個資法專欄/百萬個資外泄 身爲企業主如何防護?
個資法上路後,連續不斷髮生幾起重大個資外泄事件。以臺灣Nokia行銷活動網站遭駭客入侵爲例,Nokia近150萬筆個資記錄遭竊。駭客在網路上公佈了其中的17萬筆記錄,包括「姓名、電話和電子郵件」等個資。 這也意味着,Nokia並沒有善盡個資保管的責任,沒有采取適當的安全維護措施來確保網站安全。
這次事件可能是個人資料保護法上路後,最大宗的個資外泄事故,依據個資法第28條第3項「如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣500元以上20,000元以下計算」;只要資料外泄屬實,並且無法證明Nokia在此事件上無過失,就達到可以訴訟的條件。若以這次外泄150萬筆個資來估算,若每筆資料的受害民衆是沒有重複的,依個資法求償金額將達到法定單一事件最高總額2億元的上限。
多數企業皆不知道資料保護的重要性,對於如何進行也仍然感到無所適從,並認爲無人帶領且太過於繁雜而不知從何着手。到底企業主應該如何保護公司內部個資?讓有心人士讀不到也拿不走?
知名資安業者表示:「利用DRM(Digital Rights Management(數位權利管理))、DLP(Data Loss Prevention(資料外泄防制))這兩個系統相輔相成下,便能解釋多數企業對於個資保護的困擾。實際的作法各有巧妙,方式也有很多種,但最主要只需具備一項功能,就能讓個資外泄的風險大幅降低:「把電腦裡的個資加密、沒有金鑰就解不開!」
倘若Nokia的個資全都放在它硬碟裡的特定資料夾設定「將機密文件本身加密」(比方說資料夾原本就被設定自動以DRM加密,那麼,除非小偷還拿到了擁有閱覽那些個資文件權限的金鑰(這種金鑰多半以複雜的演算法去產生,一般軟體試帳密的作法幾乎不可能打得開),不然就算駭客破解了電腦再把所有含個資的文件偷走,這些文件仍然是受到充分保護的。
防制資料外泄的方式非常多,不過就像是木桶理論,還是會有道高一尺、魔高一丈的感覺;但是放任不管的結果,一定會是最糟糕的,就連目前個資法,也有其着重的地方,也就是事後舉證,與提出有盡力做到善盡保管責任的證明。企業內部個資與機密檔案都需要先被盤點,確認範圍,才能對症下藥。