面对个资法 文件加密控管更重要

随着云端应用服务环境日臻成熟，愈来愈多的个人或企业，也开始将愈来愈多的数据，存放在透过网络可以随时存取的环境中，其中自然不乏敏感的机密数据及重要个资。

由于个资被非法使用的频率与数量，有日渐升高的趋势，新版个人数据保护法在2012年7月1日上路后，希望藉由更完整的法令以及更严峻的处罚规定，让企业能够更加积极维护重要文件、防范个资外泄的事件发生，以避免当事人产生困扰及遭逢损失。

个资外泄事件层出不穷 防不胜防

但百密难免一疏，除了在今年2月Nokia发生个资法实施后，最大宗个资外泄事故，有150万笔个资被窃，在5月份，国内信托网站的缴费中心也爆发重大个资外泄事件，不但直接从网站缴费项目下拉选单中，就能轻易浏览及查询其他用户的代缴数据，包括姓名、电话及手机号码，出生年月日等重要个资。根据金管会接获中信金的回报，受到影响的用户有33,000名。

国内信托缴费中心网站发生个资外泄的原因，目前还在调查中，中信金表示，发生异常的是网络银行「缴费中心」的常用帐号设定功能，这是专供客户自行设定缴费项目及代号数据，和其他网络银行的功能无关，也没有承认有个资外泄，仅表示将主动通知受骇用户。

中信金指出，不排除有心人士破坏，并向警方备案。国内信托更强调，已加强监控追踪，以防止类似事件再次发生，另外也委托监识单位协助调查。

网安专家指出，如果是内部疏失，有可能是数据库程序设计的问题，查询数据条件过于宽松，导致使用者能查询到权限以外的数据。而系统问题未能及早发现的原因，则包括系统上线前的测试环节不够严谨，案例不够完备，企业未来应该要妥善制定好开发流程，才能避免类似事情发生。

目前已有个资遭到外泄的用户表示，将会依法控诉企业未善尽用户个资保管责任。根据新版个资法，企业一旦发生个资外泄事件，除需提供相关数据、纪录，以说明内部确实提供完善保护用户数据，发生外泄数据事件，每人每件依法可求偿500到2万元不等金额，最高求偿金额为2亿元。

文件加密可有效降低数据外泄风险

无独有偶的是，全球最大团购网Groupon酷朋台湾，日前也传出遭黑客入侵，所幸酷朋台湾及时发现，粗估约有一成的会员帐号口令等数据遭窃，目前安全漏洞已修复，仅知黑客并非来自台湾，必须循IP进行追查，还须要一段时间，才能进行下一步的追查动作。

由酷朋台湾的案例更可看出，觊觎网站个资的黑客，可说是来自全球各地，而且愈来愈多的黑客，已经不单纯只是展现实力或恶作剧而已，而是有意识的恶意攻击，希望能借此博取暴利。以酷朋台湾会员数多达380万人为例，如果泄漏的是银行帐号、信用卡卡号、或身份证号码信用卡号码等重要个资，就得面临巨额赔偿的压力。

优硕信息科技指出，企业面对个资法时代的来临，除了应对个资法条文进行认知宣导及教育，并清查盘点企业拥有的个资档案外，更重要的是，为了满足企业对文件保护与控管的需求，必须结合两大技术，分别为加密技术和DRM技术。加密可采用RSA、 AES对称金钥和非对称金钥加密技术混合运用的方式，将需要保护的文件加密起来，被准予的使用者才可以开启加密文件，不相关的使用者则无法开启加密文件。

此外，企业也可使用DRM(Digital Rights Management)技术，针对每份文件做到不同使用者分别授与不同使用权限，权限可细分为读、印、存、写、截图和阅读期间等，透过不同权限的授与，让有权利对数据内容做处理运用的使用者，获得较大的操作权限。

每份加密文件都必须要有一份专属的文件政策，记录可以开启这份文件的使用者，以及开启后的操作权限。当发现使用者试图或有可能做泄密的行为时，管理者可随时回收或更改权限，降低数据外泄造成的损害。以符合个资法要求，达到事前防范、事后减少损害与诉讼的目的。

做好文件加密及控管 企业方能取得信任

除了加密技术外，文件的控管也非常重要。优硕信息科技认为，一套好的文件安控系统，在管理上要有一定的弹性与便利性。系统可将最高管理者的权限下放给各部门主管，让他们去当所属部门的管理者，分担最高管理者的责任，另一方面，由于这些管理者对其部门较为熟悉，更清楚要如何制定和管理文件政策、要授权多大权限给其下的使用者、并可实时稽核文件使用状况，达到分层管理的目的。

国家高速网络与计算中心副研究员蔡一郎指出，在当今的海量数据(Big Data)时代，主流的储存媒体大多达到TB级以上的容量，透过云端服务，可创造信息服务更大的可能性，但如何提高客户对于云端服务的信任程度，是决定云端服务成败关键因素，其中针对信息的保密与保全，是目前的主要的关键，企业必
更审慎的面对文件加密及控管的需要，才能在云端服务及海量数据时代来临时，取得客户的信任。