ESG 最前線/二大合規風險 考驗永續經營
美國人臉辨識公司Clearview AI近日遭荷蘭政府開罰超過3,000萬歐元的罰款,理由是該公司在未取得當事人許可的情況下,從社羣媒體蒐集大量的臉部圖像,透過人臉資料庫出售給執法部門客戶。於此之前,Clearview AI已經接獲英國、法國、義大利等政府的開罰。
對一家AI公司來說,遭逢這樣巨大的罰款,不僅實質影響到公司的獲利能力,也對客戶、投資人、員工等利益關係人的信心產生衝擊,進而影響企業形象與品牌價值。違規事件未發生之前,它背後衍生的風險往往被嚴重低估。一旦違規事件升級爲罰緩、訴訟,企業亡羊補牢的機會成本,卻是遠超出預期。
從這樣一個「合規風險」案例,可以看出企業法遵合規未能落實的兩大陷阱。
第一,無法正確掌握法令規範
由於近年來資訊科技的發達,「個人資料隱私」的保護牽涉到許多新的媒體平臺、新興的應用技術。什麼是侵害個資的那一條線,不僅實務運作上存在灰色地帶,政府立法機構、執法部門也在不斷學習摸索。
此外,當企業的運作橫跨不同國家、不同產業時,也可能因爲沒有注意到適用法規的差異,產生「這裡合法,去到那裡就不合法」的情況。臺灣許多以國際貿易爲主的廠商,便面臨這樣的挑戰。
第二,外部法規要求,沒有接軌內部營運流程
面對多個歐洲國家政府的開罰求償,Clearview AI宣稱,他們只向「歐盟以外」的政府情報部門提供服務。很顯然,企業對法規內容的「認知」,與自身運作的「執行」是存在落差的。至少在歐盟政府與Clearview AI之間,就存在巨大的理解差距。
很多時候,企業也缺乏將「外部法規」有效轉化爲「內部規範」的能力,以至於法規頒佈、異動之後,法遵部門雖然已經掌握了實質內容,甚至也做了內部宣導,但是內部運作流程並未同步接軌,形成了俗稱「『知道』不等於『做到』」的情況。
總和來說,在比過往相對複雜的經營環境,企業必須先對外部法規有及時、正確的掌握。再者,內部運作要能合理連接外部規範的要求,才能將合規風險極小化,建立永續經營的有力基礎。