POINTER:a GDPR-compliant framework for h — 積穗科研洞察

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）分析發現：員工滲透測試（Human Pentesting）已成為企業資安防線的重要工具，但現行框架普遍忽略中小企業的資源限制，且常見的魚叉式釣魚（Spear Phishing）測試手法可能直接違反GDPR個人資料保護規範。PoinTER框架（Prepare-Test-Remediate）提供了一套兼顧合規與實務的結構化方案，台灣中小企業在強化內部資安意識的同時，必須同步確保測試程序符合個資法遵要求。

關於作者與這項研究

本篇論文由兩位來自英國學術界的研究者共同撰寫。Jackie Archibald 聚焦於中小企業資安實務研究，雖學術引用數相對早期（累計引用 46 次），但其研究切入點精準——她注意到現行員工滲透測試框架在中小企業場景中的適用性缺口。共同作者 K. Renaud 則是資安與隱私領域的資深學者，h-index 達 34、累計引用次數逾 5,253 次，長期深耕人因安全（Human Factors in Security）、隱私心理學與使用者行為等議題，在業界與學術圈均具有相當影響力。

這篇 2018 年發表於 arXiv 的研究，問世時間點恰好落在 GDPR 正式生效前後，具有極強的政策即時性。兩位作者觀察到一個矛盾現象：企業越來越重視員工的社會工程學防禦能力，卻在測試過程中無意間觸犯了其設計用來保護員工的隱私法規。這個矛盾至今仍在台灣企業資安實務中普遍存在。

員工滲透測試的合規矛盾：PoinTER 框架如何破局

本研究的核心問題是：當企業用魚叉式釣魚郵件測試員工的資安意識時，是否已在不知不覺中收集了員工個人資料，並因此違反 GDPR 第 5 條（資料處理原則）與第 13、14 條（透明告知義務）？研究者的答案明確——在許多常見測試設計中，這個風險確實存在。

核心發現一：現行員工滲透測試框架普遍未針對中小企業設計

研究者系統性檢視了現行主要的人因滲透測試框架，發現它們在設計假設上預設了大型企業的資源條件——包括獨立的資安部門、完整的法律諮詢能力，以及充足的測試預算。對於員工人數在 50 至 250 人之間的中小企業而言，這些框架的可執行性大幅降低。台灣現行個人資料保護法（下稱台灣個資法）雖未對企業規模設定差異化義務，但中小企業在實際執行隱私風險評鑑時面臨的資源困境是客觀存在的。

核心發現二：魚叉式釣魚測試涉及員工個人資料處理，具有 GDPR 違規風險

魚叉式釣魚（Spear Phishing）測試需要蒐集並使用員工的個人資訊（如姓名、職位、工作習慣等）來製作高度個人化的誘餌郵件。研究者指出，這個過程本身就構成 GDPR 定義下的「個人資料處理」行為，必須符合合法處理基礎（Lawful Basis）、最小必要原則，以及透明告知要求。若企業未事先進行資料保護衝擊評估，則測試活動本身可能構成違規。

核心發現三：PoinTER 三階段框架提供結構化合規路徑

研究者提出 PoinTER（Prepare-Test-Remediate）框架作為解決方案。「準備」階段要求企業在測試前取得適當的法律基礎、告知員工測試政策（而非具體測試時間），並完成隱私風險前評估；「測試」階段規範測試的資料蒐集範圍與使用方式；「補救」階段則強調測試後的即時回饋、教育訓練，以及資料的妥善銷毀。這三個階段與 ISO 27701 的管控要求高度契合，特別是在個人資料處理活動的可問責性（Accountability）設計上。

對台灣隱私資訊管理（PIMS）實務的意義

台灣企業在規劃員工資安意識訓練時，若採用含有個資蒐集的測試手法，必須同步評估台灣個資法第 19 條（非公務機關蒐集個資之特定目的）與第 20 條（利用限制）的合規性。

具體而言，以下三個面向是台灣企業目前最需要關注的：

一、資安測試活動的個資法遵定性：許多台灣企業將員工滲透測試視為純粹的「資安活動」，而非「個資處理活動」，因此未納入隱私資訊管理體系的管控範疇。這個認知缺口在 ISO 27701 稽核中越來越容易被發現。

二、DPIA 觸發條件的重新評估：根據 GDPR 第 35 條及相對應的資料保護衝擊評估要求，涉及員工監控或行為評估的活動通常屬於高風險處理，應觸發 DPIA 流程。台灣企業若有海外 GDPR 管轄範圍的業務，這個要求同樣適用。

三、供應商委外測試的合規鏈管理：許多台灣中小企業委託外部廠商執行員工釣魚測試，但往往未在委外合約中明確界定個資處理的責任歸屬，這在 GDPR 框架下屬於資料處理者（Data Processor）管理的合規缺口，在台灣個資法下同樣需要審視委託處理契約的完整性。

