案例情境描述
甲銀行,是一家國內知名的本土銀行,該銀行員工A某日在公司的地址收到乙公司的產品DM,A覺得很奇怪,為什麼乙公司知道A上班的地址?因為A只有在申辦自己公司(甲銀行)的信用卡時,才填寫公司地址作為聯絡之用,其餘填寫的資料都是填寫居住地。因此,機警的A覺得銀行的客戶資料可能已經外洩了,遂立即向公司上層反應。
甲銀行管理部門獲悉此一事件,也非常地重視資料外洩的問題,因為如果傳出去,可能大大地影響銀行的信譽,經過調查後,發現實際擁有寄送名單者是丙公司,乙公司只是付費委託丙公司寄送產品的DM。最後,甲銀行遂向乙、丙兩公司提出民事賠償官司。
案例重點:資料外洩來源到底是什麼?
本案的重點並不放在甲銀行與乙、丙兩公司的官司到底誰贏誰輸,而是應該著眼於到底甲銀行的資料如何外洩,找出問題的根源,才是真正的解決問題之道。
只要你翻一下跳蚤雜誌,或者是上Google網站輸入「行銷名單」查詢,都可以找到許多販賣個人資料的業者,將民眾的個人資料以極低的價格進行銷售。這些資料從正面的角度來看,可以成為企業界快速聯繫消費者的管道,但從另一個角度來說,卻可能成為歹徒進行詐騙、恐嚇等犯罪行為的利器,在網路快速發展的時代,也可能讓你的電子郵件信箱塞滿了垃圾郵件。近來,陸續發生電信、金融、健保局等資料外洩事件,連長庚醫院的病歷資料也飛散各地,這些都影響客戶對於業者的信任感,知名的網路市場調查公司Ipsos Insight所做的調查,89%的網路銀行客戶擔憂資料遭竊。因此,確保客戶資料的安全成為重要的資訊安全議題。
客戶資料可能外洩的管道
客戶資料常見可能遭到竊取的管道,主要有下列幾種方式:
一、外部的入侵
例如駭客可以利用各種入侵的方式,取得企業的重要資料,有些只是好意地幫被入侵者「備份」資料,但有些卻轉而牟利賣錢,成為犯罪的工具。國際間也發生過CardSystems Solutions公司將Visa、MasterCard等重要信用卡發行業者的客戶資料四千餘萬筆外洩,引起國際間軒然大波。
二、程式設計上的漏洞
國際知名的花旗銀行網站曾經被客戶發現,從網路申辦信用卡時,居然可以任意查閱其他客戶的資料,只要修改網址上的參數,就可以看到其他客戶的申請資料,這種漏洞居然也會發生在國際知名企業上。
許多網路犯罪過程中,如福山植物園網站遭入侵案、教師介聘系統遭入侵案等,都屬於類似的系統漏洞。更嚴重者,可能發生將系統外包給其他軟體廠商設計時,所衍伸的外包廠商控管的問題,因為系統都是外包廠商所設計,常有程式設計員在其中作手腳,例如微軟的Excel 97,就曾發生輸入特定字串,就可以玩賽車遊戲,不知道是系統故意設計,還是程式設計員惡整的結果。
三、員工的無紀錄竊取
許多企業的資訊管理人員掌握資訊控制的大權,很難對之進行控管,即使建立一套無法變更刪除的資訊存取紀錄,有心人士還是有辦法不被記錄存取其行為,這種無紀錄的複製對於資訊管理人員可以說是輕而易舉的動作。例如筆者曾偵查某公家機關的訂票系統遭干擾案,或許是因為該機關有內部人員涉案,結果向該機關調閱資料時,居然無法提供任何「有效」的紀錄檔,也影響案情的偵辦。雖然沒調到想要的資料,或許表面上該機關達到不提供資料的目的,但是從另外一個角度來看,我們只是這個案子拿不到想要的事證,但是長遠而言,該機關的紀錄檔這麼不可靠,恐怕受損害的還是他們自己本身。
四、提供給第三人
依據金融控股公司法規定,若經消費者同意,或符合其他法令規定,可以為了行銷的目的,提供資料給廠商。該法雖然規定廠商不能再將取得的資料提供給其他人,且企業與廠商間也會制定契約,嚴格要求廠商遵守不得提供給其他人的規定。但是客戶資料已經成為通路的一種,具有很高的價值,難保不會有不肖人士違反規定而竊取、販賣資料,光有契約的規定恐怕沒有具體的成效,或許只得靠其他機制來防堵,例如本案中,甲銀行就提出其有在客戶資料中放置「偵測細胞」,也就是放一些假資料,來判斷市面上流通的資料是否由內部所洩漏。
