選擇這個題目的原因，是在從事這行多年以後，深感吾輩IT人在依據ISO國際標準，或者公司行政/法務/稽核人員要求執行相關作業時須知其然，而後知其所以然，這樣在日常作業中比較不會因為無意觸犯了(看都看不完的)ISO文件跟作業流程招致自身及公司的資訊洩漏或違法風險。

資訊治理(IT Governance)近年來往往跟個資管理系統(Personal Information Management System, PIMS)以及資訊管理系統(Information Security Management System, ISMS)混為一談，似乎企業導入了PIMS跟ISMS就是完成資訊治理。然而，擁有冗長及複雜的政策及制度、各種「符合國際標準」的表單，甚或指派(由資訊人員或不知其所以然的高階主管兼任)資訊長(Chief Information Officer)或資安長(Chief Information Security Officer)就是企業已具備資訊治理要件的意思嗎？只有個人資料需要保護嗎？保護個人資料就是完備資訊治理的意思嗎？甚麼是個人資料？

資訊管理偏重於如何管理資料的技術、而資訊治理則旨在思考資料使用的合理性及有效性。君不見近年來國內外對知名企業的高額行政罰鍰，往往不是在罰誰的資料被洩漏(Data Incident)，而是在罰這些企業的資料制度跟概念沒有好好建立(Non-compliance with regulation)。資訊治理是很大的議題，絕不可能是幾篇文章可以全盤涵蓋，故擬以國內外個資裁罰案出發，從案件導回概念反思，望能拋磚引玉，激發IT人的「危機意識」以更重視手上處理的資料(無論是不是個資)。

以下稍微介紹一下本文主要使用的幾個參考資料庫網站供參，也希望有更多人投入關注相關議題，讓科技及資料分析發展的同時能夠在個人權利-尤其是個人資料保護-上有更進一步的反思。

GENERAL DATA PROTECTION REGULATION (GDPR) 全文
https://gdpr-info.eu/

GDPR Fine Database
https://www.dsgvo-portal.de/gdpr-fine-database/

GDPR Enforcement Tracker
https://www.enforcementtracker.com/?insights