跨境隱私規則 (CBPR) 認證有助企業跨境商務， 台灣唯一當責機構資策會提供診斷及驗證服務

　　2021 年，台灣是繼美國、日本、新加坡、南韓之後，第5個擁有當責機構的 APEC 會員經濟體。對台灣企業來說，等於可透過資策會的認證，取得 CBPR 標章，證明企業在資料隱私保護治理，具備一定程度的能力。然而，企業管理資料隱私，為何這幾年在全球越來越受到重視？

　　萬物聯網加上數位科技的推展之下，與日俱增的資料產生跨境流通需求。不過因各地經濟體對隱私保護規範程度有所落差，若資料跨境流通產生障礙時，將不利自由貿易發展。

　　因此 APEC（亞太經濟合作會議）在 2011 年通過「跨境隱私規則」（Cross Border Privacy Rules, CBPR），等於從區域市場共同規範的角度，協助會員國建立起一套安全可信賴的跨境隱私規則體系（CBPRs）。

　　未來台灣企業想要遵循國內外法規，並取得 CBPR 認證標章該怎麼做？對於未來商務往來能獲得哪些效益？透過台灣唯一當責機構（Accountability Agent, AA）財團法人資訊工業策進會（以下稱資策會）的角度，邀請資策會科法所梳理 CBPR 認證之於企業，究竟有哪些價值！

　　為何投資隱私資料保護，對企業而言可能從選修變必修？

　　2021 年，台灣是繼美國、日本、新加坡、南韓之後，第5個擁有當責機構的 APEC 會員經濟體。對台灣企業來說，等於可透過資策會的認證，取得 CBPR 標章，證明企業在資料隱私保護治理，具備一定程度的能力。然而，企業是否具備資料隱私管理的能力，為何這幾年在全球越來越受到重視？

　　資策會科法所組長林冠宇耙梳脈絡，其一是歐盟在 2018 年生效「一般資料保護規則 」(General Data Protection Regulation, GDPR )讓經貿商務環境更為重視個資隱私；其二是疫情讓許多貿易、商務往來必須仰賴數位環境的完善，或這幾年「元宇宙」概念興起，凸顯個人隱私保護與企業服務業務的扣連程度更甚以往，也讓數位環境的資料使用權利、義務規範成為顯學。

　　「隱私保護對於企業治理而言，比較像光譜狀態，例如金融、社群平台、電子商務這類最容易握有消費者的資料，他們屬於最直接關聯的業者，」林冠宇解釋。根據資策會的資料發現，目前國外有報告指出將近 93％ 的企業，須要向董事會報告隱私相關議題；2020 年 90% 的企業，在選擇供應商或產品時，會關注是否取得隱私驗證。

　　換言之，未來隨商務環境變遷，當消費者隱私意識更為抬頭，甚至法規趨向嚴謹，政府對資料外洩情事的裁罰機率、金額若越來越高，企業應盡可能超前規劃導入資料治理制度，百利而無一害。另一方面，企業申請各類執照，主管機關也會審慎評估企業對資料隱私管理的成熟程度。

　　不過林冠宇也提醒，企業主想完善組織的資料管理，必須有長期布局的思維。他解釋，「企業建立資料治理制度不是一蹴可幾，隨著企業自身的商業模式與環境持續做滾動調整；另外要完成 CBPR 驗證也非一時半刻能達成，如果企業對資料整備是從零開始，實際取證平均可能需要兩年時間。」

　　申請 CBPR 驗證注意三大流程，一驗雙證有助減輕企業時間成本

　　對於想認真做好資料保護的企業，接著可能會詢問，取得 CBPR 要注意哪些環節？林冠宇提到，依據 CBPR 體系目前有一個審核規則，透過 50 道問題加以檢視，銜接TPIPAS驗證規則之對接。並透過被授權的當責機構也就是資策會，進行書面及實地審查，評估企業是否足以獲得 CBPR 標章。

　　至於實際流程，可粗分申請及審查兩大流程。首先是企業填寫基本資料及利益迴避聲明文件並遞交後，當責機構將依據申請企業的規模、預估個資數量、員工人數、業務類型等，進而準備驗證，包括驗證期程、人力等的安排。第二階段來到審查，這部分涵蓋書審、實審，前者會針對企業提交的制度文件進行審查；後者則是在協商的指定時間委派驗證團隊到企業內進行實地查核。

　　由於目前多數台灣企業對 CBPR 的認識甚淺，因此資策會在審查之前，額外提供諮詢及診斷服務，針對企業的疑問提供說明，讓企業知道有哪些「考科」，預先練好基本功，避免在準備不足的狀態就去應考。林冠宇也特別提到，CBPR 審查難有一套完全制式化標準，因為每間企業規模不同、業務各異、資料量多寡也有落差，建議企業善用診斷服務，減少申請過程的冤枉路。

　　另一方面，由於台灣也有一套行之有年的個人資料保護與管理制度（TPIPAS）驗證方案，目前台灣 CBPR 驗證是以 TPIPAS 為基礎，因此也鼓勵企業一驗雙證，等於兩個驗證標準一起準備，減少企業分別申請時的額外時間成本。經過審查環節之後，如果未能通過驗證，得以有補考機會；反之若成功取證，日後每年會以「一大一小」的形式定期驗證。所謂一大驗就是每兩年以大規模檢視企業狀態，隔年一小驗，會檢核前一年改善狀態。

　　投資隱私資料與企業營運績效成正比，建議企業納入資料保護風管思維

　　雖然企業投資隱私資料保護，對於營收沒有必然的正相關，但也許未來隱私資料保護也會如淨零減碳、ESG 指標，需要證明企業對相關議題的重視程度。對於投資人、消費者在評比企業績效或形象的時候，也會針對相關項目加以檢視。

　　根據資策會觀察全球企業對資料保護的關注，確實發現隱私保護制度相對成熟的企業，在各項指標表現也傾向有更高分數。林冠宇指出，這幾年觀察對隱私保護表現不好的企業，通常績效也不是那麽亮眼，而且一旦發生資料外洩問題，不僅會墊高成本處理公關危機或賠償受害人，連同品牌在市場的評價減損後，連帶對營收業績也會影響。

　　最後林冠宇以資策會為 CBPR 當責機構的角度，建議企業建置資料隱私的過程，其實也是在盤查及改善業務流程有哪些必要蒐集的資料，進而調整業務流程達成最小蒐集、最小侵害的同時，也能依據資料創新本身業務或商業模式。國外許多新創事業多以資料作為其創新模式的基礎。或是在關鍵營運的資料傳輸節點，納入風險管理的預防措施，等於預先打造一套防護網，有助未來事故萬一發生的時候，能即時做出反應，最小化隱私事故對企業營運所帶來的衝擊。