公司治理守則第五版強化南非關於AI治理及網路風險的原則-2025/12/28

Clyde & Co 在2025年 11月 10日有這一則分析南非公司治理守則內關於AI、網路風險的介紹：King V Code enhances principles regarding AI Governance and Cyber Risks in South Africa。

引言

南非公司治理守則第五版(King V Code)公布突顯了南非董事學院(IoDSA)維持公司治理標準攸關性及有效性的承諾。第五版符合2008年公司法第71條，持續演變的薪酬實務、永續報導的進展以及不斷進步的技術。不同於包含17條原則的第四版，第五版精簡為13條原則和建議作法。

該守則現在隨附一份揭露範本(Disclosure Template)，描述原則應用與實務解說的揭露形式和內容。治理單位必須核准揭露範本的內容。揭露範本的目的是為了組織本身及外部單位（比如產業監理機關）提供透明度。

資料、資訊和技術原則

第五版藉著以下方式為數位背景下的治理奠立基礎：

*察覺技術進步的現實狀況和相關機會與風險。

*辨識技術與資訊間的重疊與策略重要性。

*鼓勵將這些整合融入風險與策略討論以及架構。

雖然第四版識別出技術進步以及其所承認的「第四次工業革命曙光」，它並沒有詳細探究新興技術和機器學習。

第五版建立在第四版關於資料、資訊與技術治理所鋪墊的基礎工作。原則十提供治理單位以實現組織維持及優化其策略和目標的方式來管理資料、資訊與技術。

原則十進一步提供了兩項建議作法：

*資料與資訊

*技術

這些建議作法提供了支持該項原則所實踐的具體行動與流程。連同這些原則與治理成果的建議做法構成第五版的第三組成部分。

資料與資訊

建議做法要求治理單位提供策略方向，並為資料與資訊的有效、遵循及合乎道德的管控（包括取得、創造、使用、傳播及處置）接受問責。

治理單位或許會斟酌將其資訊相關責任授權給負責風險治理或其他的委員會，因為對組織適合。

治理單位也應該考慮及批准政策、標準與架構，以便在其資料及資訊治理管控的方向產生成效。

關於監督與監控方面，治理單位應該確保的事項，其中包括：

*組織資料資源與資訊資產進行結構化以優化資料及資訊在其整體生命週期內的管控（包括取得、創造、使用、傳播及處置）。

*資料資源和資訊資產進行合乎道德與負責的管控（包括取得、創造、使用、傳播及處置）。

*遵循法規。

*關於敏感資料與資訊，辨識與分類組織的資料來源及資訊資產，以實現其中有效的管控（包括取得、創造、使用、傳播及處置）。

*資訊安全與資料保護可確保資料的機密、完整以及可用。

*保護個資與資訊之隱私。

*堅守資料和資訊的品質要求。

*當使用委外服務、供應商和第三方（包括跨司法管轄區）時要有效管理資料與資訊管控的相關風險（包括取得、創造、使用、傳播及處置）。

技術

此建議作法要求治理單位提供策略方向並且為組織內部和透過其技術之有效、遵循和合乎道德的取得、發展、使用和分配，接受問責。

治理單位也應該考慮及核准政策、標準與架構影響組織內部及透過其技術產品和服務取得、發展、使用和分配的方向。

關於監督和監控方面，治理單位應確保事項，其中包括：

*安排組織韌性及災難復原規劃與測試。

*有效的網路安全策略及實務作法以保護技術資產、資源、產品與服務。

*有效管理委外技術和服務取得及使用的相關風險，包括對服務提供者就重大風險控制措施的有效性提供保證的最低要求。

治理單位也應該監督組織對於新興、創新和顛覆性技術的取得、發展、使用與分配的結果，其中包括：

*評估、評鑑與回應對於新興、創新及顛覆性技術有關的風險與機會，確保當前的曝險符合既定的風險胃納及容忍水準。

*關於人工智慧：

*堅守道德、以人為本、問責、透明、可解釋、安全、隱私、公平以及值得信賴的價值。

*對於設計、行動、產出和結果具備明確問責—包括對自動化技術的開發、實施、監控和管理所使用的流程、資料、模型、演算法、資源和工具接受人為監督，並且凌駕組織及與其利害關係人面對的風險程度相稱的機制。

結論

鑒於新興及顛覆性技術的快速發展和廣泛使用（包括人工智慧），第五版的公布可說是恰逢其時。

根據IoDSA的看法，治理單位在今日的營運環境裡中必須具備技術素養，不只是財務素養。

南非將如何監理人工智慧之使用以及我們是否會依循歐盟的方法，透過採用全面的《人工智慧法》(Artificial Intelligence Act)及監理架構，一如南非國家人工智慧政策架構所建議的那樣，仍有待觀察。

第五版也認識網路風險樣貌不斷演變的性質，以及從事威脅者為取得寶貴的公司資料不斷改變手法。從全球來看，最近的網路攻擊涉及知名企業，諸如瑪莎百貨(M&S)、哈洛德百貨公司(Harrods)、捷豹路虎(Jaguar Land Rover)，突顯了供應鏈中斷的巨大衝擊及威脅。第五版在管理這些風險上提供重要指引。

雖然出於自願，第五版將補充現行法律與監理架構，比如2013年《個資保護法》(Protection of Personal Information Act)，以及監理指導方針如南非金融部門行為監管局(Financial Sector Conduct Authority, FSCA)在2024年公布的第二號聯合標準(Joint Standard 2)以及審慎監管局(Prudential Authority)《網路安全及網路韌性的要求》(Cybersecurity and Cyber Resilience Requirements)。

資料來源：https://www.clydeco.com/en/insights/2025/11/king-v-code-enhances-principles-regarding-ai-gover