ESG最前線／從台積洩密案 看資料保護挑戰

8月初，全球半導體龍頭台積電（2330）爆發二奈米製程技術洩密事件，涉嫌工程師利用公司配發的筆電與手機拍攝螢幕，將上千張疑涉機密的圖片外流至日本廠商東京威力科創。這些資訊被列為我國「國家核心關鍵技術保護清單」的一部分，涉案人除可能違反《營業祕密法》，更可能觸犯《國家安全法》，最重恐面臨無期徒刑。

此案再次凸顯，即便是具備嚴密資安管理與出入管制的企業，仍可能因內部人員的權限濫用或不當行為，而引發重大洩密風險。對企業而言，這不只是單純的資安議題，更關乎ESG中「治理」（Governance）層面的根本韌性與永續發展。

為回應憲法法庭對於建立獨立監督機制的要求，我國《個人資料保護法》修正草案已由行政院送交立法院審議，並提出多項制度改革。

修法重點包括成立「個人資料保護委員會」，統一監督公、私部門的個資管理，取代過去分散式的管理模式；明文化事故通報與當事人通知義務，要求公務機關與非公務機關在發生竊取、洩漏等事故時，必須立即告知當事人並通報主管機關，且須採取應變措施及保存記錄；要求公務機關設置「個資保護長」，專責督導資料保護（私部門雖未強制，但趨勢明顯）；強化行政檢查與罰責，包含賦予主管機關對非公務機關展開現場檢查的權限，以及將部分違規行為的罰鍰上限提高至1,500萬元。此外，修法也規劃過渡期安排，對於目前無主管機關的私部門，將在六年內逐步由個資會接手監管，每兩年檢討一次制度進展。

面對這樣的法規變革，企業不應消極等待，而應主動調整治理架構。

首先，建議企業即早比照國際做法設置資料保護長（DPO），負責風險評估、制度規劃與教育訓練，即便目前法律未強制，這也是降低未來法遵衝擊的有效做法。同時，必須建立明確的事故通報與應變流程，確保當資料外洩或異常事件發生時，能即時啟動內部通報、當事人通知、主管機關報告等步驟，並完整保存應變紀錄，確保符合法規與自我稽核需求。

此外，企業應強化資安技術防護，落實權限分級管理與異常行為偵測系統，主動攔截異常存取或大量開啟敏感檔案的行為，並透過定期稽核與員工教育降低內部風險。教育與宣導尤為關鍵，必須讓員工理解資料洩漏所帶來的法律、商業與ESG風險，將資安文化內化為日常作業的一部分。

台積電事件顯示，資料保護並非僅靠科技防火牆即可萬無一失，更是企業治理、組織文化與風險管理的綜合體現。未來，隨著《個資法》修正案的落實，企業將面臨更高的法遵要求與社會期待。唯有將資料保護納入 ESG策略，從組織結構、制度流程到員工意識全面強化，才能真正站在法規與市場的前端，確保營運安全與永續發展並行。這不只是法律的要求，更是企業對股東、員工、客戶及社會的長期承諾。