研究專區

首先，什麼是資通、資安、個資？其實範圍非常的廣，泛指資訊的通訊和保護皆屬之，裡面也包括了「個資」，不過個資的定義是侷限於自然人的資訊，而不包括法人（公司）資訊，這點要先釐清。至於「資通安全事件」是什麼？我們可參考「證交所對有價證券上市公司重大訊息之查證暨公開處理程序」，其有提及公司的資通系統、官方網站或機密文件檔案資料等，被入侵、破壞、竄改、刪除、加密、竊取、服務阻斷攻擊（DDoS）等，而導致無法營運或正常提供服務，或有個資、內部文件檔案資料外洩之虞，這造成公司重大損害或影響即屬之。所以，近年來常見公司發布重訊說明系統受到勒索軟體、加密攻擊等都是如此，因為這類事件實在太多了，而且並不是只發生在公發「上市櫃公司」，只是因為他們有發布重訊的規定要求，才讓公眾誤以為這是大公司需要注意的議題。

話說回來，為什麼新創和中小企業也必須要注意資安和個資的保護呢，至少有以下三點理由： 

一、法規明確要求，不因企業規模大小而有差別

這是最常見的誤解，企業主會認為資安（資訊安全）和個資管理是大公司的事情。對此，我國就資安的主要法律為「資通安全管理法」，該法確實規範 的對象為公務機關和「關鍵基礎設施」提供業者（像是台灣電力公司、中華電信等通訊傳播、交通及能源等產業），而不是所有企業都適用；然後，大家常探討的公司治理「資安內控」則是在公發公司所適用的證券交易法、建立內部控制制度處理準則有相關規定。但請別忘了，還有最直接殺傷力的「個人資料保護法」（個資法），其並不區分公司大小，只要保有個人資料皆受規範（相信很難有人說自己公司完全沒有個資吧？員工的個資也是受保護的），這也是許多企業主忽略的地方，也就是說：只要您的企業有蒐集、處理或利用任何一位客戶、用戶或員工的個人資料，就必須遵守個資法的規定。

為什麼個資法這麼重要？原因就在於它的法律責任相當嚴峻。首先是行政裁罰，一旦違法，主管機關最高可處以新臺幣 1,500 萬元的行政罰鍰，而近期我們看到的個資外洩行政裁罰處分案例，罰鍰至少也都在百萬元之譜；且請注意，負責人也會受到同額度的裁罰。再者，一旦發生個資事故，還會面臨被害人的民事賠償，其依法可直接請求每人 500 元至 2 萬元的賠償金（單一事件原則上限兩億元）。這對於現今多擁有數以萬計用戶、會員個資的新創來說，無疑是個沉重的負擔。另外，如果行為涉及故意犯罪，個資法也有最重5年以下有期徒刑。

要補充說明的是，現在已經不只是上市櫃公司才有資安或個資事故的通報要求。個資法在今（2025）年10月底已修正通過，只要企業發生重大個資外洩等事故，就有通報主管機關（個人資料委員會）的義務，若隱瞞不報者還將面臨2萬到20萬元的罰鍰、且可以按次處罰。由此可知，不論企業規模大小，對於資安及個資皆應予以重視。

二、資安及個資保護已逐漸成為供應商資格要件，要做到生意，先做好個資

新創及中小企業無非都想打入各種供應鏈，在臺灣這個淺碟、高競爭市場保有一席之地。但請注意到，這些供應鏈的關鍵客戶：上市櫃公司，其實有著「上市上櫃公司資通安全管控指引」等要求，其就包括了對於協力廠商的規範，像是要求協力廠商的資通安全責任及保密規定。同樣地，個資法也有相類對於受委託廠商的規範要求（甚至包含了稽核）。因此，想要和這些大公司作生意、特別是對於採用 B2B 模式、目標成為大型企業技術或服務供應商的新創來說，個資和資安是進入供應鏈的入場券。

這又可分成兩個面向，一是和資通開發規格有關者，依「上市上櫃公司資通安全管控指引」本身就有提到系統開發和維護的規格，都要納入資安標準，因此想要提供服務的公司原本就要有此開發能力及水準。

