一場精心排演的合規秀

我走進會議室時,桌上已經擺好三本厚厚的程序書、一疊教育訓練簽到表,還有一份剛印出來的個資盤點清冊。 負責人很自豪地說:「我們制度都建好了,文件也都有,每年也有辦教育訓練。」 我翻開程序書,問了一個問題:「這本程序書最後一次被拿出來用,是什麼時候?」

沉默。

這個場景,我這幾年做輔導時看過太多次了。醫學中心有,連鎖餐飲有,國際零售品牌有,非營利組織也有。差別不在產業,而在制度是不是平常就在跑。有些公司的制度是活的,碰得到、用得到;有些制度平常收在櫃子裡,等到稽核快到了才想起來。

問題是:你怎麼知道自己的制度屬於哪一種?

這篇文章不是法條逐條解說,也不是制度建置手冊。我只是想把自己在現場最常用的五個判斷點整理出來。你可以把它當成一面鏡子,照一下自己的制度目前到底是在運作,還是在撐場面。對 DPO(個資保護管理人/專責人員)、資安主管、法遵主管,或正在考慮把制度做起來的經營者來說,這五個問題都很實用。

指標一:制度文件有人在「用」,還是只有人在「管」?

只要做過個資管理制度,手上一定有文件。程序書、作業說明書、表單,少則十幾份,多則上百份。但文件很多,不代表制度真的有在跑。 真正在運作的制度,文件是被「使用」的,而不只是被「管理」的。 我在一家醫學中心體系的醫院做輔導時,問護理部主管:「你知道個資事件通報的流程嗎?」她打開電腦,花了三分鐘在共用資料夾裡找到那份程序書,然後跟我說:「應該是這個。」 同一家醫院的資訊室主管,被問到同一個問題時,他直接跟我說:「打分機 2345 找資安室值班人員,十五分鐘內回報初步狀況,同步填線上通報單。」 差別其實很明顯。資訊室主管不是因為背熟文件才答得出來,而是因為他真的處理過事情,所以知道第一步該怎麼做。

自我檢測方法

隨機找三個不同部門的同仁,問他們:

  1. 「如果你發現有人把客戶資料寄到私人信箱,你第一步要做什麼?」
  2. 「有民眾來要求查閱或刪除他的個資,你知道要找誰嗎?」

如果答案是「看看程序書怎麼寫」或「問主管」,你的制度很可能還停留在紙面上。如果答案是具體的行動——「通報某某單位」「填某個表單」「打某支電話」——那代表制度有在運轉。 我不是說每個人都要把程序書背下來,那也不現實。但關鍵崗位的人,至少要知道出事時第一步該做什麼,而且他的回答最好跟文件寫的一樣。如果兩邊兜不起來,通常就代表兩種狀況:不是文件寫得離地,就是人根本沒被好好帶過。兩種都麻煩。

指標二:個資盤點反映的是「現在」還是「過去」?

個資盤點幾乎是所有制度的起手式。不管你做的是 TPIPAS、ISO 27701,還是比較一般性的個資法遵循,第一步都一樣:先搞清楚你到底蒐集了什麼、為了什麼蒐集、資料放在哪裡、哪些人碰得到。 問題是,很多企業的個資盤點做完之後就再也沒有更新過。 我輔導過一家連鎖餐飲企業,他們兩年前做過一次個資盤點。當時盤點的結果是:會員資料只存在 POS 系統和 CRM。但這兩年間,他們上了外送平台、串接了行銷自動化工具、開始用 LINE 官方帳號做推播,甚至導入了一套第三方的數據分析平台。 結果這些新的個資處理活動,盤點清冊上一個字都沒有。 這很像你拿著十年前的戶口名簿在管現在的住戶。上面的人早就搬走了,新住進來的人卻沒登記。你如果還照著這份名簿做判斷,管的其實不是現況,只是自己的想像。

自我檢測方法

拿出你最近一次的個資盤點清冊,然後問自己:

  1. 過去十二個月內,公司有沒有上線任何新系統或新服務? 如果有,清冊裡有反映嗎?
  2. 清冊上每一個「蒐集目的」,現在還成立嗎? 有沒有哪個功能已經下線,但資料還留著?
  3. 清冊上列的「保存期限」,有人在執行銷毀嗎? 還是寫了「五年」,但從來沒有人去檢查哪些資料已經超過五年?

