電信業除了有對自己本身或對營運伙伴相關營運秘密(Trade Secret)的保護需要外,另有特別的法律規範對客戶資料的保密要求。除了「電信法」外,影響最大的就是「電腦處理個人資料保護法」。有關其中對「個人資料」的定義部分即是電信業在資訊安全作為中最重要的標的物之一。
「電腦處理個人資料保護法」中對於個人資料有如下的定義:「自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他足資識別該個人之資料。」
以電信業而言,因為業務會獲得及操作過程會產生的個人資料至少有下列各項:客戶基本資料(姓名、性別、年齡、住址、門號等)、通聯資料(通信之有無及通信之內容)、帳務資料、收發話位置資料、申請服務資料、線上交易資料等等,甚至會有帳戶資料(信用卡號、扣帳帳號、信用資料等)。
又,依照前述資料可以利用資料採礦,交叉分析,可以獲得客戶的年齡、偏好、消費習慣等等衍生資訊。上述這些,幾乎任一項都可以是令人好奇的個人隱私資料,也都具有實際或潛在的商業價值。
如何定義及執行對客戶的隱私保護政策及其執行細則,使其能同時兼顧保護客戶隱私,又能促進資料之合理應用是電信業中相當大的課題。然而,隱私權的定義其實還在演進中,很難有一清晰之界定與說明,因此也對執行帶來很大的困擾,使的對於客戶隱私權的保護難有一致的作法。因為客戶的期待與服務提供者的可能作法有落差,所以迭生糾紛。
一般而言,有一個通用的規則應該可以用來定義是否為個人隱私資料:就是其資料是否足以立即辨識為某個人(individual indefinable data)。若是,則其使用應先徵得當事人之同意,方得為之;或對於一般使用之規範事先說明,如公佈隱私權政策。此隱私權政策應將可能利用的目的及方法均加以說明,並在服務契約中清楚告知,最好有用特別加註方式,要求客戶簽名或勾(點)選的方式表示同意,以避免未來可能發生的困擾。然,這只是消極的契約規範。
積極作為上,在大宗資料處理部分,可以限制客戶資料欄位的輸出方式,避免提供過多的資訊給內外部使用者。如,給行銷部門作消費行為分析的資料就不需要有客戶的全名,號碼,住址等資料,只給生日、性別、話務量、資料量、服務項目、簡址(只包含到縣市區)等。,對於少量但詳盡之客戶資料,如客服資訊系統,因為要服務客戶,相關資料必須顯示。應對實體環境和設備加以限制,如禁止列印或限制列印路徑、取消該電腦之I/O Port、獨立網段、鎖IP等等,減少資料洩漏資料的管道。
機密性之主要威脅來自人。在處理資料過程中,除了人為疏失外,電信業由於擁有前述客戶隱私資料,有其實用及商業價值,所以難免會引起不肖份子之覬覦,而使故意洩漏之行為發生。
在設計公司的資訊安全管理體系時,除注意一般資訊控管方式外,格外需注意帳號及權限之控管、日誌覆核、作業人員職權分隔、及實體環境隔離(即安全工作區)。
要達成一個好的企業安全管理,必須是實體及環境安全、資訊安全以及人事安全三者的結合。前兩者其實還不算難做,相關的工具和方法都不難獲得,唯獨人事安全最難做。
因為工作流程所需,一定會有一群少數人需要被授與很高的操作權限,這幾乎是完全無法避免的。不幸的是,數據也顯示,其實造成資料外洩的原因中最大部分的是內部人員。而這群擁有高權限的人員,是最受信任的,同時也是最脆弱的一環。
如何事先防範呢?實際經驗告訴我們,要完全事先防範是非常難達成的目標。犯罪學理論甚至告訴我們:「犯罪無法消滅!」。無論多好的事先防範,都可能出問題,特別是有人處心積慮的想要搞怪時。為此,電信業必須要設計一套預警系統及洩漏偵測體系。
所謂預警系統建置目的為蒐集市場資料,找出何種資料在市面上最搶手,最可能被洩漏;再據以針對有最大量此類資料的地方、流程及操作人員進行加強控管。作業單位應清楚定義的流程和頻繁的日誌覆核,展現足夠的赫阻和偵察力量,並能於異常發生之即時,即加以阻止。
對於資料洩漏偵測體系,則是在資料上加上「螢光劑」,利用「感知器」或「探針」隨時注意是否偵察到「螢光劑」,一發現蹤跡,立即查察,避免災害擴大。這也同時可以讓有意洩漏資料之內部供應者有所忌諱,也可以循線找到外部買家,蛇鼠同籠一網打盡。
一個完整的安全體系一定要包含到異常事件的處理程序。因為整個資訊安全管理體系是建置在風險管理的基礎上,也因為不可能有百分之百的安全,所以無法避免一定會有安全異常事件發生。
其實沒有安全異常事件可不見得代表一定沒事,因為那或許是表示偵測安全異常的體系本身已經出問題了。換言之,能偵測到其發生,並能立即進行損害管制,標定問題區,加以改進,才是一個良好的安全體系的實證!