企業現在最大的風險,不是「不知道法規」,而是「知道很多法規,卻沒有一套能落地的控制矩陣」。
結果就是:文件很多,控制很少。合規看起來完整,營運一出事就斷點。
法規正在「疊加」,但企業治理仍是「分段」
在台灣實務上,許多組織仍把個資治理理解成「法務交付文件」;但從跨法域要求來看,這種做法越來越撐不住。 以《個資法》第19條第1項第2款來看,非公務機關若主張「契約或類似契約關係」作為蒐集/處理基礎,條文同時要求「已採取適當之安全措施」。這代表合法性不是只靠法律主張,而是要靠控制證據支撐。
同一時間,EU 的 AI Act 採風險分級(risk-based approach),且已明確列出禁止行為與高風險應對框架。官方說明頁也指出,禁止性規範已自 2025 年 2 月起生效。這意味著: AI 合規不是等產品上線才補文件,而是從用例分類就要開始。
把「法條對照」升級成「控制矩陣」
我建議把治理拆成三層,而且每層都必須有可稽核輸出。
第 1 層:合法性層
目標:回答「我們為何可以做這件事?」
最小控制:
- 為每個資料處理活動指定法律基礎(例如契約、法定義務、同意)。
- 針對主張「契約必要」者,附上必要性說明與安全措施證據欄位。
- 把 DSR 期限、拒絕條件、身分驗證規則寫成工單欄位,而不是留在 SOP 段落。
第 2 層:跨境機制層
目標:回答「資料可不可以出境?如果可以,憑什麼?」
歐盟執委會對 SCC 的說明很清楚: 對於 EU 到第三國傳輸,若無適足性決定,可用含適當保護措施的標準契約條款(SCC)作為傳輸依據;且 2021 年已發布 GDPR 下的新版 SCC。
最小控制:
- 在 ROPA 增加「儲存地 / 接收地 / 傳輸機制 / 到期日」四欄。
- 建立「先判法域、再選機制」決策樹,禁止先傳再補文件。
- 把 SCC(或其他機制)義務映射到實際作業:事故通知、刪除證明、受託監督。
第 3 層:AI 風險層
目標:回答「這個 AI 用例的風險級別是什麼?誰負責控管?」
這裡有一個很值得參考的反方視角: NIST AI RMF 明確定位為「voluntary use」,它不是強制法規,而是讓組織把 trustworthy AI 的要求轉成治理流程(例如 Govern / Map / Measure / Manage)。
這提醒我們:
- 硬法規(例如 AI Act)解決「最低必須做什麼」;
- 治理框架(例如 NIST AI RMF)解決「在組織裡怎麼真的做得到」。
如果只做前者,容易停在法遵清單;只做後者,可能缺乏法律抗辯力。兩者要並行。
真正的競爭力,是「可證明的治理能力」
未來的合規競爭,不會是誰背得出更多法條; 而是誰能在跨境、DSR、AI 三種壓力同時出現時,仍然拿得出一致、可追溯、可稽核的決策證據。
換句話說, 你要交付的不是「法規答案」,而是「治理系統」。
如果你的團隊現在已經有制度文件,下一步不是再寫一份文件;而是把文件變成控制矩陣,讓制度在壓力下真的會動。
參考資料
-
European Commission, AI Act
https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai -
European Commission, Standard Contractual Clauses (SCC)
https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en -
NIST, AI Risk Management Framework (AI RMF)
https://www.nist.gov/itl/ai-risk-management-framework -
法務部全國法規資料庫,個人資料保護法
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021 -
ICO, How do we recognise a subject access request (SAR)?
https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/right-of-access/how-do-we-recognise-a-subject-access-request-sar/