如果這三題裡有任何一題讓你答得不太乾脆,那就表示盤點該更新了。盤點不是做完就收起來的表格,而是一個要跟著業務一起動的機制。我通常會建議至少每年完整覆核一次;只要有新系統上線、新合作夥伴串接,或流程改了,也都應該順手把局部盤點補上。 這個主題我會在後續的談風險評鑑的真正意義再更深入地討論。

指標三:事件發生時,有沒有人知道「現在」該做什麼?

有制度的公司,幾乎都會有一份「個資事件應變程序」。但現場真正的問題是:大部分公司根本沒演練過。 這就像你家有滅火器,但沒有人拉過安全插銷。等到真的著火了,你才發現滅火器已經過期、放在一個很難拿到的角落、而且沒有人知道要對準火源根部噴。 我參與過幾次個資事件調查。事情剛發生時,現場最常出現的不是「啟動應變程序」,而是下面這些話:

  • 「這算個資事件嗎?」(定義不清)
  • 「要通報嗎?通報給誰?」(流程不熟)
  • 「先不要聲張,我們內部處理就好。」(風險認知不足)
  • 「我先問法務。」(角色分工不明)

等到搞清楚狀況、決定要正式處理的時候,往往已經過了好幾天。而這幾天裡,證據可能被覆蓋、受影響的當事人沒有被通知、對外的說明口徑也沒有統一。

自我檢測方法

不用等到真的出事。做一個簡單的演練就能看出問題: 假設情境:「今天早上九點,你接到一封匿名檢舉信,說公司某位離職員工把三千筆客戶聯絡資料帶走,目前疑似在競業公司使用。」

然後問你的團隊:

  1. 這件事第一個應該被通知的人是誰? 是直屬主管?個資專責人員?法務?資安室?如果大家的答案不一樣,你就知道制度沒有內化。
  2. 前四個小時要完成哪些事? 保全日誌、確認離職流程有沒有落實、通知受影響客戶、準備對主管機關的說明——這些事情的優先序是什麼?
  3. 誰有權決定通知範圍與方式? 現行有效的個資法第 12 條規定,個資遭竊取、洩漏、竄改或其他侵害時,應查明後以適當方式通知當事人。但「查明」到什麼程度才算?「適當方式」是什麼?誰來做這些判斷?(註:2025 年 11 月 11 日公布的個資法修正條文,已增列一定範圍內的通報義務;但截至本文寫作時,該修正條文的施行日期尚未定。)

如果團隊對這三個問題還會猶豫、答案兜不攏,甚至整間會議室直接安靜下來,那問題通常不在文件不夠漂亮,而是根本沒演練過。

指標四:教育訓練之後,行為有沒有改變?

這大概是最容易做成表面功夫、也最難真的衡量的一項。 依個資法施行細則第十二條,認知宣導及教育訓練本來就是個人資料安全維護措施的一部分。但很多企業的做法很制式:每年辦一場講座,或上一次線上課,簽到、拿證書,然後結束。然後呢? 訓練完之後,那些讓你頭痛的行為有改善嗎? 我在一個政府機關的行政檢查中看到一個經典案例:承辦人把含有民眾身分證字號的公文,用個人 Gmail 寄給協力廠商,「因為公務信箱附件有容量限制」。這位承辦人三個月前才上過個資教育訓練。 訓練失效的原因通常不是講師不好或內容不對。問題出在訓練的設計沒有連結到實際工作場景。 如果訓練內容只是反覆提醒「個資很重要、外洩會被罰」,員工多半聽完點點頭,然後照舊做事。問題從來都不是不知道,而是碰到自己的工作情境時,認不出那就是風險。訓練真正要做到的,是讓人能在日常操作裡踩煞車,而不是只會在考卷上勾出標準答案。

自我檢測方法

不要只看「訓練有沒有辦」和「出席率多少」。那是輸入指標,不是輸出指標。你應該觀察的是行為面的改變:

  1. 訓練前最常被反映的個資風險行為,訓練後有減少嗎? 例如:用個人通訊軟體傳客戶資料、把含個資的文件放在公共資料夾沒有權限控管、離開座位不鎖螢幕。如果你不知道「訓練前最常見的問題」是什麼,那你的訓練根本沒有針對性。
  2. 有沒有人因為上過訓練而「主動回報」過任何可疑狀況? 如果訓練真的有效,至少會有一些員工開始對個資風險有感覺,進而主動回報「這件事是不是有問題?」。如果訓練辦完之後仍然零回報,有兩種可能:你的組織完全沒有個資風險(不太可能),或者員工對風險依然無感。
  3. 主管本身的行為有沒有改變? 制度能不能落地,主管是關鍵。如果主管自己還在用 LINE 傳客戶的身分證影本,底下的人不可能認真看待個資保護。

訓練的效果評估是一門專業,後續〈為什麼你的個資教育訓練沒有用?〉會更完整地討論這個議題。

指標五:內部稽核有沒有「真的發現問題」?

