觀點

個人資料外洩噩夢何時了?

2005 / 02 / 02
文/潘玉女
個人資料外洩噩夢何時了?

最大問題可能在委外
據邱惠美實地了解,銀行信用卡業務流程包含收件、資料建檔、製卡、帳單列印、逾期款項催收、交叉行銷等,其中大部份皆委外處理。銀行業者宣稱,對於本身及委外廠商處理資料的控管十分嚴格,包括: 1. 建檔:委外廠商建檔所用之電腦,僅能鍵入資料,無法儲存、外傳或連接燒錄器,電腦經拆卸,即遭破壞而無法使用。 2. 製卡:銀行將客戶資料以專線或實體加密程序,傳給外包業者,外包業者向銀行取得解密條件之後解密製卡。製卡、封裝由機器一貫化作業,並由郵局派專人至製卡公司領取寄送。而製卡檔案則由外包業者加以銷毀。 3. 帳單列印:銀行將客戶資料以專線或實體加密程序,傳給外包業者,再由外包業者解密後列印。列印完成後資料由外包廠商銷毀。 4. 款項催收:銀行將須催收的客戶資料以專線或實體加密程序,傳給外包業者,或直接影印給外包廠,完成催收後檔案再由外包業者銷毀或送還銀行。 雖然如此,但還是可以找到幾個問題點: 1. 負責推廣信用卡的外包公司,從收件至送達銀行,約有3~4天的空窗期。此時資料有可能外洩。 2. 專線或實體傳輸雖有加密,但解密後的文件,有遭複製之風險。 3. 用來製卡、列印帳單等檔案,可重複使用,若沒有確實管制外包廠商進行銷毀,容易洩漏資料。 4. 民眾兌換紅利積點時所提供的資料處理不當,也可能外洩。 另外,交叉行銷的做法,更是大大地增加了個人資料外洩的機會。一般而言,銀行會製作名條,由專人送至外包廠商進行黏貼,或由郵購業者將目錄送至銀行黏貼。不過也有銀行將檔案利用專線或實體加密傳輸給外包業者,再由業者向廠商取得解密條件解密後列印名單。在這個過程中,個人資料仍有外洩風險。 在電信業者的部份,問題可能更大。例如民眾在申請電話門號時,所填寫之申請書,有一聯寄回業者、一聯由消費者保存,一聯則存放於各地之通訊行,可能造成資料外洩;而各地通訊行或經銷商在資料建檔之後,通常利用網路上傳,也易遭駭客攔截。 至於聯合徵信中心,則會有客戶的中英文姓名、帳號、卡片到期日、出生年月日、CVB磁條密碼、參數檔案,如控管不當,也有外洩可能。 邱惠美說,「程序都在那邊,但問題在管控。如果哪個環節沒有扣好,就會出問題。」更值得注意的是,對於大型的銀行,所有的控管流程很完備,然而小型銀行則多半只是「口頭說明」,連控管的文件記錄都提不出,其安全性更是堪慮。

對各方的建議
邱惠美表示,站在保護消費者的立場,消保會針對財政部、業者及消費者提出幾點建議: 一.財政部 1. 定型化契約應重新檢討修訂,特別是交叉行銷的部份,不得強迫消費者同意。也就是說,在申請書上應特別列出,讓消費者選擇是否同意自己的資料被使用。 2. 研擬個人資料外洩責任險,使因資料外洩而蒙受損失者,能獲得基本理賠。 3. 應督導金融、電信等機構建立委外遴選、稽核規則及加強內部控管,並定期稽核。 二.業者 1. 銀行業者:使用技術,讓製卡、列印帳單等檔案只能使用一次,使用後即自動銷毀。商品訂購及兌換紅利直接在銀行進行,僅將持卡人最基本之資料如姓名、地址等提供給委外廠商,減少資料外洩風險。加強並落實內部控管及外部稽核,稽核內容應存檔備查。 2. 電信業者:應加強對其通訊行及經銷商之控管及稽核,並考慮將消費者申請資料送回公司內部建檔。 3. 聯合徵信中心:只保留最基本之交易資料,如中英文姓名、帳號、信用卡到期日、磁條密碼等,其他資料一概刪除。 三.消費者 對個人資料應多一點防備心,不要隨意填寫問卷,或是辦太多非必要的信用卡、會員卡…等等,以降低資料外流的風險。

