企業應用IT面臨的法律規範新課題

Regulatory Compliance
法規遵循，已經成為企業IT管理不可迴避的問題

隨著全球化的經濟貿易，以及電子科技的進步，使IT已成為企業營運條件的一部分，密不可分，但它所衍生出來的問題也越來越多，各國政府也開始對企業中這些問題加以規範，如資訊保護、隱私問題、環境保護等。因此企業為了要永續經營，不僅要遵守國內的各種相關法律規範，也還要符合其他國家的管理規定。

現代IT應用廣泛，使得資訊交換非常便利，但在企業內，重要資料和業務流程的安全和可靠性，均面臨著許多潛在的威脅，再加上隱私權判例數量和要求遵循法規的聲音，與日俱增，各國開始制訂相關法案，例如：HIPAA、SOX、PCI DSS、Basel II等。企業不僅要遵循此類法規，也必須重視資料外洩所帶來的損失及應付的責任。否則，將被處以可觀的罰鍰。為了降低營運風險，整合威脅防護與風險法規遵循的工作，企業亟需處理。除了公司內部的e化，生產IT電子設備的公司，也被政府要求必須更環保，廠商須調整產品製程與生產設備。

法規遵循已經成為企業不可迴避的問題。例如營運的方向往往會受到規範的影響，同時IT採購與導入系統的選擇，以及IT管理的思維，也因這幾年法案的推動改變，使企業對特定系統的導入更加積極。同時企業應注意新法規及其他重要發展，因為這將對企業文化與風險管理帶來衝擊。因此身為企業的管理者，必須採取有效的手段，來保證企業能夠全面遵守各項法規，同時兼顧自身發展。

法規的建立，其實對企業有許多正面的影響。在遵從法規的基礎上建立有效的資訊管理體系，除了可以幫助企業降低經營風險，減少法律訴訟造成的不必要的營運成本，還能提高資訊管理、強化企業管理，以及樹立良好公眾形象。文⊙羅正漢


Health Insurance Portability and Accountability Act，HIPAA
醫療保險流通與責任法案
美國於1996年通過，目的是規範醫療工作人員去保障病人隱私，並維護員工、客戶及股東資料的完整性，同時並可簡化健康醫療的行政程序，以及增加健康照護體系的效率。簡單地說，HIPAA法案包括了電子交易法規、隱私法規、安全法規，內容大致可分為4大類：管理程序、實體防護、技術安全服務、技術安全機制。隨著我國醫療體系走向國際化，高標準的HIPAA將是衛生主管機關未來的參考方向。

Sarbanes-Oxley Act，SOX
沙賓法案
美國於2002年訂立，起因是美國安隆公司、世界通訊公司爆發財務欺詐事件破產，暴露出公司和證券監管問題。實際上，條文的內容，主要在於對會計職業及公司行為的監管，以及提高對公司高層主管及白領犯罪的刑事責任。沙賓法案的所有條文中，對公司影響最大的是404條款，針對與財務報表有關的內部控制，企圖讓企業營運及財務資訊更加透明化，並且建立相關規範以確保財務資訊正確性及可靠性。

Gramm-Leach-Bliley Act，GLBA
金融服務現代化法案
美國於1999年訂立，目的是確保存款機構的健全、提供投資人必要的保護，同時建立適當的安全標準，以保護客戶資料不受內外部的威脅。在GLBA中，明確制定金融資訊隱私權的保護規則，例如對消費者非公開個人資料的保護，以及對金融詐欺的處罰及責任。這項法案的實施，預計可以確保公司員工個人資訊與客戶資料的完整性，達到高隱私的標準，以確保金融服務市場的公平，強化金融服務業競爭力。

Basel II
新巴塞爾資本協定
此協定是基於巴賽爾委員會（美、英、日等10國）於1988年所公布的舊巴塞爾資本協定而修改，目的是強化銀行的風險管理與資產透明度，使投資人可評估該銀行的營運是否健全。銀行必須整合各種財務資料，並導入系統去揭示經營資訊。新巴塞爾資本協定包括3個面向：最低資本適足要求、監察審理程序、市場自律。除了規定最低資本的信用及市場風險外，也新加入了作業風險計提適足資本。

Payment Card Industry Data Security Standard，PCI DSS
支付卡產業資料安全標準
是由主要的信用卡公司聯合制定的全球性標準，於2005年訂立，凡接受信用卡刷卡付費的組織都必須配合，例如發卡銀行、接受信用卡付款的商店等。PCI DSS的存在，主要為了有效控管外部和內部資料洩漏的風險，以確保持卡人使用信用卡與簽帳卡資訊時，這些資訊皆能安全無虞，是支付卡產業在維護資料安全上必須遵守的要求和步驟。它的內容上共有12點，分為6大類規定。

California Senate Bill 1386，SB 1386
加州資料隱私法案
美國加州於2003年開始實施，該法案規定當發生個人資料外洩事件時，洩漏這些資料的公司必須公開受害報告。竊取個人資訊是近年來常出現的犯罪行為，而SB1386法案要求的重點在於保護個人資訊，並且對於企業資料保存提出了更高的安全要求。條文對個人資訊的定義，包括社會安全號碼、駕照、帳戶號碼、信用卡卡號、以及存取個人金融帳戶所需的密碼。一般而言，此法案特別強調個人機密資料的重要性。

Waste Electrical and Electronic Equipment，WEEE
廢電機電子設備指令
歐盟於2005年訂立。制訂此指令的目的是，防止廢電子及電器設備中的有害物質污染環境，並促進再使用與回收，以減少廢棄物。管制對象是針對10大類的電子電機產品。對於相關產品的製造業者，在設備產品設計及製造時，必須注意產品的易拆解、可回收再利用、以及可重複使用等綠色設計的概念，並找出符合經濟效益，且又能遵從法規、具環保概念的生產方式。

Restriction of Hazardous Substance，RoHS
電子電機設備有害物質限用指令
歐盟於2006年頒布。該指令的目的是，禁止電子電器設備使用有害物質，並促進廢電子電器設備的回收及處理，以合乎環境要求。歐盟主要管制輸入的電子電機設備，裡面不能含有鉛、汞、鎘、六價鉻、多溴聯苯及多溴聯苯醚。由於臺灣以外銷及代工為主的廠商很多，目前政府有一項措施，業者可向標準檢驗局評鑑的特定試驗室，申請檢測外銷產品，通過後即可取得標準檢驗局標章的檢測報告，進而順利外銷。

Energy-using Products，EuP
能源使用產品指令
歐盟於2007年訂立。此指令目的是提高產品能源使用的效率、減少環境影響與降低溫室氣體排放，規定產品製造商，必須採用生命周期的思考方式，並提供生態化設計（Eco-Design）的概念，要求產業落實在產品設計開發之中。製造者需評估產品的能源耗用與環境影響，提出有效的設計方案。影響範圍不僅是品牌廠商，各階層供應商都必須同樣達到標準。歐盟EuP指令目前公認是對生產者最大衝擊的指令。