最後一個指標,也是我自己最看重的一個:你的內部稽核結果,會不會漂亮得太不真實?

我看過不少內部稽核報告,內容都差不多:「經查核結果,各項作業均符合規定,無重大缺失。」而且不是一年這樣,是連三年都這樣。 這通常不是好消息。它更可能是壞消息。 一個認真運作的管理制度,內部稽核通常不會什麼都查不到。原因很簡單:環境一直在變,人一直在換,新的風險也會一直冒出來。所以,連續三年都「零缺失」,我通常只會往兩個方向想: 第一種:稽核的範圍和深度不夠。只查文件有沒有存在、簽核有沒有完成,不查實際執行的狀況。這種稽核我稱之為「文件考古學」——看看文件有沒有在、日期對不對、簽名齊不齊,至於制度有沒有被執行,那不在稽核範圍內。 第二種:稽核人員跟被稽核單位的關係太近。在很多中小企業,負責個資稽核的人可能就是建立制度的那個人,或是同一個部門的同事。這種「自己查自己」的結構,很難期待他會寫出真正有價值的發現。 我在一家國際零售品牌看過一種比較像樣的做法。他們做內稽,不只翻文件,還真的下去抽測。例如隨機走到賣場某個工作站,看螢幕上有沒有掛著未關閉的客戶資料畫面;也會直接請門市人員當場示範,客戶如果要求查閱會員資料,現場到底怎麼操作。 這種稽核比較容易發現問題,而發現問題本來就是稽核存在的意義。

自我檢測方法

翻開你最近一次的內部稽核報告,檢視以下幾點:

  1. 稽核發現的數量是否合理? 零缺失不合理。但如果只有一兩個輕微缺失,而且每年都是同類型的(比如「某表單未及時更新」),那代表稽核的深度不夠,或者同樣的問題一直沒被真正解決。
  2. 稽核有沒有包含「實地驗證」? 只審文件不夠。好的稽核應該包含:存取權限的實際抽測(某個已離職員工的帳號是否真的停用了?)、資料處理流程的實地觀察(客服人員在通話中是否覆誦客戶的身分證字號?)、以及人員訪談(問基層員工,他們認為最大的個資風險是什麼?)。
  3. 稽核的改善追蹤有在執行嗎? 發現問題只是第一步,重點是改善措施有沒有被落實。如果去年稽核發現「某系統的存取日誌只保留三十天」,今年同一個問題又出現,那你的 PDCA 循環在 A(Act,改善)這一步斷掉了。

結語:制度是手段,保護才是目的

我寫這篇,不是要酸哪一家企業制度做得爛。願意開始建制度,本身就是對的,而且已經比那些什麼都沒做的組織往前走了一步。 但我在現場看到太多「有制度但沒在用」的狀況,覺得有必要說出來。個資管理制度不是蓋給別人看的房子,它是你每天要住的地方。 如果制度只是拿來應付檢查、拿認證,或放在官網上讓客戶放心,那保護效果其實很有限。真的出事的時候,不管是行政檢查、資料外洩,還是媒體開始問,真正幫不上忙的,往往就是那些排版很漂亮的文件。能幫你的,只有三件事:團隊知道怎麼反應,流程真的跑得動,稽核真的抓得到問題。 五個指標再整理一次:

# 指標 核心問題
1 文件使用 制度文件有人在「用」嗎?
2 盤點時效 個資盤點反映的是現在還是過去?
3 事件應變 出事時有人知道「現在」該做什麼?
4 訓練成效 教育訓練之後行為有改變嗎?
5 稽核深度 內部稽核真的有發現問題嗎?

如果這五個指標你大多都能很乾脆地回答「是」,那你的制度多半不是做來看的。如果有幾題讓你卡住,也不用急著自責。能看見問題,通常就是制度開始變真的那一刻。