https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

百廢待舉 個資法不能等:個資法通過 僅是推動資安的開始

2009 / 07 / 06
吳依恂
百廢待舉 個資法不能等:個資法通過 僅是推動資安的開始
個資法修正拖了許多年,眼看就要過了,不過有心的人不知道該怎麼做,已經失去信心的也大有人在,政府應該更加積極的將各項實行細則制定下來,甚至規範作業流程安全準則。

  電腦處理個人資料保護法自民國84年後便未曾再修訂過,顯然已不足以應付網路迅速發展帶來的影響,以致資料外洩事件頻傳,新個資料法即將通過,影響各行各業甚鉅。關於新「個人資料保護法」主要異動增修條文,可參考本期專家開講之「電子商務產業於個資法通過後面臨之衝擊」篇。

令人質疑的政府執行力道

  漢昕科技顧問總監李哲祥提到他是相當樂觀其成,覺得這的確會推動國內資安市場,不過在該公司舉辦的多場個資保護法研討會中,可看出大家雖然極度關心,卻在各項執行作法上有諸多疑慮。例如筆者在現場聽到討論「一定要寄書面通知才算通知嗎?」「也可公佈在網頁,但要在使用者登入的時候,他點選同意才算。」「那我沒有使用,只是保存以前的舊個人資料呢?」「只要你擁有當事人個資,你就應該在一定期限內補行通知。」對機關組織或業者來說,從法條要轉變到實際的作法是有一段相當的距離。

  漢昕科技資安顧問呂守箴同時也建議各行各業,可從作業流程面來檢視個資外洩的點,無論是否有預算做資安,都需仔細審視可能造成個資外洩的行為,假設公司資訊化程度不夠高也無妨,紙本的機敏文件如何封存也可以是改善的流程之一,應該以更積極主動的想法來面對。例如旅行業就算沒有高度資訊化,也應該規範誰才可以接觸到客戶信用卡資料,或是否應該有獨立的傳真機在特定的房間等。

  甲骨文(Oracle)、亞太信息、亞利安科技這些資料庫安全廠商則認為以市場波動面來看,雖然有些詢問度,但大致上沒有太大變動,企業給他們的回應是還在觀望,端看政府如何執行才做決定,甚至還有企業明白的質疑政府執行力道,即使法規制定出來,究竟會執行到什麼程度無法得知。

  賽門鐵克表明對個資法未來的市場樂觀,但目前該公司之GRC方案尚未主推台灣市場。推測可能是該解決方案較適用於需要遵循多種法規的企業。

委外加密多層防護

  在本次的專題採訪當中,我們聽到了一個相當特別的案例。那就是在辦公室團購圈裡相當知名的泡芙工廠也有保護顧客資料的決心。負責人唐先生為工程師背景,對資訊保護具有相當敏銳度,雖然公司系統委外,但為了徹底確保客戶資料不外洩,因此打算進行資料加密。不過,小本經營的工廠在預算上並不充裕,而加密軟體價格不菲,於是同為工程師的朋友便出於友情,半買半送的提供加密服務。儘管人力、資本都不充裕的小企業,雖然在委外的部分難以掌控資料,但可以選擇部份或資料庫欄位加密,採取較為刻苦的方式,盡量將資訊掌握在自己手上,這種重視客戶個人資料的態度,實屬難得。