剑桥分析窃脸书5千万用户资料　隐私保护成为企业转型关键

▲剑桥分析公司不正当使用脸书用户个资，也让资安与使用问题成为焦点。（图／CFP）记者林昱均／台北报导剑桥分析公司于美国总统大选期间疑似不正当使用脸书（Facebook）用户个资案，预估约5,000万人受影响。美国联邦贸易委员会（FTC）已对脸书展开调查，若发现违反相关规定，最高将处以新台币58.44兆元的高额罚金，欧洲监管机构也同步调查中。勤业众信风险管理咨询股份有限公司副总经理林彦良指出，此案牵涉欧盟通用资料保护规则（GDPR），可视为资安警钟；KPMG数位安全服务负责人谢昀泽也表示，现在网路服务商使用ABC（AI, Bigdata, Cloud）等技术手段，隐私保护成为企业转型关键。

林彦良指出，企业宜采取「定期检视隐私保护机制、落实委外安全管理、全面落实预设隐私保护」的3大因应措施，并落实数位时代的隐私与资安保护。他建议，企业首先应定期检视隐私保护机制，包括：公开透明的告知与明确的同意，当事人权利行使、预设保护的隐私设定及落实，也应定期实施资料外泄应变演练等作业。

第二招因应措施，林彦良认为是企业应落实委外安全管理，包括：尽职调查、合约安全要求、资料安全管理、定期安全评估与现场实地稽核等。第三招是企业应全面落实预设隐私保护，将预设隐私嵌入业务营运流程，并定期或于业务流程、资讯系统发生重大变更时实施隐私冲击评估（DPIA），确保隐私保护机制之持续有效。

▲勤业众信风险管理咨询股份有限公司副总经理林彦良。（图／勤业众信提供）

谢昀泽也表示，「个资外泄」事件并非传统的骇客入侵窃取个资的传统资安事故，而是社群网路服务因营业模式或协作厂商的管理疏失或不当利用，所导致的「侵害用户隐私」事件。他认为，现有主流的网路服务商，已习惯将客户的个人相关资讯，以改善服务、互动测验游戏等理由，使用在人工智慧、大数据、云端（AI, Bigdata, Cloud）等技术手段，进行极大化利用的牟利营运模式。

企业应用新科技分析客户资讯，谢昀泽认为，关键并不在企业的防毒、防骇，而是新科技媒体产业能否修正隐私保护的重大瑕疵，并升级成能兼顾隐私保护的产品或服务。转型是否能成功，也攸关脸书这样的互联网大帝国，能否持续壮大的关键因素。

谢昀泽指出，近来未落实用户隐私保护而遭裁罚的案件越来越多，3C产品遭停售者也时有所闻；他也预测，在今（2018）年5月欧盟正式实施新版GDPR（欧盟个资法）后，全球相关诉讼案例或裁罚将会激增，「过去厂商的做法常是以模糊的隐私权条款告知客户，或增加一些资安控制手段，如资料加密等来保护用户个资。」

KPMG认为，企业应对新兴科技的应用场域，落实隐私工程，达成「从设计着手保护隐私，并将保护客户隐私设计为产品默认选项」目标，才是符合未来新兴科技主流的好产品。▼KPMG数位安全服务负责人谢昀泽。（图／记者林昱均摄）