可歸責性

可歸責性是歐盟 GDPR 提出的核心原則之一，根據 GDPR 第 5(2) 條，資料控制者（企業）不僅要遵守個資保護原則，更必須為此負責，並能「證明」其合規性。 這意味著企業需建立並維護完整的政策、程序與紀錄，以應對主管機關的查核，將消極的法規遵循，轉為主動的責任履行。

台灣《個資法》雖未明文使用「可歸責性」，但已採「過失推定」原則，要求企業對個資外洩負舉證責任，證明自身無故意或過失。 近年主管機關已修法加重罰鍰，最高可達1,500萬台幣。 此外，面對半導體、汽車等國際供應鏈客戶的資安稽核，或與歐盟企業的業務往來，具備可證明的個資保護能力，已是爭取訂單與信任的關鍵。

最直接相關的是歐盟《一般資料保護規則》(GDPR) 第 5(2) 條。 在 ISO 標準中，專為隱私保護設計的 ISO/IEC 27701（隱私資訊管理系統）整個框架都建立在可歸責性之上，它延伸了 ISO/IEC 27001（資訊安全管理系統）的控制措施，特別在 ISO 27001:2022 的附錄 A.5.34 中強調了隱私與 PII 保護的要求。

積穗科研是全台最早整合企業風險管理(ERM)、工業工程、科技法律與資料科學的顧問公司。我們由具預防法學背景的創辦人帶領，團隊涵蓋律師與 ISO 主導稽核員，能協助企業將 GDPR、ISO 27701 等要求，與現有內控、公司治理制度無縫整合，建立真正有效且可證明的個資管理體系(PIMS)，避免疊床架屋。