捍衛個資 挺身說不：資料外洩事件探討–英國經驗

英國政府及企業的資安政策、緊急事件應變程序都已制訂相當完善，但為什麼資料外洩事件依然持續發生，甚至有日益嚴重的傾向？

　　這1～2年來全球各國的政府單位及民間企業等資料外洩事件越來越嚴重，己經到人心惶惶的程度。這篇文章將帶領讀者從英國的角度來檢視英國過去這半年來所發生的資料外洩事件，並探討為什麼會連最先進的英國─一個非常重視個人隱私，最早訂立電腦犯罪法、個人資料保護法及資訊安全規範BS 7799的國家，也同樣無法倖免資料外洩的命運。

英國資料保護法規

　　英國主要的資料保護法如下：

資料保護法

　　這是英國最主要的個人資料保護法，一般簡稱為 DPA(Data Protection Act)，主要是規範所有持有個人資料的單位或機構必須完全負起保護所持有的個人資料安全。任何個人資料外洩事件或是未善盡保護所持有的個人資料的事實，都屬於觸犯此法的範圍。

此法主要涵蓋下列各項：

? 所收集的資料僅供使用於當初收集時的理由。

? 資料僅可以提供給資料所有人授權的第三方。任何第三方在未授權的情況下取得任何個人資料都是違法的。

? 個人有權利存取持有該資料所有人的資訊。

? 個人資料不可以保存超過該個資所需保存的期限。

? 個人資料不可以傳送到歐盟以外的國家，除非經個人資料的所有人同意。

? 所有的資料處理單位或機構，必須要向國家資訊委員會辦公室(Information Commissioner Office)登記註冊。

? 任何單位或機構持有個人資料都必須要有適當的資訊安全保護措施，例如防火牆、資安教育訓練、定期的網路滲透測試及資安稽核等。

? 個人有權利校正錯誤的事實資訊，但不包含意見或觀點。

官方機密法

　　官方機密法(Official Secret Act)是英國保護官方資訊的資料保護法，所有政府官方的員工或工作人員都必須簽訂官方機密法的同意書。有否簽訂同意書並不代表是否受到此法規範的關鍵，簽訂同意書的目的只是提醒作用，任何官方人員其實是直接受到此法的規範。

此法主要包含下列各項：

? 第一款：國安及情治單位人員不可透露任何國家安全資訊及情報。

? 第二款：皇室工作人員及政府僱員不可透露任何國防資訊。

? 第三款：皇室工作人員及政府僱員不可透露任何國際關係資訊。

? 第四款：皇室工作人員及政府僱員不可透露任何執法資訊有助於任何犯罪事實。

? 第五款：不可透露或發佈任何方式所取得的國家機密資訊。

? 第六款：不可透露任何其它國家或國際組織的機密資訊。

? 第七款：透露官方正式發佈過的資訊是不犯法的。

? 第八款：皇室工作人員及政府僱員持有資訊超過他們所應持有的期限是犯法的。

? 第九款：檢調當局存取國家資訊的規範。? 第十款：規範處罰條例，觸犯第四，五，八款為6個月牢獄及罰金。觸犯其它各款為2年牢獄及罰金。

? 第十一款：規範警方逮捕及搜索條例。

? 第十二款：規範何為皇室工作人員，何為政府僱員。

? 第十五款：英國人民或是皇室工作人員不可在外國透露保密資料。

? 第十二，十三，十四，十六款：則規範相關技術性問題。

英國資料外洩事件主因：人為疏失

　　身分竊盜(Identity Theft)現在在英國是最主要的犯罪之一，主要是因為有太多的個人資料外洩事件。

　　在過去2年(2007 ～2008)英國連續發生了至少有70多件重大資料外洩事件，平均每個月至少有3件到5件重大個資外洩事件，尤其是以去年9月，一個月內就發生了12件資料外洩事件。大部份的外洩組織多為政府單位、軍方部門、醫療單位、民間顧問公司，以及金融機構。由於案例過多，以下我將只列出過去半年內所發生的案例， 即使只是過去半年為期，案例就己經高達15件之多。

　　另外還有許多金融機構及民間企業等，在過去1年內也都發生許多資料外洩的案例。由以上的實際案例可以發現，原來我們一直以為英國的資訊安全觀念及資料保護措施應該遠比許多其它國家要好得多，緊急事件應變程序也大都己經制訂得相當完善，但是為什麼資料外洩事件依然持續發生，甚至有日益嚴重的傾向？

　　以上的這些案例，我們可以發現主要的問題並不是沒有資料保密的措施或程序，大部份的資料外洩事件，都是出在資料儲存的媒體，例如光碟、硬碟、或是筆記型電腦，在人為的疏失下不小心遺失或是寄送到錯誤的目地的。所以主因完全是出在執行者的問題，是人的問題，因為一套完善的制度，若是執行的人沒有實際落實，或是缺乏確切的審計程序，則資料外洩的資安事件仍舊會持續不斷的發生。

　　很多時候，我們都會看到有主管因為資料外洩事件而下台，但我個人認為，主管下台在很多時候，並不是真正能解決資料外洩事件的最好方法，因為當事的主管如果下台，那資料外洩事件的處理就會受到影響：

1. 當事主管下台後，便缺乏一個站出來負責任解決問題，改善資訊安全狀況的主導人。當事主管也會因而認為，如果出事，我下台就好了，並不會真的在乎資料外洩造成多大的影響及後果。

2. 資料外洩事件是屬意外事件，所以當事主管下台並非在預訂的計劃內，因此往往很難馬上找到適當的接替人選。

　　我認為有效且負責的方式，應該是由出事的當事主管站出來，提出改善解決資料外洩的方法，並有效地實施，當然適當的處份還是要實行；若是要下台，也應該等解決方案建制完成後才下台。於是我們又回到人的問題。

應對方案：資安教育訓練最關鍵

　　面對當前日益嚴重的資料外洩事件，我們該如何應對：

定期實施緊急事件應變演練

　　企業機關應制訂相關的資訊安全政策，及緊急事件應變程序，並進行定期的落實測試，因為資安事件是不可預測的，應該比照火警預演，定期實施。當真正的資安事件發生時，每個人都自然的知道該如何應變面對。

出事後進行完善鑑識 找出根源

　　當資料外洩等資安事件發生後，進行完善的資安鑑識調查，明白的了解真正資料外洩的根源，以便提出根本解決方案，徹底根治問題，並從錯誤中學習，預防下次的事件發生。

持續個資保密教育訓練

　　個人資料保密觀念的教育訓練是所有資料外洩防制的根源。如果每個人都有正確的個人資料保密觀念，處處留心個人資料的來源去向，不任意透露不需要透露的個人資料，正確的看待個人數位資料形同於自己的家門鑰匙或是錢包、信用卡、身分證。相信在不久的將來個人資料外洩事件便會有明顯的改善。

　　大部份的政府單位、企業組織，及個人都認為只要有建置相當的資安設備，例如：防火牆、防毒程式、資訊安全政策、定期更換密碼，那資訊的安全就萬無一失，不會有任何駭客可以入侵，也沒有資料會外洩。但事實上，從文中所列出在過去1年內所發生的重大資料外洩事件可以看出，以上所提到的這些資訊安全防護，在各機關內都已建置，但似乎還是無法有效的防止資料外洩事件的發生，為什麼呢？因為關鍵出在「人」身上，任何再嚴謹的資訊安全系統都會被人為的疏失所擊敗，唯有正確的資訊安全教育，才是當今防範21世紀資料外洩的關鍵剋星。