展望2025國際治理趨勢，BSI揭露董事會「義務」成新主軸

隨著生成式AI應用的高速發展，企業在面對數位與永續轉型浪潮，以及AI風險快速竄升之際，我們該如何解決與因應這些風險與挑戰？

在11月舉行的英國標準協會（BSI）數位信任國際資安標準年會上，該公司東北亞區董事總經理蒲樹盛強調，今年一項備受關注的國際趨勢，就是對「董事會義務」的高度重視，這是國內企業在公司治理上需關切的重要發展，他共歸納4大重點。

首先，當今的公司法正強化受託人義務，從治理層面全面提升應對能力。他解釋，所謂受託人指的就是公司董事、獨立董事、高階經理人，這些都是受託來管理公司組織的人，更重要的是，現今重點是放在「義務」，也就是應符合利害關係人的期待，包含客戶、員工、股東認為公司應該要做到的事。

換言之，從國際上公司法都在修法的趨勢來看，目的不僅是強化董事會責任，更要強化董事會義務。近年臺灣企業設立資安長、永續長，其實也是類似狀況。

第二個重點是風險治理，所謂治理（Governance），就是管理（Management）＋領導力（leadership），而風險治理就是企業內部要有風險管理系統、風險管理框架，才能足以識別及管理風險。

蒲樹盛以資料外洩情況為例，說明現在一家企業要如何判斷法官的見解，不僅是從企業是否符合利害關係人期望，做到上述所提的義務，另一重點就是公司是否有治理架構，董事會成員是否有具備風險管理的專家，以及公司內部是否建立風險管理框架。

像是國內證交所在資安事件重訊的規範，不論是次一營業日的開盤前2小時要公告重訊，或是損失3億元或股本20%應召開重訊記者會，如果一家企業連這些發布規範都不清楚，外界也很難相信該公司會有風險治理的框架，因此法官也就會做出對企業不利的判決，導致企業訴訟風險大增。

第三個重點，是董事會成員必須具備4大核心能力與義務，不僅包括所有公司均應具備的「謹慎（Duty of Care）」，現行規範更進一步強調「忠實（Duty of Loyalty）」的承諾，以及「勤勉用功（Diligence）」與「專業技能（Skill）」的履行。在國際間，這些義務已是公司法改革的重點。

最後一個重點在於，解決風險與確保組織韌性的能力。事實上，確保組織韌性已是近年資安防護不斷強調的主軸，這方面的能力已成不可或缺的一環。

違反合規的罰則最高來到全球營業額7％，比GDPR更高

對於公司經營層與董事會而言，在應對前述科技與環境風險之下，合規風險的層面也不容輕忽，蒲樹盛指出，近年來全球罰則正不斷升高。

回顧多年前被譽為最嚴格個資法的GDPR，最多罰全球營業額4%，現在這樣的比例，其實已經算低。

例如，2023年11月底正式施行的歐盟數位服務法（DSA），此法針對社群平臺等數位服務提供者加以規範，以打擊線上非法服務或內容，其違反者最高可罰全球營業額6%；預計明年實施的歐盟人工智慧法案（EU AI Act），不只是建立AI全面監管框架，本質上更是一個產品安全的規範，違反者可罰全球營業額7%。

永續資訊揭露明年實施，尚未行動的上市櫃公司需儘速準備

在永續方面也有重要進展，不僅是歐盟在2023年實施的企業永續發展報告指令（CSRD），還有國際上IFRS永續揭露準則的出現，以及溫室氣體排放量盤查與查證（GHGEV）。

此外，永續發展資訊揭露的規範也愈加嚴格。對於臺灣企業而言，明年2025更要注意一件事──永續資訊揭露納入證交法，也就是明年全體上市公司均需編製永續報告書，而且所有相關內稽內控全部列為必查項目，避免有資訊不實或誇大的情形。以上這些新變化，都是企業在合規風險上需要留意的，董事會與經營層需要有所掌握，才能及早做好準備。

從資安治理、治理架構到文化的推動

大家近年可能時常聽到，要形塑資安文化才有助推動，但這樣的企業文化要如何建立，仍然有許多組織處於一頭霧水的狀況。

在這場演說當中，針對資安文化與永續文化的推動，蒲樹盛特別闡釋了「我們該如何建立文化」這件事，幫助國內企業可以有更好的理解方式。

特別的是，蒲樹盛為了促進大眾理解，用上了不同的詮釋方式，他從文化（Culture）一詞起源的角度出發，指出該字是由古羅馬哲學家西賽羅首次使用拉丁文「cultura animi」定義，其原意是指靈魂的培養。

因此若是我們要培養企業組織的人，能夠具備資安、永續的靈魂，可以有3個步驟：（一）要提供給這些人相關知識與觀念，（二）不能只是說而不做的上課，還要讓員工透過實際體驗，才能做到靈魂的培養，（三）要給予時間讓組織內的人可以將觀念知識內化，變成潛意識的舉動，這時文化才會真正形成。

「如果沒有文化，很多事沒有辦法做。」蒲樹盛指出，這就像大家從小獲得的教育一樣，很多觀念不必要求就會做得到，這就會變成普世價值。