昨日有提到，到底跟我司的IoT、電腦資訊系統、資安等等，有甚麼關係呢？我又不用對外公布？幹嘛要弄個標準化，套死自己呢？

我們都知道資訊部門、資安部門都屬於公司的一個主管單位，所以一定要訂定規則，但是，訂了規則之後，內部稽核單位就要進行定期的考核，以判斷部門績效，以及執行狀況，是否有違自行定訂的標準。或許大家會覺得，那查完之後，又不對外公佈，我為何要這麼累？是的，假如非對外公開發行公司，基本上就不會有很多要求，但是，進入資安時代，主管機關已經訂定越來越多標準，目的就是希望能夠藉由法令規定，讓大家重視這個議題，如果沒有到達要求的標準，就要受罰，然而，有太多資訊單位、資安單位誤解，認為這是沒有彈性的做法，但是，內部制度是單位自行定訂的，法令上面也有明白點出....可以有彈性!

既然如此，那麼這個彈性到底要如何拿捏？ 筆者認為，任何彈性，還是要依法令規範，因為，我們必須考量的點很多，法律、技術、專利....這些東西太多太多了，在沒有制度情況下，都有那麼多糾紛產生，那麼假設大家都各自為政，那麼有糾紛的時候，該如何解決呢？

以上給大家參考，也讓大家了解內控的精神是甚麼。

接下來，我們進入授權風險，

本章進入授權風險，何謂授權風險，定義如下：

授權風險 係指企業將生產製造、行銷等權限透過「轉移 」，暫時讓客戶、供應商或其他廠商，取得與公司本體一樣決定權時，所產生的風險。

物聯網當然會有很多權限轉宜的問題，所以此處亦須考量物聯網的授權風險。

風險類別--授權風險--應用層
5.1 存取權限管控
《新聞分享》：【機敏資料不當存取權限指派已成為企業雲上的未爆彈】雲端資料儲存不設防，成重大資訊治理隱憂
(新聞來源：iThome 2018-11-23 https://www.ithome.com.tw/news/127057 )

《筆者分析及建議》：

對於存取權限的設定，就企業內部來說，通常會依企業內部職位階層來進行分類及設定，然後再依權責方面由主管提出加開權限的要求，這類狀況大部分是比較被動的狀態，當然，企業員工眾多，網管對各單位也無法通盤了解各單位需求，所以也只能被動的執行權限控管，這也是常態，即使內部做了加密與保全，企業還是要有資料有可能洩漏的意外發生，這也是內部存取風險的問題。

然而面對外部的物聯網，網路中，每個環節都是相連的，也是各自獨立的，當專案進行時，沒有辦法掌握到所有節點內的權限，就有可能隨時有斷鏈的風險存在，筆者認為，物聯網主要強調減低人與人或人與機器的互動，所以在存取權限設定，應就專案來進行存取權限管控，在專案當中設定好存取權限，只要一出現存取權限的問題，立即對於雙方或多方發出警示通知，必要時，得立即停止整個專案進行，待經過確認後，隨時調整存取權限，再繼續進行各項專案。

依專案來進行存取權限管控，有其優點，首先專案是獨立的，不會因為前一個專案問題，影響到另一個專案，其次，專案是可以互相學習的，某些優缺點，可以截取做為另一個專案的參考案例，最後，專案盡量保持彈性，要有適當的空間調整，避免過度管控，造成不要必要的糾紛產生。

5.2 資料所有權
5.3 資料分享給第三方團體
(5.2及5.3具有相關性，在此合併說明)
《新聞分享》：物聯網重要關鍵字：資料新政 你的資料到底是「誰的」？
(新聞來源：數位時代 2014-12-23 https://www.bnext.com.tw/article/34670/BN-ARTICLE-34670 )

《筆者分析及建議》：

物聯網時代來臨，如新聞分享裡面所說的，所謂的資料所有權都須重新定義，因為個人資料有可能在設備收集大數據時，而被收集到企業資料庫裡，所以企業必須同時兼顧個人隱私，也需要使用個人資料，這兩者之間，若沒經過一定協定，隨時都有可能產生認知上的落差，因而產生爭議。

依本篇新聞所說，資料新政(New Deal on Data)就是在說明資料所有權須要重新定義的問題，因此企業在使用所蒐集來的資料時，就需要考慮到資料合理使用的風險。

筆者認為，目前對於所謂資料新政，法律上還需定論，但資料新政若說是屬於所有權概念，似乎有點太勉強，因為民法上的所有權，是指物之所有，是否個人資料是屬於準物權的概念，這筆者還要再請教專家。此外，因為企業在使用資料時，通常會簽訂合法使用申明，這又是民法債篇的範圍，所以在使用、交換所蒐集的資料時，雙方有協議狀態之下，應是無違法的問題。