保護企業的客戶資料
企業到底該如何保護客戶的資料呢?從目前資料氾濫的程度,似乎並沒有一種絕對有效的方式。因此,以下將針對除了外部入侵之外的其他洩漏情況提出建議,希望能提供一些思考方向,有效保障客戶資料安全:
一、沒有監控,沒有安全
曾經參加某場研討會發表文章,與會者多是科技公司的員工,當時詢問在場的來賓,調查公司有對員工進行網路監控的比例,結果居然有大約六成的人士舉手表示知悉公司有進行網路監控。顯見在重視商業機密的高科技公司,是多麼地重視資料的保護,據稱台積電、聯發科等高科技大廠,對於資訊進出的管制更是嚴厲,所有攜出的設備都要經過掃描,這種全方位的監控才能確保公司資料的安全。聯電也曾經因為曹董的電子郵件外洩,經調出內部監控資料查出洩密者,而將洩密的員工開除,都是具體的案例。
或許企業主會問:監控員工是否合法?會不會侵害員工的隱私權呢?台北地方法院曾有判決見解(91年勞訴字139號判決)認為:只要有明確的監看政策,員工也簽署同意書,則並不認為員工享有隱私權的期待;換言之,雇主可以監看員工的網路行為。不論法院的見解到底如何,基本上只要善盡告知義務,並從尊重員工的角度出發,相信都可以進行網路之監控,以保障企業資料的安全。
二、重罰的法令與確實的執法
目前相關的法令包括刑法第36章「妨害電腦使用罪」章、電腦處理個人資料保護法(以下簡稱「個資法」)、金融控股公司法、營業秘密法等規定,但是法令上還是有許多模糊與缺漏之地,例如:個資法規範的主體範圍太狹小,只限於八大行業、指定行業與個人,某間號稱擁有全台800萬筆電子郵件的廠商,卻因為該廠商營業項目並非徵信業,也非個資法規範的行業,居然只能眼睜睜地看著該公司繼續大搖大擺地販售個人資料;此外,個資法的最高賠償上限是2000萬,假設所有的和信用戶有200萬人,同時要求和信賠償損失,最多每個人只能分到10元。個資法目前正在修法中,但在立法院龜速的審案程序下,未來通過日期仍然遙遙無期。
其次,金融控股公司法根本就是一面倒地向著金融控股公司,幾乎已經達到「只要我喜歡,有什麼不可以」的境界,況且實務上普遍存在條文解釋上之錯誤,例如當民眾行使選擇退出權(opt out),要求金控公司不得再「運用」其個人資料時,金控公司頂多不再寄送商品型錄給你,也就是說不再將你的個人資料賣給廠商,但是仍然藉由你的個人消費資訊,繼續分析你的個人習慣,從事各種不同的「運用」行為。因此,我國目前最需要的是一套真正尊重個人隱私權的法令以及一套嚴格的執法機制。
三、互相制衡的權力
前面提到的訂票系統遭干擾案,可以發現只要達到一定權限的員工,幾乎都可以很輕易地視資訊安全系統為無物,隨時可以刪除log紀錄檔,或許可以因此掩飾老闆的違法行為,例如微軟遭控違反「反托拉斯法」,比爾蓋茲的電子郵件紀錄就成為重要的證據,若當時有員工將該等證據刪除,說不定會讓該官司更有勝算。可是從另一個角度來看,如果員工有能力刪除log紀錄檔,那不太懂電腦的老闆怎麼能夠放心地讓員工操作電腦,每天都擔心電腦資料遭到不當運用,每天都擔心商業上的勁敵以高薪挖角,並將重要商業機密帶走,如芒刺在背般日夜不得好眠。所以,除了建立一套妥善的log紀錄檔機制,每一位員工的權力都能互相制衡,例如有效運用稽核制度,讓資管人員獲得最佳的管制,才能有效解決資料外漏之問題。
隱私是民眾權利中最核心的價值
過去台灣的民眾最不重視的權利當推隱私權,近來因為詐騙案例頻傳,所以人們逐漸發現個人資料的外洩將成為歹徒利用的工具,嚴重影響生命財產的安全。因此,人們逐漸要求更完善保障個人資料,可是相關資料外洩的事件仍然層出不窮,諸如電信業資料成為討債工具、銀行客戶資料流入偽卡集團手中,及駭客大舉入侵國際信用卡業者,取得信用卡資料後進行網路盜刷等,讓消費者人人自危。因此,為了建立消費者與企業主間的信賴關係,有必要建立一套完整的資料保護機制,別讓擔憂資料外洩成為民眾申請相關企業服務的障礙。