個人資料保護和詐騙犯罪

最近台灣社會爭論的沸沸揚揚的一件事是限制自動櫃員機（ATM）非約定轉帳每日最高額由原來的十萬減為一萬，以遏止詐騙歪風。後來一經媒體公布之後，反對聲浪過大，而更改為上限三萬。其中，正反雙方爭論各有其道理，在此筆者不打算加入討論。但是因為最近也談到一些個人資料部分，所以筆者以此為引子，談談個人資料保護的問題。
以往，只要一有個人資料外洩案，電信公司大都會被指責保護客戶資料不周。直到後來陸續有其他行業機關甚至是銀行也傳出個人資料洩漏的事件後，才逐漸沒把矛頭指向電信業。
筆者由實際工作中知道，由於個人資料的敏感性，知名和有社會責任的企業及組織均花費很大的心力在保護工作上。不過，不論大家多麼的用心，個人資料洩漏的案件好像都沒有停過，直到大家開始想到，其實社會上所謂的「個人資料」大多是姓名、電話號碼、住址、年齡、就讀學校等的「個人基本資料」，隨時在任何地方的問卷或是表格時就會填入，如申請會員卡、補習班報名、抽獎等。
先前的「電腦處理個人資料保護法」只針對八種特定行業進行要求，也訂有相當高的罰則。但法律只針對保護不周的機關進行懲罰，但對盜用人的「不當」使用卻沒罰則，所以產生一個奇特的現象，那就是這些企業機關已經是犯罪行為的被害者，不論是內部所為或是外部加害，但卻還要再被懲罰；而加害者（盜賣或是購買資料者）卻可以大大方方的拿著「贓物」到處叫賣或使用，而沒法可管或是罰則輕到令人難以置信。
多年之前的「萬士達」案子就是一個好例子，盜賣資料獲利幾億，但卻沒一個人真正的被抓去關。還有某「經貿文化協會」的主要業務就是賣個人基本資料。被人檢舉之後，警察雖有到場，也上電視，也有函辦，但是他們第二天還是繼續在賣資料。原因無他，一來利之所趨，資料可以不斷複製，成本低廉，也因為電話行銷、DM行銷等對個人基本資料的需求不斷，所以可以不停的賣；二來刑責太輕，相對於獲利，根本不痛不癢，所以無法達到嚇阻犯罪的目的。
現在大家一談到個人資料保護就變的很興奮，因為好像所有的問題都源自於此；好像解決了這問題，一切問題，包括詐騙，都可迎刃而解。
事實不然，因為個人資料包括基本資料和活動資料。個人基本資料是供一般使用，用來辨別身份和通信聯絡用，是不可能不用的，所以要保護，實在不容易。而且也很難定義要如何保護和要保護到何種程度。
因此換個方式想，如果法律也禁止使用來路不明或是未經自願被利用的個人基本資料，並加強這部分的處罰，產生足夠的嚇阻作用，如此應會比較公平和實際一些。畢竟有需求就必然會有供應，當「需求」被降低，「供應」就會跟著降低。但是針對個人的活動資料的保護責任，主要是在企業和組織，這部分可以定義清楚明白，因為是真正的隱私資料，對個人影響也最大，所以必須加強保護。
還有，詐騙犯罪的重點是以詐術讓人信以為真，而達到其詐騙的目的。詐騙的目的主要在取財獲益，客戶基本資料被運用於詐騙犯罪只是其中一種工具。這個工具沒有了或是減少了，還是無法減少這種犯罪，僅會影響其進行模式而已。所以執法機關往錢的流向追是正確的思維，例如追人頭戶，異常帳戶資金活動流向等。整個社會的活動不只是「拼治安」，所採取的手段必須減少對正常的經濟活動的影響。否則增加社會成本，顧此失彼，可能會得不償失呀！
筆者一直相信安全工作是細水長流的；耐力比衝力重要。想辦法「改善」，應該會比一天到晚「拼」要好一些。

威脅是一個長期性、可能性的，而攻擊是一個確切地、實際地發生的行為。

資訊安全管理者常常忽略掉的威脅，如電話、水與污水服務、託管服務等，失去上述服務可能會造成系統或企業運作之失常，所以同樣不可忽視。