個人資料外洩噩夢何時了？

最大問題可能在委外
據邱惠美實地了解，銀行信用卡業務流程包含收件、資料建檔、製卡、帳單列印、逾期款項催收、交叉行銷等，其中大部份皆委外處理。銀行業者宣稱，對於本身及委外廠商處理資料的控管十分嚴格，包括： 1. 建檔：委外廠商建檔所用之電腦，僅能鍵入資料，無法儲存、外傳或連接燒錄器，電腦經拆卸，即遭破壞而無法使用。 2. 製卡：銀行將客戶資料以專線或實體加密程序，傳給外包業者，外包業者向銀行取得解密條件之後解密製卡。製卡、封裝由機器一貫化作業，並由郵局派專人至製卡公司領取寄送。而製卡檔案則由外包業者加以銷毀。 3. 帳單列印：銀行將客戶資料以專線或實體加密程序，傳給外包業者，再由外包業者解密後列印。列印完成後資料由外包廠商銷毀。 4. 款項催收：銀行將須催收的客戶資料以專線或實體加密程序，傳給外包業者，或直接影印給外包廠，完成催收後檔案再由外包業者銷毀或送還銀行。 雖然如此，但還是可以找到幾個問題點： 1. 負責推廣信用卡的外包公司，從收件至送達銀行，約有3~4天的空窗期。此時資料有可能外洩。 2. 專線或實體傳輸雖有加密，但解密後的文件，有遭複製之風險。 3. 用來製卡、列印帳單等檔案，可重複使用，若沒有確實管制外包廠商進行銷毀，容易洩漏資料。 4. 民眾兌換紅利積點時所提供的資料處理不當，也可能外洩。 另外，交叉行銷的做法，更是大大地增加了個人資料外洩的機會。一般而言，銀行會製作名條，由專人送至外包廠商進行黏貼，或由郵購業者將目錄送至銀行黏貼。不過也有銀行將檔案利用專線或實體加密傳輸給外包業者，再由業者向廠商取得解密條件解密後列印名單。在這個過程中，個人資料仍有外洩風險。 在電信業者的部份，問題可能更大。例如民眾在申請電話門號時，所填寫之申請書，有一聯寄回業者、一聯由消費者保存，一聯則存放於各地之通訊行，可能造成資料外洩；而各地通訊行或經銷商在資料建檔之後，通常利用網路上傳，也易遭駭客攔截。 至於聯合徵信中心，則會有客戶的中英文姓名、帳號、卡片到期日、出生年月日、CVB磁條密碼、參數檔案，如控管不當，也有外洩可能。 邱惠美說，「程序都在那邊，但問題在管控。如果哪個環節沒有扣好，就會出問題。」更值得注意的是，對於大型的銀行，所有的控管流程很完備，然而小型銀行則多半只是「口頭說明」，連控管的文件記錄都提不出，其安全性更是堪慮。

對各方的建議
邱惠美表示，站在保護消費者的立場，消保會針對財政部、業者及消費者提出幾點建議： 一．財政部 1. 定型化契約應重新檢討修訂，特別是交叉行銷的部份，不得強迫消費者同意。也就是說，在申請書上應特別列出，讓消費者選擇是否同意自己的資料被使用。 2. 研擬個人資料外洩責任險，使因資料外洩而蒙受損失者，能獲得基本理賠。 3. 應督導金融、電信等機構建立委外遴選、稽核規則及加強內部控管，並定期稽核。 二．業者 1. 銀行業者：使用技術，讓製卡、列印帳單等檔案只能使用一次，使用後即自動銷毀。商品訂購及兌換紅利直接在銀行進行，僅將持卡人最基本之資料如姓名、地址等提供給委外廠商，減少資料外洩風險。加強並落實內部控管及外部稽核，稽核內容應存檔備查。 2. 電信業者：應加強對其通訊行及經銷商之控管及稽核，並考慮將消費者申請資料送回公司內部建檔。 3. 聯合徵信中心：只保留最基本之交易資料，如中英文姓名、帳號、信用卡到期日、磁條密碼等，其他資料一概刪除。 三．消費者 對個人資料應多一點防備心，不要隨意填寫問卷，或是辦太多非必要的信用卡、會員卡…等等，以降低資料外流的風險。

