扎稳基础防护　力求个资外泄极小化

企业防范机密数据外泄，首要之务即是善尽个资机敏档案的盘点工作；图为Privacy ID个资扫瞄结果示意图。安资捷

如何善尽数据外泄防护，对各行各业而言，无疑都是至关重大的严峻课题，只因为随着新版个资法、新版营业秘密法相继上路，彷佛为所企业机构罩上了层层紧箍咒，稍有不慎便将惹祸上身，轻则承受罚款大伤元气，重则甚至动摇经营根基。

众所周知，新版个人数据保护法，已于2012年底正式上路，但不少企业却已从一开始戒慎恐惧，逐渐选择性淡忘此事，甚至还自我庆幸，认为尽管个资法期初声势浩大，但施行至今并未滋生过多纠葛，决定暂且停看听，先以防火墙、防毒、入侵侦测系统(IPS)等基本网安配备因应即可。

但上述苟且偷安心态，真的「恰如其分」？答案肯定是错误的，此乃由于，个资法绝对不仅止于虚晃一招，而持续如影随形紧紧缠绕每一企业机构！

先看海外案例。2004年，惊传黑客入侵美国陆军信息系统工程指挥部、国防信息系统局等重要军事机构，窃取的数据量达20TB以上。2009年，位在加拿大的多伦多的蒙克国际研究中心赫然发现，一个名为「鬼网」(GhostNet)的电脑间谍组织，利用两年布局时间，成功入侵全球103个国家共计1,259台电脑，受骇单位遍及外交机构、大使馆、国际组织、媒体及非营利组织。

2010年，伊朗核电厂惨遭Stuxnet蠕虫攻击，其高速离心机控制设备沦为黑客禁脔，险些酿成核爆之巨大灾厄。2011年，美国前三大军火商与日本大厂Sony，相继遭到黑客攻击，导致大量机密数据。2013年3月20日，韩国遭受震惊全球的大规模「进阶持续性渗透攻击(APT)」攻击，共计波及6间金融机构、3家电视台，造成相关企业的网络与服务中断，部分网络银行及ATM服务停止运作，顿时使该国陷入一片混乱。

看到这里，不免有人纳闷，上述案例纵然血泪斑斑，但受骇层次已偏向国防、外交、金融等至高位阶，与台湾企业所面对的个资法，又有何干？

内外威胁交迫　不容企业掉以轻心

然而透过这些个案，无异诉说着Cyberwar时代已然来临，上至政府机关，下至民间企业或非营利组织，无论有意或无意参战，通通都已置身在战场之中；随着黑客攻击手法不断精进、威胁指数急遽飙升，企业必须扪心自问，光是凭藉基本网安配备建构防御工事，挡得了黑客船坚炮利的猛烈袭击？假使挡不住，那怕企业视为瑰宝的机敏个资，岂不让人予取予求？一旦遭此不幸，企业恐难脱离个资法究责风暴！

前述案例，均是指向外部有心人士入侵，因而导致机密数据外泄，但其实数据泄漏的破口，绝不仅止于黑客，在多数情况下，内贼同样可怕。2014年1月，韩国KB国民卡、乐天卡与NH农协卡等三大信用卡公司，惊爆有史以来最大规模个资外泄事件，就连该国总统朴槿惠、联合国秘书长潘基文的个资也惨遭牵连，深究其事发缘由，乃在于这些信用卡公司联合委托韩国信用评价公司(KCB)负责开发一套系统，而一名参与其中的KCB技术人员监守自盗所致，因是出自委外厂商所为，并不算是外人，可被视为内贼作乱的经典案例。

当然，若干台湾企业之所以轻忽个资法，并不见得是对黑客或内贼的威胁浑然不觉，而是不认为个资法大刀真的会开铡；说到这里，不妨看看本土案例。回顾2013年期间，金管会一共对台湾金控及银行祭出27件裁罚，其中近五分之一与客户个人数据保护事项相关，例如某大银行，因办理网络银行业发生疏失，未能有效察觉外部人士浏览其内部目录网页，造成3.3万名客户个资外泄，因而被认定有未落实执行内控的缺失，故依违反银行法第45条之1第1项规定，以新台币400万元高额罚金伺候。

