適當安全措施 = 不確定的法律概念 ≠ 人云亦云

2012.9.18

我們之前就分析過，從公司經營的角度看待即將在今年10月1日施行的個資法，望之令人生畏，但重點只需要放在「適當的安全管理措施」（第6條、第27條、第48條）就好，表面上看起來也不難。

然而，稍微再進一步研究，明眼人都會發現兩個問題：什麼是「安全管理措施」？要做到什麼程度才算「適當」？

這就是我們學法律的人最妙的地方。草擬法案的人，經常會針對需要被規範的狀況，已經預見到將有很多不同類型、甚至將有複雜的變形出現；而這些類型及其變形，都是我們還沒辦法在一時片刻間定出既明確又一翻兩瞪眼之判斷標準的。所以呢，我們就在法條裡面發明了一種刀切豆腐兩面光的東西，叫做「不確定的法律概念」。

IT業界目前每個人都眼巴巴地緊盯即將上路的個資法，期待商機大爆發。弄文件電子化的、做防毒防駭和弱點偵測的、搞數位權利管理的、賣備份設備的、提供軌跡資料紀錄的…甚至連會計師事務所…家家都宣稱自己賣的是「個資法解決方案」！但是，我們到今天還沒看到哪一家solution provider出來把話大聲講清楚，說出來「客戶只要執行…的作業程序，再搭配上我家的產品X+Y+Z，就等於適當的安全管理措施」！為什麼？

原因很妙。但據我們觀察，也不外乎以下兩點：

1. 這牽涉到「適當安全措施」的不確定法律概念，IT廠商不敢大聲這樣講，寧可公說公有理、婆說婆有理，免得將來客戶出了事，自己還得揹上連帶賠償的法律責任。

2. 把話講清楚，就沒辦法把自己的solutions兜出最大包、賣到最高價。IT業者派出來的sales rep個個比鬼還精，一邊和客戶談需求、一邊在盤算他大概可以把預算拉高到多少、我還能塞進去哪些產品…

這是客戶之不幸、IT業界之悲哀、還是模稜兩可之法條所帶來的痛苦？

且待下文分解。