一夕之間隱私政策(Privacy policy)備受關注,然而制定隱私政策正是隱私長(Chief Privacy Officer)的首要職責,但在台灣、隱私長仍是一個相當陌生的職位。
當前世界趨勢是由ESG所推動,依據世界知名的ESG評等公司Sustainalytics指出,企業推動ESG成效取決於二件事:
一、是清楚企業面臨的風險
二、是企業面對風險的態度
然而企業有意識到日漸高漲的「隱私權」意識及不當的隱私政策極可能是一項潛在風險嗎?若不能識別風險將無法進一步評估、分析風險與處理風險。
近年來由於雲端、5G、行動裝置與網路平台的快速發展,各大企業無不竭盡心思透過大量快速蒐集相關個資及使用者數據進行大數據的分析,期待制定更精準的行銷策略、商品及服務的設計乃至定價機制,隨著這些個資與使用者數據的快速累積、分析技術進步,也使得每個人的各項隱私皆將無所遁形。
隱私政策一般而言是公司向客戶告知如何蒐集、保留及使用個資的方式,但更重要是必須扮演一個平衡點的角色,平衡「個資及使用者數據蒐集分析運用」與「消費者保護及個人隱私權維護」。
因此公司若未能妥善制定與時俱進的隱私政策,並遵守其公布的隱私政策或未能提供合理保護蒐集個資的方式,在美國將遭到聯邦貿易委員會(FTC)巨額罰款或州總檢察長以不公平或欺騙行為進行訴訟。
依據〈MSCI 2019 ESG Trend to Watch〉統計自2000年以來發現;與ESG相關法規大幅增加,無論針對投資機構或發行機構,僅2018年當年新增法規竟然與前六年通過的整體數量一樣多。
首當其衝當然造成法遵長、法遵部門前所未有的負擔。
這些眾多法令之中,歐盟的個資法GDPR是最受矚目的,台灣也於2010年通過〈個人資料保護法〉,對岸則在2021年9月實施號稱全球最嚴格的「數據安全法」。
其實個資立法比我們想像的更早也更多,例如加州在2003年通過〈數據庫洩露通知安全法案(California Database Breach Notification Security Act)〉這個法案要求,當企業一旦確認個資已被洩露時應通知加州居民。在一個真實案例中,當加州居民收到有關安全漏洞的信件時,其他18個州的總檢察長也要求通知他們的居民。
這些法令皆指出在所有的數據中,個資保護是重中之中,一旦個資外洩將造成企業極大的衝擊。
依據〈IBM Cost of a Data Breach Report 2021〉指出,平均外洩成本在過去七年,每年以10%穏定增長,2021年達424萬美元,其中醫療、金融與科技產業又高於整體平均外洩成本。
客戶個資又是各類外洩資料中排名第一,高達44%,平均每筆外洩成本也是排名第一,每筆高達180 美元。
於是西方企業出現隱私長一職,一方面減輕法遵長日益增加的負擔,另一方面專職專責面對個資保護及相關法令規定。
隱私長的職責至少有四個層面:
一、制定公司的隱私政策並且定期檢視修正。
二、確保公司所有員工,甚至第三方合作夥伴皆明確了解並且嚴格遵守公司的隱私政策。
三、在不違反相關法令的情況下協助企業妥善進行各項大數據的分析應用,以便在數位時代企業相對於同業有更強大的競爭優勢。
四、完全符合政策是要付出成本的,除了競爭優勢之外,也應該思考以較低成本提供與同業接近的隱私保護措施。
這些作為當然主要是為了符合相關法令要求所推動的,但也間接提升企業在ESG中S及G的水平。
無庸置疑客戶個資保護乃至員工個資保護皆屬於「Social」社會領域,同時也是資安治理(Cybersecurity governance)的範疇,因此隱私保護屬董事會層級的議題。
然而經常見到的是個資外洩事件發生之後,公司才公開對外正式宣布成立一個獨立的、經過驗證的隱私辦公室,並直接向董事會『隱私委員會』報告,只能說是亡⽺補牢,猶未遲也!
目前大多數企業仍是後知後覺的,然而西方社會已經出現「保護隱私行動者」,他們會因為個資保護或分享政策的原因轉換供應商,接受新的服務者。
所幸風險與機會總是相伴相生,保護隱私行動者也是最願意分享個人數據換得個人化服務或商品的一群人,只要多與其交流溝通,雙方建立互信,企業必能制定出兼顧隱私保護與競爭優勢的隱私政策。(如下圖)
更早之前,蘋果電腦宣布2030年達成碳中和,如今又公布更嚴謹的隱私保護政策,可見蘋果在ESG領域上一直努力向前推進;反觀2018年臉書爆發洩漏數百萬筆客戶個資給劍橋分析公司之醜聞,隨後又被前員Frances Haugen指控,透過演算法對青少年散播特定新聞以獲取利益,明知對青少年健康與⺠主政治運作極化造成傷害,甚⾄引發犯罪行為。
使得蘋果與臉書⼆家公司再次拉大彼此在ESG表現上差距。
台灣的企業正熱衷於提升ESG投入,過去企業責任報告書已於2021年改為「永續報告書」,2023年管會也將門檻從資本額50億下修到20億。撰寫永續報告書已經成為必修課,但不重視隱私保護、沒有妥善的隱私保護政策、更沒有專責隱私長,停留在制式隱私政策的永續報告書,能否為金管會、證交所或外資機構投資者所接受,就有待考驗了。