明眼人或许看得出，上述银行遭罚的法源为银行法，而非个资法，倘若不是金融业，可能就能置身事外，但这般认知可说大错特错，因为该银行受罚的行径，已同时触犯银行法与个资法，通常主管机关会倾向从不同法源当中，援引最为严苛的依据而「从重量刑」，裁罚400万元已高于个资法究责额度；而各行各业皆有对应之主管机关，一旦遭遇相同情境，极有可能比照办理，只会罚得更重而非更轻，企业不宜心存侥幸。

更何况，个资法的行政罚责事小，单笔个资赔偿金额介于500~20,000元，才算是大事，前述银行挨罚400万元，这是一码事，后续若遇受害客户集团求偿，继而遭法院判赔钜额款项，那是另一码事，两者并行不悖。由此可见，企业如果未善尽保管之责，因而衍生大规模个资外泄事故，那麽便是「吃不完兜着走」，可能有偌大灾难缠身；试想，假使一家中小企业如经查获泄露万笔个资，每笔赔判20,000元，即将面临高达2亿元的巨大赔款压力，事已至此，其营运基业恐一夕崩盘。

专家提醒，若以日本为例，其施行个资法的第三年起，团体诉讼才达到高峰，因此「不是不报、时候未到」，推论台湾与个资外泄相关之团体诉讼潮流，可能在2014~2015年开始盛行，企业必须抱持忧患意识，竭尽所能做好因应准备，勿恃敌之不来、恃吾有以待之！

锁定个资法12条　做好防御基本功

不可讳言，虽然个资法适用范围扩及各行各业，但部分产业基于营运属性使然，未必会碰触到大量客户个资，如同以OEM/ODM代工业务为主的高科技制造业，就是明显的例子，是否意谓此类企业可稍微松懈，无需绷得如此之紧？事实则不然！只因高科技多拥有关键技术之智财权，即便可援引新版营业秘密法，针对这些营业秘密施以保护，遏阻不宵员工之轻举妄动，但万一仍不幸发生营业秘密外泄情事，对于该企业仍属重伤害，面子与里子双输。

在面子部分，若企业被证实未尽良善保管责任，导致不宵员工有机可乘，犯事员工固然需面临严厉罚则，企业也将因「保管不力、引人犯罪」而遭究责，同样会被处以可观罚金；在里子部分，对于一般高科技制造业，IP智财权往往牵动庞大商业利益，营运绩效或沈或浮，有时就押宝在少数关键技术之上，如果因提前外泄而遭破局，恐怕就如同泄了气的皮球，从此一蹶不振。

问题来了，企业纵使深知个资机敏防护一事非同小可，也明知光靠现有网安配备不足以安枕无忧，但却不知怎麽做，才能负起应有的保管责任。对此专家建议，企业因应个资防护的基本功课，其实都列在个资法第12条，共计有11项要务，而在此之中，尤其以第2项的「界定个人数据之范围」、第4项的「事故之预防、通报及应变机制」、第8项的「设备安全管理」、第9项的「数据安全稽核机制」，以及第10项的「使用纪录、轨迹数据及证据保存」等五大环节最为重要，企业宜先认真思考与规划，以便将这5项任务做好。

在此借用曾多次出现于相关研讨会的三步骤攻坚策略，意即先扫出、后管控、再稽核，企业在制定个网安全政策、部署防护措施之前，必须先透过个资盘点程序，以便厘清所欲保护的个资机敏档案，究竟流落何方，并深入理解个别档案所对应的价值与风险何在，接着再将高风险档案收归集中管制，佐以适当解决方案，确保这些机敏信息绝无落地之虞。

至于因应业务执行所需，仍须交由同仁分散处理的机敏数据，亦有必要采取严格管制措施，一方面先设立数据外泄防护(DLP)特徵库，以正向或负向表列模式，优先对疑似外泄的行为加以拦阻，另一方面则建立定期扫描、追踪与稽核机制，详加留存来源(From)、谁(Who)、动作(What)、时间(When)及目的端(Where)等存取轨迹信息，以作为日后呈堂举证的依据。