電腦處理個人資料保護法自民國84年後便未曾再修訂過，其規範內容僅限於經電腦處理之個人資料，且僅針對非公務機關者僅限 8 大行業，其餘行業皆無法規範。顯然已不足以應付網路迅速發展所帶來的影響，以致於資料外洩事件頻傳，預計在今年底前，修正過後之個人資料保護法即將通過，影響各行各業甚鉅。
本文藉此也能讓關注個資法的眾多店家，了解到可以有什麼樣的因應措施。關於新「 個人資料保護法 」修正草案主要異動之增修條文，可參考本期《 資安人 》專家開講之「 電子商務產業於個資法通過後面臨之衝擊 」篇。

令人質疑的政府執行力道
漢昕科技顧問總監李哲祥提到他是相當樂觀其成，覺得這的確會推動國內資安市場，不過在該公司舉辦的多場個資保護法研討會中，可看出大家雖然極度關心，卻在各項執行作法上有諸多疑慮。例如筆者便在現場聽到一些討論「我一定要寄紙本書面通知給當事人才算通知他嗎？」「你也可以公佈在網頁上，但要在使用者登入的時候，他點選同意才算。」「 那我沒有使用，只是保存以前的舊個人資料呢? 」「只要你擁有當事人個資，你就應該在一定期限內補行通知。」對機關組織或業者來說，從法條要轉變到實際的作法是有一段相當的距離。

漢昕科技資安顧問呂守箴同時也建議各行各業，可從作業流程面來檢視個資外洩的點，無論是否有預算做資安，都需仔細審視可能造成個資外洩的行為，假設公司資訊化程度不夠高也無妨，紙本的機敏文件如何封存也可以是改善的流程之一，應該以更積極主動的想法來面對。例如旅行業就算沒有高度資訊化，也應該規範誰才可以接觸到客戶信用卡資料，或是否應該有獨立的傳真機在特定的房間等。

甲骨文 ( Oracle ) 、亞太信息、亞利安科技則認為以市場波動面來看，雖然有些詢問度，但大致上沒有太大變動，企業給他們的回應是還在觀望，端看政府如何執行才做決定，甚至還有企業明白的質疑政府執行力道，即使法規制定出來，究竟會執行到什麼程度無法得知。賽門鐵克表明對個資法未來的市場樂觀，但目前其 GRC 方案尚未主推台灣市場。推測可能是該解決方案較適用於需要遵循多種法規的企業。