以數據共享為中心的法規

Data-sharing--centric regulation 指的是以促進數據在不同組織間安全共享為設計核心的法規框架，而非僅保護數據所有權。其起源於歐盟2020年提出的《數據治理法案》(Data Governance Act, DGA) 草案，旨在打破數據孤島，促進數據民主化。不同於傳統以保護為目的的GDPR，這類法規主動設計數據共享的機制，包括數據中介服務的認證、數據空間(Data Spaces)的建立以及數據信託(Data Trust)模式。在ISO/IEC 38500數據治理標準的框架下，這代表企業必須從「數據保護者」轉型為「數據賦能者」，確保數據在共享過程中的完整性、可用性與機密性，同時符合GDPR第6條合法處理基礎及第20條數據可攜權的規定。這對企業的風險管理意味著，數據資產的價值不再僅在於持有，而在於其流動性與互操作性管理能力。

實務導入可分為三個階段：第一步，數據資產盤點與分類。企業需依據DGA要求，將數據分為個人數據、非個人數據及受保護的產業數據，並對應ISO/IEC 27701的隱私控制措施。第二步，建立數據共享技術架構。這包括部署聯邦學習(Federated Learning)、差分隱私(Differential Privacy)或合成數據技術，確保數據在不離開原始環境的情況下實現價值，符合GDPR的數據最小化原則。第三步，設計數據共享合約與存取控制機制。企業需建立數據使用目的(Purpose Limitation)的技術性強制執行機制，例如使用DPO（數據保護官）監督數據流向。以臺灣製造業為例，某汽車供應鏈廠商透過建立數據共享平臺，在符合ISO 27701的前提下，與3家跨國OEM廠共享生產能效數據，使生產效率提升15%，同時因符合DGA合規要求，成功通過歐盟客戶的供應商風險審查，合規率達100%。

臺灣企業主要面臨三個挑戰。首先是法規認知落差：許多企業仍以臺灣個資法第20條為主要合規基準，對歐盟DGA的數據中介服務要求缺乏理解，建議透過ISO 31700系列標準建立跨法規的數據治理框架。其次是技術能力不足：數據共享需要聯邦學習、區塊鏈存證等新技術，中小企業難以自行開發，建議採用成熟的數據平臺服務商，並以ISO/IEC 27701作為技術控制的參考基準。第三是商業模式轉型壓力：企業擔心數據共享會洩露商業祕密，應建立「數據使用權」而非「數據所有權」的思維，並透過數據信託機構(Data Trustee)作為第三方仲裁，降低直接對接的風險。建議企業在90天內完成現有數據資產的風險分級，並優先針對高風險數據類型建立技術保護機制，以確保在歐盟市場的競爭地位。

積穗科研股份有限公司（Winners Consulting Services Co., Ltd.）專精臺灣與國際風險管理法規實務，針對Data-sharing--centric regulation提供從法規解讀、技術控制設計到ISO 27701認證輔導的一站式服務。我們協助臺灣企業在90天內建立符合DGA與GDPR雙重要求的數據治理機制，已成功協助超過100家企業完成跨國合規轉型。申請免費機制診斷：https://winners.com.tw/contact