權力不對等

權力不對等（Power Imbalance）是源於法律與社會學的概念，在個人資料保護領域中，特指資料控制者與資料當事人之間存在顯著的權力差距，導致當事人無法「自由地」給予、拒絕或撤回其同意。歐盟《一般資料保護規則》（GDPR）的前言第43條明確指出，當控制者是公共主管機關，或在雇主與員工的關係中，通常存在明顯的權力不對等，此時若將「同意」作為處理個資的唯一法律基礎，將極具風險。在風險管理體系中，權力不對等是評估「同意」有效性的關鍵因素。它與「脅迫」不同，權力不對等可能是一種結構性狀態，無需明顯威脅，就足以影響當事人意願的自主性。在建構如ISO/IEC 27701的隱私資訊管理體系（PIMS）時，未能識別並處理權力不對等情境，將構成重大的合規性風險缺口。

在企業風險管理中，處理權力不對等議題需採取系統性步驟，確保個資處理的合法性。第一步為「盤點與識別」，全面檢視所有依賴「同意」作為合法基礎的個資處理活動，並特別標示出涉及權力不對等關係的情境，例如員工資料、求職者履歷、學生學籍資料等。第二步為「執行資料保護影響評估（DPIA）」，依據GDPR第35條精神，針對已識別出的高風險情境，評估權力不對等對「同意」自由意願的影響程度，並將評估結果文件化。第三步為「選擇替代法律基礎」，若評估後認定存在顯著權力不對等，應避免使用「同意」，改為依賴GDPR第6條中其他法律基礎，如「履行合約所必需」、「法定義務」或「正當利益」。例如，台灣某科技公司處理員工差勤紀錄，應基於「履行勞動合約所必需」，而非要求員工「同意」，從而規避同意無效的風險，此舉能有效將合規率提升至95%以上。

台灣企業在導入權力不對等概念時，主要面臨三大挑戰。首先是「文化因素」，東亞職場普遍存在階級權威文化，員工常認為拒絕主管的要求是不禮貌或不服從的表現，即使法律上允許，實際上也難以自由行使拒絕權。其次是「法規認知落差」，台灣《個資法》雖要求告知後同意，但對「同意」的自由意願性未如GDPR有深刻闡述，導致企業低估在權力不對等下取得同意的法律風險。第三是「資源與專業不足」，特別是中小企業，缺乏專職法務或隱私保護人員來進行複雜的適法性分析與DPIA。對策上，企業應建立明確的內部隱私政策，公開聲明拒絕非必要的個資提供絕無負面後果，並對主管與員工進行教育訓練。針對法規落差，建議以GDPR作為內部管理的黃金標準，統一合規水位。資源不足則可藉由外部專家顧問，導入標準化評估範本與流程，預計90天內可建立初步管理機制。

積穗科研股份有限公司專注台灣企業power imbalance相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact