ESG 最前線／二大合規風險 考驗永續經營

美国人脸辨识公司Clearview AI近日遭荷兰政府开罚超过3,000万欧元的罚款，理由是该公司在未取得当事人许可的情况下，从社群媒体搜集大量的脸部图像，透过人脸资料库出售给执法部门客户。于此之前，Clearview AI已经接获英国、法国、义大利等政府的开罚。

对一家AI公司来说，遭逢这样巨大的罚款，不仅实质影响到公司的获利能力，也对客户、投资人、员工等利益关系人的信心产生冲击，进而影响企业形象与品牌价值。违规事件未发生之前，它背后衍生的风险往往被严重低估。一旦违规事件升级为罚缓、诉讼，企业亡羊补牢的机会成本，却是远超出预期。

从这样一个「合规风险」案例，可以看出企业法遵合规未能落实的两大陷阱。

第一，无法正确掌握法令规范

由于近年来资讯科技的发达，「个人资料隐私」的保护牵涉到许多新的媒体平台、新兴的应用技术。什么是侵害个资的那一条线，不仅实务运作上存在灰色地带，政府立法机构、执法部门也在不断学习摸索。

此外，当企业的运作横跨不同国家、不同产业时，也可能因为没有注意到适用法规的差异，产生「这里合法，去到那里就不合法」的情况。台湾许多以国际贸易为主的厂商，便面临这样的挑战。

第二，外部法规要求，没有接轨内部营运流程

面对多个欧洲国家政府的开罚求偿，Clearview AI宣称，他们只向「欧盟以外」的政府情报部门提供服务。很显然，企业对法规内容的「认知」，与自身运作的「执行」是存在落差的。至少在欧盟政府与Clearview AI之间，就存在巨大的理解差距。

很多时候，企业也缺乏将「外部法规」有效转化为「内部规范」的能力，以至于法规颁布、异动之后，法遵部门虽然已经掌握了实质内容，甚至也做了内部宣导，但是内部运作流程并未同步接轨，形成了俗称「『知道』不等于『做到』」的情况。

总和来说，在比过往相对复杂的经营环境，企业必须先对外部法规有及时、正确的掌握。再者，内部运作要能合理连接外部规范的要求，才能将合规风险极小化，建立永续经营的有力基础。