新聞中的法律／資安遵循與實務操作的挑戰

在数位化时代，资讯安全已成企业生存与发展的关键因素。随着各国政府相继制定资安相关法规，如欧盟的《一般资料保护规则》（GDPR）、美国的《加州消费者隐私保护法》（CCPA）等，企业在落实资安措施时，常面临遵循法规与实务操作的两难。

我国在个资保护方面也有相应法律规范。据个资法规定，非公务机关对个资搜集、处理和利用应符合特定目的，并采取适当安全措施。然而实际操作中，企业往往难以完全达到法规要求。例如依个资法第8条，企业委托他人处理个资时，应对受托者进行必要监督。但全面且持续监督需要大量人力、时间和成本，许多企业难以完全落实。

另一方面，资通安全管理法第12条要求企业采取适当安全措施，但如何界定「适当」却存在解释空间。例如为确保资安，有些企业禁止员工使用随身碟、限制存取权限等，但又可能降低工作效率。相反地，若安全措施过于宽松，企业又可能面临资安漏洞和攻击的风险。

除技术和管理层面，某些法规要求与实际业务需求也可能产生冲突。例如为保护客户资料安全，企业可能需要设置复杂的存取控制机制，但这会影响系统可用性和便利性，损害用户体验。

企业如何破解资安遵循与实务操作的两难困境呢？关键是要找到两者之间的平衡点。

首先，企业应建立全面的资安风险评估机制，对各类资讯资产分级管控。对于高风险、高敏感度资产，要采取更加严格的安全措施；而对于低风险、低敏感度资产，则可适度放宽管控力度。通过差异化管理策略，既能满足法规合规要求，又能兼顾实际业务。

其次，企业应当在遵循法规的基础上，结合自身业务特点和实际情况，制定切实可行的安全策略。一方面，可借鉴业界优秀实践和标准，另一方面，也要因地制宜设计安全方案，同时还要关注新技术发展和应用趋势，优化资安管理流程。

再者，企业还应重视员工资安意识教育和培训，定期展开资安宣导和培训，提高全员合规意识和安全技能，营造良好的资安文化氛围。

此外，企业还要加强内外部沟通与合作。内部要建立跨部门的协调机制，加强业务、IT、法务等部门间沟通与配合；外部则要主动与监管机构、行业协会、第三方机构等加强互动，了解最新法规和技术标准，寻求合规指导和咨询服务。

资安遵循与实务操作之间的矛盾，是数位化时代企业面临的共同挑战。企业一方面要严格遵守法律法规，避免违规所带来的法律和声誉风险；另一方面又要兼顾业务发展需求，在安全与效率之间寻求平衡。这需要企业在战略层面上予以统筹考虑，建立健全的资安治理体系，将资安纳入企业核心竞争力。唯有如此，企业才能在复杂多变的数位环境中稳健前行，实现可持续发展。

（本文由商研院智科中心主任林闵莹口述、记者叶卉轩采访整理）