「天下熙熙,皆為利來;天下壤壤,皆為利往。」自古皆然,當今網路世界中「得帳戶者得天下」,而得帳戶即謂獲得客戶個資並利用之,以獲取某種商業利益。
防範個資外流
俗謂:「道高一尺,魔高一丈」,個資外洩事件在國內外時有所聞,層出不窮,而處理方式也因各國相關法規不同而有所差異。國內今年2月初才爆發和泰汽車旗下iRent近40萬筆個資外洩,近日又爆出微風集團資料庫遭駭,有90萬用戶個資、發票及訂單與供應商資料全被放上駭客論壇兜售。
除此,微風也收到匿名網路勒索信件,駭客宣稱個資含有會員的帳號及密碼,讓曾微風消費的民眾人人自危,憂心個資全都露。坦然言,即使微風事後亡羊補牢,然為時已晚。
筆者以為,防範及降低個資外流,必須多管齊下,除適度修改個資法、提高罰鍰以為治標外,尚需企業健全資安防護及落實社會責任,消費者加強個資保護教育才能治本。
歐盟通用資料保護法
一、研議提高企業個資外洩罰則:於2018年上路的歐盟通用資料保護法(GDPR),對違法的企業,最高可處2,000萬歐元或前一會計年度全球年營業額4%之罰鍰。
2019年1月,Google遭法國監管機構以違反歐盟線上隱私法令為由,重罰5,000萬歐元,成為歐盟GDPR上路以來開出的最高金額罰款,也是首宗對美國科技巨擘開罰大筆罰金的個案。
重罰個資外流
此外,英國資訊委員會辦公室(ICO)曾於2019年7月根據GDPR,分別開罰英航和萬豪酒店2億3,000萬和1億2,300萬美元,相當於各自營業額的1.5%。因為這二家分別有50萬名及3億3,900萬筆客戶資料外流。
國內的和泰汽車旗下iRent爆出個資外洩,僅遭交通部公路總局開罰新台幣20萬元。提高罰金應有嚇阻效果,金額如何調整,應予以討論。
增修個資法
二、研議增修個資法及資安法,明確主管機關:台灣個人資料保護法於2012年實施,旨在規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用。
然而,個資法尚有不少爭議,如不定義主管機關,法務部僅是個資法解釋機關,在不設置中央及地方專責機關前提下,直接於各條文中明定,由中央目的事業主管機關或直轄市、縣(市)政府 共同辦理。無疑也形成資安漏洞,應盡快明定專責機構,並落實監管為宜。
除個資法外,亦應研議資安法修法做配套,二者相輔相成。甫成立不久的「數位發展部」又該擔任什麼角色?也值得各界討論。
加強資安控管
三、企業應加強內部資安控管,落實社會責任:公司內部應建立完善的資訊安全守則,包括網路防火牆、駭客入侵攻擊偵測系統等,以防範外部攻擊,責無旁貸。同時,也應加強對員工資安教育、提高其資安意識,執行個資外洩通報機制。
金管會為強化公司資訊安全管理機制,兩階段要求上市櫃公司應於2022年底設立資訊安全單位,包括指派資訊安全長,實有其必要。但對非上市櫃公司該如何規範及監管,也值得有關單位慎思。
提高個資保護意識
四、消費者應提高個資保護意識:首先要對使用的網站、服務,甚至是所有數位訊息,時時保持高度警戒,抱持懷疑心態(即善用零信任架構)。如經常或不定期更新密碼並妥善保管,對於陌生的網站,勿瀏覽可疑網站及隨意下載APP,不連接可疑之Wi-Fi等。
綜合言之,在人手一機,APP琳琅滿目的時代,個資保護早已是一個重要的議題,需要政府、企業和所有消費者共同努力。