觀點

個資法忽通過 線上業者急應變

2010 / 05 / 10
吳依恂
個資法忽通過 線上業者急應變

個資法通過之後,許多行業受到衝擊,被認為擁有最多個資的不外乎是政府、電信業、金融業,首當其衝。不過,線上業者受到的衝擊也不小,尤其是這類新興產業,對於資安工作的推動程度,成熟度不及前三者。個資法所管轄範疇主要是個人資料,主要癥結點在於是否可足之「識別」個人。也因此在個資法過後,我們也觀察到一些網站出現一些應急的動作。

例如將身分證字號、出生年月日、電話等較為機敏的資料過濾出來之後,放到另外一個與網站並不直接界接的資料庫,且須透過一些較為複雜的內部存取權限控管,一方面做為長期備份,一方面萬一網站被攻破,僅有交易資料卻無法識別會員個人。
另外,思考購物流程過後,不需顯示資料的部份也就不出現,例如個人住址不再出現於個人資料當中,僅在訂單成立輸出時才顯示,減少攻擊者成功拼湊資料的可能性。

上述種種手段,原本就應該是網站經營者應該思考的安全流程機制,並非新科技或艱深技術問題,但就在個資法通過之後,線上購物業者才趕緊有了應變動作,真可謂是不見棺材不掉淚。

此外,亦有資安專家提到,有許多網站登入帳號在當初設計之時,由於貪圖方便及唯一性,就將會員的身分證字號當作登入的帳號,這種狀況隨著近年來詐騙事件頻傳而逐漸有所改善。以一個國內某網購業者為例,儘管近年來已經將帳號逐步轉換成電子郵件或自設帳號,但依然有會員貪圖方便繼續將身分證字號當作帳號使用,這無疑正是使用者將自己的個資曝光於光天化日下。

除了網站經營者應該加緊速度,重新思考作業流程,更改規則並轉換舊有資料,也應提醒並協助消費者。消費者本身也應該要有自我保護意識,若自己不將個資當一回事,屆時面臨詐騙損失等,恐怕也難辭其咎。