此外，ISO/IEC 29134 隱私衝擊評鑑指南提供了執行 PIA（Privacy Impact Assessment）的國際標準方法論，台灣企業可將其與 PoinTER 框架整合，建立更完整的員工測試合規程序。同時也建議關注電子隱私條例的最新進展，因其對電子通訊監控的規範可能影響企業釣魚模擬郵件的合法性判斷。

積穗科研如何協助台灣企業建立合規的員工滲透測試機制

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣企業導入 ISO 27701 標準，建立符合 GDPR 與台灣個資法的個人資料保護機制，執行 DPIA 個資衝擊評估。針對本研究提出的員工滲透測試合規議題，我們建議台灣企業採取以下具體行動：

1. 月 1–2：進行現況盤點——清查現有員工資安意識測試活動（包含委外項目），確認哪些環節涉及個人資料蒐集，並對照台灣個資法第 19 條評估蒐集合法性。同步建立「員工測試活動個資處理清冊」，納入 ISO 27701 的處理活動紀錄要求（Records of Processing Activities）。
2. 月 3–6：導入 PoinTER 合規框架——依據研究建議的三階段架構，設計符合企業規模的標準作業程序（SOP）：準備階段完成隱私風險評鑑與員工政策揭露；測試階段設定資料蒐集的最小必要範圍；補救階段建立測試結果資料的保存與銷毀規範。如業務涉及 GDPR 管轄範圍，同步完成 DPIA 文件。
3. 月 7–12：建立持續監控機制並申請 ISO 27701 認證——將員工滲透測試的合規管控整合進 PIMS 整體管理循環，定期執行內部稽核，確保測試活動的個資處理程序符合最新法規要求。在合規機制穩定運作後，啟動 ISO 27701 第三方認證程序，以外部驗證強化客戶與合作夥伴的信任基礎。

常見問題

企業執行員工釣魚模擬測試（Phishing Simulation）時，是否需要事先進行 DPIA？

是的，若測試涉及大規模員工行為監控或使用員工個人資訊設計測試情境，依 GDPR 第 35 條規定屬於高風險處理活動，應事先完成資料保護衝擊評估（DPIA）。即使是台灣境內企業，若有歐洲員工或服務歐洲客戶，同樣受 GDPR 管轄。PoinTER 框架的「準備」階段明確要求在測試啟動前完成此評估，並記錄處理的合法基礎（如正當利益）、資料範圍與保存期限。台灣個資法第 19 條亦要求蒐集員工個資須符合特定目的，企業應在 SOP 中明確定義「提升資安意識」作為法定目的。

台灣企業委外執行員工滲透測試時，如何管理個資合規責任？

委外滲透測試的個資責任歸屬是台灣企業最常忽略的合規缺口。依台灣個資法第 8 條及 GDPR 第 28 條，企業作為資料控制者，必須與委外廠商簽訂明確的資料處理協議，規範：測試期間可蒐集的員工資料範圍、資料使用目的限制、測試結束後的資料銷毀義務，以及廠商不得將員工資料用於其他商業用途的條款。ISO 27701 的附錄 B 提供了資料處理者的控制要求清單，建議企業在遴選委外廠商時將其列為採購評估標準之一。

ISO 27701 認證對員工資安測試活動有哪些具體管控要求？

ISO 27701 作為 ISO 27001 的隱私延伸標準，要求組織在個人資料處理活動清冊中納入所有涉及員工個資的作業，包括資安測試。具體管控要求包括：建立合法處理基礎（7.2.1）、實施資料最小化原則（7.4.2）、確保資料主體（員工）的知情權（7.3.2），以及設計資料保存與銷毀政策（7.4.7）。企業在申請 ISO 27701 認證時，稽核員通常會抽查員工測試活動的個資處理文件，若缺乏相關管控紀錄，將直接影響認證結果。建議在認證申請前 3 個月完成相關文件補強。

中小企業導入 PoinTER 框架與 ISO 27701 需要多少資源，預期效益為何？

根據積穗科研輔導經驗，員工人數在 50 至 200 人的中小企業，完整導入 PoinTER 框架並將其整合進 ISO 27701 管理體系，平均需要 6 至 9 個月，核心工作量約集中在前 3 個月的盤點與文件設計階段。主要資源投入包括：內部負責人每週約 8 至 10 小時的協調時間、員工政策揭露的溝通成本，以及必要的法律諮詢費用。預期效益方面，除降低個資違規罰鍰風險外，完整的 PIMS 認證可作為對 B2B 客戶的信任憑證，在歐洲市場尤其具有競爭優勢。

為什麼找積穗科研協助隱私資訊管理（PIMS）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）專注於隱私資訊管理領域，具備同時熟悉 ISO 27701、GDPR 與台灣個資法三套體系的跨法域顧問能力。我們的服務特色在於：不僅協助企業取得認證，更協助企業理解每項管控措施背後的法規邏輯，從而建立真正可運作的合規機制，而非紙上文件。針對中小企業，我們提供規模適切的導入方案，避免過度複雜化，確保在 7 至 12 個月內完成導入並通過認證。免費機制診斷服務可協助企業快速識別現有缺口，制定最符合成本效益的改善路徑。