个资法专栏/百万个资外泄 身为企业主如何防护?
个资法上路后,连续不断发生几起重大个资外泄事件。以台湾Nokia行销活动网站遭骇客入侵为例,Nokia近150万笔个资记录遭窃。骇客在网路上公布了其中的17万笔记录,包括「姓名、电话和电子邮件」等个资。 这也意味着,Nokia并没有善尽个资保管的责任,没有采取适当的安全维护措施来确保网站安全。
这次事件可能是个人资料保护法上路后,最大宗的个资外泄事故,依据个资法第28条第3项「如被害人不易或不能证明其实际损害额时,得请求法院依侵害情节,以每人每一事件新台币500元以上20,000元以下计算」;只要资料外泄属实,并且无法证明Nokia在此事件上无过失,就达到可以诉讼的条件。若以这次外泄150万笔个资来估算,若每笔资料的受害民众是没有重复的,依个资法求偿金额将达到法定单一事件最高总额2亿元的上限。
多数企业皆不知道资料保护的重要性,对于如何进行也仍然感到无所适从,并认为无人带领且太过于繁杂而不知从何着手。到底企业主应该如何保护公司内部个资?让有心人士读不到也拿不走?
知名资安业者表示:「利用DRM(Digital Rights Management(数位权利管理))、DLP(Data Loss Prevention(资料外泄防制))这两个系统相辅相成下,便能解释多数企业对于个资保护的困扰。实际的作法各有巧妙,方式也有很多种,但最主要只需具备一项功能,就能让个资外泄的风险大幅降低:「把电脑里的个资加密、没有金钥就解不开!」
倘若Nokia的个资全都放在它硬碟里的特定资料夹设定「将机密文件本身加密」(比方说资料夹原本就被设定自动以DRM加密,那么,除非小偷还拿到了拥有阅览那些个资文件权限的金钥(这种金钥多半以复杂的演算法去产生,一般软体试帐密的作法几乎不可能打得开),不然就算骇客破解了电脑再把所有含个资的文件偷走,这些文件仍然是受到充分保护的。
防制资料外泄的方式非常多,不过就像是木桶理论,还是会有道高一尺、魔高一丈的感觉;但是放任不管的结果,一定会是最糟糕的,就连目前个资法,也有其着重的地方,也就是事后举证,与提出有尽力做到善尽保管责任的证明。企业内部个资与机密档案都需要先被盘点,确认范围,才能对症下药。