企業、政府、消費者站出來
邱惠美提到,日前日本雅虎與Japan Net公司也發生客戶資料外洩事件。日本雅虎在發現470萬筆客戶名單外洩之後,即主動發表消息,除了向社會道歉,負責人並主動在半年內減薪50%,以償還客戶所遭受到的損失;Japan Net則自動宣佈暫停營業一個半月,專心處理外洩事件的善後,以示負責。相較於國內業者一開始就辯駁:「資料外洩不能與詐騙事件畫上等號」的心態,日本企業負責任的態度,更是值得國內企業檢討及效法。 檢視主管機關對此事的處理進度,到現在仍未見較大的動作及具體成效。甚至,金控公司旗下子公司各自獲得的客戶資料能否交互運用,財政部和法務部看法也不同。財政部認為,金控公司交叉行銷的行為並不違反金控法,法務部則認為這有違個人資料保護法,建議財政部應修法加以規範。主管機關意見歧異,民眾要的公道,是否就繼續遙遙無期? 能為民眾發聲的民間機構消基會,在上面政策混亂的情形下,只能呼籲民眾提高警覺自保,而政府機構消保官卻苦於沒有准司法權,碰到事情只能「建議」各委員會或執行單位進行裁量、懲處,而因為消保會的主任委員是行政院副院長,消保會只是間接透過各機關對副院長的尊重,而發揮一些影響力,然而這樣的力量給消費者的保障,顯然相當薄弱。 在完稿期間,仍陸續傳出幾個個人資料外洩的事件,而在本文收筆的同時,又看見媒體報導「中華電信、遠傳、泛亞等電信業者基層員工涉嫌盜賣客戶資料」的消息,不禁讓我們心生惶恐。誠如消保官邱惠美所說,「找到的資料不可怕,最可怕的是那些已經外流,卻還沒發現的資料」。這場噩夢要何時才會停止?消費者,該是你們站出來為自己權益發聲的時候了!

消費者保護委員會簡介
消費者保護委員會是由民間的消基會催生而成,於民國83年7月1日成立,為研擬及審議消費者保護基本政策與監督其實施之機關。依消費者保護法第四十一條之規定,消保會職掌包括: 1. 消費者保護基本政策及措施之研擬及審議。 2. 消費者保護計畫之研擬、修訂及執行成果檢討。 3. 消費者保護方案之審議及其執行之推動、連繫與考核。 4. 國內外消費者保護趨勢及其與經濟社會建設有關問題之研究。 5. 各部會局署關於消費者保護政策及措施之協調事項。 6. 監督消費者保護主管機關及指揮消費者保護官行使職權。 7. 消費者保護之執行結果及有關資料之定期公告事項。 消保會除主任委員及委員會議外,置秘書長、副秘書長各一人、下設企劃、督導、法制、行政四組,及簡任秘書與消費者保護官。專任人員僅編制二十一人,並得因業務需要聘用研究員一至三人。行政組及有關會計、人事、政風等業務,均由有關機關派員兼任。 以下僅就消費者保護官之工作做說明: 1. 協調及處理重大消費事件。 2. 支援地方政府處理消費爭議申訴、調解業務事項。 3. 支援地方政府消費者保護官同意權行使事項。 4. 辦理消費者保護法規定之不作為訴訟事項。 5. 其他消費者保護法令規定及本會長官交辦事項。

銀行 有話要說!
此次個人資料外洩案中,警方如何判別資料來源?據了解,由電腦檔案中的資料,可從LOGO判斷集團名稱,再加上有顯示出信用卡卡號,因此判斷是由銀行業者外流出去的。 不過被點名的銀行業者對此則有抱怨。舉例來說,同樣是一棵大樹的LOGO,有可能是銀行,有可能是人壽,更可能是醫院。警方到底掌握了什麼資料?資料內容為何?銀行業者一概不知,更不知內部該如何查起。 對此,消保會建議,警方應邀請業者協助判別所掌握的資料。例如,假設他們懷疑是A業者的話,應讓A業者協助去判別資料,因為據業者表示,各家銀行建檔資料排列順序不同,由此就可以判斷到底是不是自己的資料。如此一來在資料判別上會比較有效率。