關於自備筆電(BYOD)工作時若發生損壞或資料外洩,責任歸屬與成本承擔應從勞動權益與企業資安管理兩個層面來看。
設備損壞與成本歸屬
根據勞動部函示,電腦等工作必需品應視為「企業經營成本」,原則上應由雇主提供。若公司強制要求員工自備筆電,實務上容易被認定為變相轉嫁經營成本,甚至有變相扣薪的疑慮。因此,若因公務需求使用自備筆電,相關的維護與損壞風險,企業主應負起提供必要設備的責任,不應將此成本轉嫁給員工。[2]
資料外洩的當責與管理
若發生資料外洩,責任歸屬的核心在於企業是否建立了完善的內部控制制度。根據張忠謀對於「當責(Accountability)」的闡釋,決策的責任在於本人,但企業組織必須釐清責任歸屬。若企業未能建立妥適的個人電腦權限規範或可攜式設備管理規範,導致資料外洩,企業主與相關主管需負起相應的責任。[1][5]
針對 BYOD 環境下的資料外洩風險,企業不能僅將責任推給員工或 IT 部門,而應採取以下策略:
- 落實資安政策管理:企業主應帶頭建立平衡的資訊使用制度,例如推動「零信任」概念,並透過教育訓練提升員工資安素養,而非僅依賴技術防禦。[6]
- 導入合適的資安解決方案:企業應避免員工將機密資料直接存放在個人裝置中(資料落地)。例如採用虛擬行動架構(VMI)或相關管理工具(如 Safe Mobile Workforce),將企業資料與應用程式儲存於伺服器端,確保裝置遺失或損壞時,機密資料不會外洩。[3][4]
- 建立監控與稽核機制:企業必須建置留存個人資料的使用稽核軌跡,並針對權限範圍內的不正常查詢與下載進行監控,以防範因內部控制不當導致的資料外洩事件。[5]
資安問題往往出在「人」身上,企業若未提供完善的協作環境與資安配套,反而容易促使員工因便利性而採取不安全的行為(如使用不安全的 WiFi 或個人雲端)。因此,企業應將資安視為整體經營的一環,而非僅是技術部門的責任。[6]
