S0003重大

個資保護影響評估缺失

設計與開發

風險描述

高風險 AI 系統未依 GDPR 第 35 條或台灣個資法進行數據保護影響評估(DPIA)。AI 系統因大量處理個資而幾乎都需要 DPIA,但許多組織將 AI 專案視為純技術專案而忽略此法律義務。缺少 DPIA 不僅構成法規違規,也使組織無法系統性地識別和管控隱私風險。

框架對照

iso 23894R1
iso 23894R6
eu ai actArticle 9
tw principle隱私保護與數據治理
tw principle問責
tw risk type社會系統性影響(Societal Systemic)

控制措施

  • DPIA 標準作業程序
  • 隱私工程整合

處理步驟

  1. 建立 AI 專案的 DPIA 標準作業程序
  2. 在 AI 專案啟動階段即納入 DPIA 要求(Privacy by Design)
  3. 使用結構化的 DPIA 範本涵蓋 AI 特有的隱私風險
  4. 指定數據保護官(DPO)審核所有高風險 AI 專案的 DPIA