企業、政府、消費者站出來
邱惠美提到，日前日本雅虎與Japan Net公司也發生客戶資料外洩事件。日本雅虎在發現470萬筆客戶名單外洩之後，即主動發表消息，除了向社會道歉，負責人並主動在半年內減薪50%，以償還客戶所遭受到的損失；Japan Net則自動宣佈暫停營業一個半月，專心處理外洩事件的善後，以示負責。相較於國內業者一開始就辯駁：「資料外洩不能與詐騙事件畫上等號」的心態，日本企業負責任的態度，更是值得國內企業檢討及效法。 檢視主管機關對此事的處理進度，到現在仍未見較大的動作及具體成效。甚至，金控公司旗下子公司各自獲得的客戶資料能否交互運用，財政部和法務部看法也不同。財政部認為，金控公司交叉行銷的行為並不違反金控法，法務部則認為這有違個人資料保護法，建議財政部應修法加以規範。主管機關意見歧異，民眾要的公道，是否就繼續遙遙無期？ 能為民眾發聲的民間機構消基會，在上面政策混亂的情形下，只能呼籲民眾提高警覺自保，而政府機構消保官卻苦於沒有准司法權，碰到事情只能「建議」各委員會或執行單位進行裁量、懲處，而因為消保會的主任委員是行政院副院長，消保會只是間接透過各機關對副院長的尊重，而發揮一些影響力，然而這樣的力量給消費者的保障，顯然相當薄弱。 在完稿期間，仍陸續傳出幾個個人資料外洩的事件，而在本文收筆的同時，又看見媒體報導「中華電信、遠傳、泛亞等電信業者基層員工涉嫌盜賣客戶資料」的消息，不禁讓我們心生惶恐。誠如消保官邱惠美所說，「找到的資料不可怕，最可怕的是那些已經外流，卻還沒發現的資料」。這場噩夢要何時才會停止？消費者，該是你們站出來為自己權益發聲的時候了！

消費者保護委員會簡介
消費者保護委員會是由民間的消基會催生而成，於民國83年7月1日成立，為研擬及審議消費者保護基本政策與監督其實施之機關。依消費者保護法第四十一條之規定，消保會職掌包括： 1. 消費者保護基本政策及措施之研擬及審議。 2. 消費者保護計畫之研擬、修訂及執行成果檢討。 3. 消費者保護方案之審議及其執行之推動、連繫與考核。 4. 國內外消費者保護趨勢及其與經濟社會建設有關問題之研究。 5. 各部會局署關於消費者保護政策及措施之協調事項。 6. 監督消費者保護主管機關及指揮消費者保護官行使職權。 7. 消費者保護之執行結果及有關資料之定期公告事項。 消保會除主任委員及委員會議外，置秘書長、副秘書長各一人、下設企劃、督導、法制、行政四組，及簡任秘書與消費者保護官。專任人員僅編制二十一人，並得因業務需要聘用研究員一至三人。行政組及有關會計、人事、政風等業務，均由有關機關派員兼任。 以下僅就消費者保護官之工作做說明： 1. 協調及處理重大消費事件。 2. 支援地方政府處理消費爭議申訴、調解業務事項。 3. 支援地方政府消費者保護官同意權行使事項。 4. 辦理消費者保護法規定之不作為訴訟事項。 5. 其他消費者保護法令規定及本會長官交辦事項。

銀行 有話要說！
此次個人資料外洩案中，警方如何判別資料來源？據了解，由電腦檔案中的資料，可從LOGO判斷集團名稱，再加上有顯示出信用卡卡號，因此判斷是由銀行業者外流出去的。 不過被點名的銀行業者對此則有抱怨。舉例來說，同樣是一棵大樹的LOGO，有可能是銀行，有可能是人壽，更可能是醫院。警方到底掌握了什麼資料？資料內容為何？銀行業者一概不知，更不知內部該如何查起。 對此，消保會建議，警方應邀請業者協助判別所掌握的資料。例如，假設他們懷疑是A業者的話，應讓A業者協助去判別資料，因為據業者表示，各家銀行建檔資料排列順序不同，由此就可以判斷到底是不是自己的資料。如此一來在資料判別上會比較有效率。