企业电子邮件与个资保护

企业建置电子邮件管理系统，需顾大容量及低成本的目标。DIGITIMES摄

电子邮件早已取代纸本邮件或传真，成为许多企业传送重要文件或信息的通讯工具，不但可能让不肖员工易利用电子邮件泄露公司机密，散播不实谣言来损害企业利益，许多重要客户数据往往也隐含其中，尤其在个资法的规定下，如何一方面确保公司机密不会外泄，却又不会侵犯客户或员工重要个资，也成为企业电子邮件的管理重点。

事实上，不仅是国内已经实施的个资法，包括沙宾法案、日本个人情报保护法、BSI7799法规等，许多国家也都已针对企业电子邮件的信息安全，订定相关法规，对跨国企业而言，由于电子邮件的流通性极强，就算没有违反本国的法规，一不小心仍有可能触犯其他国家的法律规定，不可不慎。

电子邮件保护要做到全自动化

台湾微软指出，企业对于电子邮件的内部管理稽核需求，主要是稽核管理，包括平常对邮件的稽核要求，或是企业面临诉讼案件时，能够在期限内迅速的查找调阅出相关的邮件等，对象通常是企业内部的稽核人员。

员工个人邮件管理查找，也是企业电子邮件管理的重点。企业可以透过邮件归档稽核方案的建置，将员工个人的信件予以储存备份，除了可免去个人管理邮件的不便与风险外，藉由查找引擎更可协助员工迅速地找到需要的邮件。

由于电子邮件数量庞大，电子邮件的自动化管理机制非常重要。企业IT可以透过传输规则动作的设定，套用RMS(Rights Management Services)范本到到电子邮件中，如微软就提出过Windows Rights Management Services，可让重要的信息不会因为误用，或是刻意的偷窃造成企业莫大的损失，但这个方案只能保护微软本家的产品档案，像是Word或Excel。

因此，如何让电子邮件在传送之后，就能自动受到保护，包括针对电子邮件附件档案的查找及保护，或是透过禁止转寄的原则套用，让机密信息不会流向网际网络，也是电子邮件非常重要的权限规则管理重点。更重要的是，由于移动化趋势使然，电子邮件的权限规则管理，一定要做到跨越PC、Web Mail及移动设备等多平台环境。

事前及事后管理都很重要

如果依时间点区分，电子邮件的稽核管理则可分为事前(Pre-Audit)及事后(Post-Audit)两种。前者主要是针对实时数据稽核，以确保内部数据的安全性与正确性，后者则是针对封存数据稽核，以发觉或追查可疑的事件及人员。

如事前管理方面，可透过邮件提示(MailTips)功能，针对用户端可透过早期预警系统，提示用户寄送对象可能有问题，或是提示不能执行的作为，如发送大量使用者或受限制的通讯群组，邮件过大或信箱已满等问题。对系统而言，邮件提示功能可避免不必要的服务器负载，还可避免违反行政规定。

而在事后的归档及封存方面，企业电子邮件的保留原则，应可做到自动和时间的基准方式，同时要将规则套用至文件夹或项目方式，并在邮件上呈现文件过期日期，以免让电子邮件因为过期，而影响保留价值。至于合法保存方面，除了保存、删除和编辑的基本功能外，管理系统也应提供警示功能，提醒使用者特定邮件不能删除(如处于诉讼保留状态)。

至于查找功能方面，除了应提供简易的Web邮件查找界面，让使用者可以在跨平台设备执行外，也应让使用者可以在在线封存信件，或是复原删除邮件项目，以强化查找后的管理功能。

需兼顾大容量及低成本的建置目标

由于依据个资法第30条规定，损害赔偿请求权，自请求权人知有损害及赔偿义务人时起，因二年间不行使而消灭；自损害发生时起，逾五年者，亦同。因此，电子邮件的保留年限，至少两年，最多五年，也让企业电子邮件系统的增需求不断扩大，容易形成管理负担。

因此，企业在建置电子邮件管理系统时，一方面要兼顾大容量需求，但同时也要考虑成本，更要考虑持续可用性，如让管理人员可以在一般营运的时间下，进行信箱的移转与维护作业，以免在信箱进行维护时，发生使用者存取中断的现象，不但可能会影响电子邮件的使用，更可能错失保留重要电子邮件的可能。