上也已经有不少自愿取得CBPR认证的跨国企业，例如Apple、Cisco、GE、HP、IBM、Mastercard等。

未来，随着更多台湾企业提升个资保护水准，也有助于台湾的隐私保护形象，促进跨境数位贸易发展与合作，更能吸引外资投入国内产业。

个资法遵观念厘清：法规不是限制，本意要促进资料流通

不过，推动企业建立个资保护制度，并不是件容易的事。林冠宇指出，最大问题是多数企业对个资保护制度有所误解，“企业常说，个资保护法规限制了产业发展，其实，无论GDPR或CBPR的愿景，都是要透过建立合规信赖的资料运用环境，来促进资料流通与利用。”

林冠宇解释，要建立一个资料真正自由流通的环境，前提是要取得消费者的信赖，若长期未经使用者同意，将资料用于商业应用或贩售，久而久之，使用者就不愿意再共享资料，难以形成正向资料利用的循环。所以，企业提供免费服务换取他人个资时，除了要尊重使用者共享资料的意愿，也必须展现资料管理的能力，“尤其在数位转型、数位经济发展之下，个资管理能力更加重要。”

建立个资管理制度后，对企业来说，也能进一步了解搜集的资料类别、可利用的形式，来建立新的商业模式、创新产品或服务。同时，企业也能回过头来检视不同资料的重要程度，区分出哪些资料具有更大的商业价值，哪些资料不必要搜集，遵循“最小限度原则”来搜集、处理与利用个资。

“随着大数据、AI的发展，相较之下，国外企业更愿意持正面态度来看待个资保护机制，透过合规的方式取得消费者资料。”林冠宇表示，台湾企业需改变对个资法遵的态度，不应再把法规视为限制，应作为促进资料利用、商业创新的一种方法。

相较于国外企业对个资管理的重视，林冠宇认为，台湾企业更强调资讯安全。但以国外企业的角度来看，资安只是用来保护资料的其中一环，比资安防护更重要的，是健全的资料保护与管理制度。

因此，他提醒，除了建立资安防护机制，企业更要建立完善的个资保护与管理作法，并视之为风险管控的一环。若未来资料真的不慎外泄，才能透过标准SOP来进行危机处理，由不同部门分工，将漏洞补强、通知受影响的用户，并检讨资料外泄的原因，回头改进原本的管理制度，“有良好的管理制度，才知道该如何因应问题。”

企业迈向个资法遵建立之路，普遍仍有两大痛点需克服

从过去推广TPIPAS的经验，林冠宇也点出，企业建置个资保护管理制度有两大共通性问题。第一，很多企业搜集顾客资料多年，甚至早在个资法实施之前，有些资料很可能不是透过合规的方式取得，在个资法实施后，旧资料的利用成为一大问题。

面对这个问题，林冠宇认为，最好的方法是建立合规的资料搜集与使用制度，只要建立起相关机制，未来该消费者回头消费时，就有机会重新取得对方的同意，提升合规资料的占比。

但林冠宇发现，许多企业先想到的不是建立合规取得资料的制度，而是选择将旧资料去识别化，就把这些资料投入使用，游走在资料利用的灰色地带。先不探讨资料去识别化是否就完全不会被识别或还原，更大问题在于，企业若没有对法遵抱持正向态度，采取得过且过的心态，累积的不合规资料只会越来越多，未来要踏出个资管理的第一步，就会更困难，也需要花更多时间与成本整理旧有资料。

“与其这样，不如在当下就赶快做好法遵，至少之后的资料是合法的。”林冠宇呼吁，企业要及早开始审视内部的个资管理策略，拖越久才开始，面临的阻力只会更大。

另一个问题，则是企业经营决策者没有意识到资料保护的重要性，相较于能带来实际营利的服务或产品，个资法遵制度短期无法看成效，更难以带来实际收益。

林冠宇指出，就算企业认知到这件事，也可能因台湾个资法裁罚金额过低，导致企业将裁罚金额当成固定成本，而不愿意花更多力气建置，企业容易因此裹足不前。

从企业组织上的设计，也能看出台湾企业较不重视企业内资料治理面向的议题。林冠宇举例，如欧美国家部分企业除了设置资讯长、资安长职位，也有更多企业开始设置资料保护长（Data Protection Officer，DPO），以DPO的高度来带动企业思考，如何在企业内部利用资料，这在台湾非常少见。

从台湾企业面对的问题，林冠宇呼吁，尚未建立个资管理制度的企业，别再犹豫不决，要尽快跨出第一步，才能让手上合规的资料越来越多。而对取得认证的企业，他提醒，还是要持续精进内部机制，定期认证，而非取得了一次认证就一劳永逸。