另一則是接受資安管理；也就是上述所提的協力廠商需做到資安的要求，因為前述的資通安全管控指引不只要求上市櫃公司本身，也要求合作的供應商需符合對應標準；因此，近年來愈來愈常見大型客戶會要求要提供服務的公司，需要建置或符合國際或國家的資安、個資標準（例如ISO 27001、TPIPAS）、公司資安政策，或至少會要求嚴格的資料加密、存取控制、資料銷毀等協議；甚或是進一步約定如果新創因為自身疏失，導致客戶資料外洩或服務中斷，將面臨高額的懲罰性違約金和相關賠償責任，這意思是：「不僅錢沒賺到，可能還要倒賠」。

三、個資及資安保護形塑公司治理，更是企業估值與募資的加分項目

新創的終局目標（end game）通常在幾輪募資後IPO，或是或被大型企業併購（M&A）。但不論是哪種結果，資安與個資都是一樣的重要。
第一種是新創自己成為公發公司，自然就會受到本文前述規範的拘束。
至於就投資及併購而言，資安合規性直接影響交易價格甚至投資人、併購方的決策；這是因為交易過程中的盡職調查（Due Diligence, DD），都會將「資安與個資合規」列為公司治理重要環節而屬於必查的項目，如有相關已發生的缺失、裁罰，和缺乏完善的資安基礎架構、也直接影響估值（Valuation）、投資條件，甚或是投資決定，而可能造成投資或併購案直接終止。

實質上，愈後期建置成本愈高，與其等到 A 輪或 B 輪募資前才被迫花費鉅資進行資安補救、打掉重練，不如在初創期就進行最小化、系統化的基礎合規建置，會是成本效益較好的選擇。簡言之，個資和資安合規不再是可有可無的成本，而是提升企業估值、吸引專業投資的必要條件。且建置「最好的時間點永遠是現在」。

總結

前面講完了要做的理由。但要怎麼做？相關個資和資安觀念，政府其實也一直在宣導及推廣，我們可以參考台灣電腦網路危機處理暨協調中心（Taiwan Computer Emergency Response Team / Coordination Center , 以下簡稱TWCERT/CC）：「企業資安事件應變處理指南」。大家可以把它當成資安因應三部曲。

這包含了事前準備：企業可以預先針對資安事件處理的工具、文件、人員、管理制度進行規劃與準備。該指南還明確的列出了8個項目（方向），包括了資安工具準備、資安事件分類分級、訂定資安事件紀錄表、資通系統分級、設立專責資安聯絡人員、規劃專業資安教育訓練、規劃資安健檢及建立情資交換與通報管道。

當然，任何制度的建置都是盡可能降低風險，而並非期待將風險降低至0，所以一旦仍有個資及資安事故發生，也不必驚慌而掌握以下幾個要點處理：1.資安事件偵測與分析（確認事件發生的時間、原因及影響範圍等）、2.保存數位證據（如系統日誌、網路封包，以利後續鑑識調查及確定責任）、3.資安事件應變與處理（止血避免損害擴大，因事故類型而不同，像是切斷或隔離受影響的系統、設備或網路）、4.通知利害關係人（前述有提到通知相關主管機關，個資法另外有規定查明後通知當事人的要求）。

而在事後改善部分，該指南則提醒：1.檢討目前的資安管理制度是否需調整，2.檢視目前的事件處理程序是否合宜，3.檢視目前的事件處理程序是否合宜，4.檢視其他主機、系統、設備，5.檢討防護設備是否足夠。等於從各面向清查及檢討這次事故的根因及對應的改善措施，「亡羊補牢」避免日後再發生同類型事件。

資安與個資合規，不是大公司的專利，其實更是新創和中小企業從「創業實驗室」邁向「永續經營」的必修學分。只有將法律風險前置化管理、諮詢專業人士、建置制度，才能真正讓技術創新無後顧之憂，並為企業未來創造一個更穩固、更有價值的法律基礎，也才能打造出一個永續經營的價值鏈。
 

陳全正律師（法律兵工廠粉專：https://reurl.cc/96Oryd ）