觀點

個資檔案安全維護計畫—無店面零售業 記錄留存要正確有效 否則只是浪費資源

2011 / 12 / 26
廖珮君
個資檔案安全維護計畫—無店面零售業 記錄留存要正確有效  否則只是浪費資源

早在二年前,經濟部就已確立推動電子商務產業發展的目標,而EC成功發展的關鍵在於行銷和安全,因此2009年時便爭取成立「華文電子商務暨交易安全推動計畫」,其中依個計畫就是與個資保護相關,也因此在配套子法的推動上起步較快。

商業司:配合施行細則上線日 公告產業個人資料檔案安全維護計畫

經濟部商業司7科科長陳威達表示,目前已經針對無店面零售(即網路與型錄購物)、百貨零售、及工商徵信業,制定出「個人資料檔案安全維護計畫」標準草案,正積極與業界人士開座談會、徵詢意見,希望能配合施行細則上線日同步公告。科法中心組長郭戎晉指出,這三種產業的個資檔案安全維護計畫的架構大致相同,但在一些執行細節上可能會有差異,舉例來說,無店面零售業一定要搜集客戶個資才能交易,且會有頻繁地資料傳輸動作,但是百貨零售業則非如此,其個資搜集多半是消費者要加入會員、臨櫃填寫資料而產生,因此,前者可能會加重網路安全管理規範,後者則應強調紙本個資保存或處理方式。

重點是什麼?

究竟「無店面零售業個人資料檔案安全維護計畫」標準草案的內容是什麼?陳威達表示,主要延伸新版個資法施行細則草案第9條規範而來,該條文訂定了11項適當安全維護措施,分別是:(1) 成立管理組織,配置相當資源。(2) 界定個人資料之範圍。(3) 個人資料之風險評估及管理機制。(4) 事故之預防、通報及應變機制。(5) 個人資料蒐集、處理及利用之內部管理程序。(6) 資料安全管理及人員管理。(7) 認知宣導及教育訓練。(8) 設備安全管理。(9) 資料安全稽核機制。(10) 必要之使用紀錄、軌跡資料及證據之保存。(11) 個人資料安全維護之整體持續改善。除了針對前述11點內容做比較詳細的規範,還納入母法中有關個資的蒐集/處理/利用的規定,以及委外管理的要求,提供給業者做為法規遵循及個資保護的參考。

某電子商務業者表示,之前經濟部便已針對無店面零售產業召開座談會,公佈「個人資料檔案安全維護計畫」標準草案的內容,並徵詢在場業者的意見。該業者認為,草案已經明確列出安全管理措施的大方向,又不會強制要求執行方式,好比規定要做帳密管理,卻不會限制管理方式,提供企業兼顧現行資安作業的彈性。舉例來說,上述第6點與第8點談到,企業應該建立資料安全管理、人員管理、設備安全管理的機制,在「個人資料檔案安全維護計畫」標準草案中,除了這3點之外,還增列了作業管理項目,並逐一列出這幾點該有的安全管理措施。

一、 人員管理
這是針對作業人員的管理機制,避免其可以接觸非職務範圍內的個人資料。首先企業要確認,哪些業務流程可能會蒐集、處理及利用個人資料,及負責該業務流程的人是誰,接下來針對這些人設定權限控管機制,依據其職務內容及位階,設定系統存取權限,同時要求相關人員擔負保密義務,最常見的做法就是簽署保密協定。

二、 作業管理
這是指企業在蒐集、處理及利用個人資料時,應該要制定相關的管理機制,以確保作業程序的安全性,包括:制定可攜式儲存媒體的使用規範、適當的資料加密或遮罩機制、確保個資傳輸安全性與收件者身份正確性、謹慎保管個人資料檔案的備份、定期進行備份資料的測試還原、在報廢存放個資的媒體前,應確實刪除其中的資料(或以物理方式破壞)、妥善保管作業程序中使用到的密碼。

三、 物理環境管理
物理環境指的是實體作業環境,像是機房或辦公室,企業應視作業內容及環境特性,實施必要的門禁管理或安全監控等機制,避免讓不相關的作業人員進出,至於作業環境內所使用的實體設備也要妥善維護與控管,如果是保管個資儲存媒介的場所,更要建置防災設備,以免個資因為意外災害而毀損。

四、 技術管理
這是指EC業者利用電腦或系統,來蒐集、處理或利用個人資料時,所應採取的管控措施:
1. 建立身份認證機制,辨識與控管有存取權限者的身份;
2. 建立系統存取權限管控機制,以作業必須性為要求;
3. 針對儲存個人資料的系統,應導入適當的資安設備,例如:防火牆、路由器…等,並定期調校設定值,避免無權限的存取行為;
4. 嚴格管控應用程式對個人資料的存取行為;
5. 定期偵測惡意程式與修補系統漏洞,降低對作業系統所造成的資安威脅;
6. 管制端點電腦安裝檔案分享軟體;
7. 新系統或新功能在測試時,如果需要使用個人資料,應制訂相關的申請程序;
8. 資訊系統變更設計時,須再次確認安全等級是否維持不變;
9. 定期檢查系統使用狀況與個人資料存取情形。

哪些動作需要留下記錄?

根據新版個資法29條,個資事件發生時,企業若能舉證證明自身無故意或過失,就不必擔負損害賠償責任,但,企業該如何提出證據?日常作業中,哪些資訊必須被保留,才能在日後證明自身已善盡善良管理人義務、個資事件實乃非戰之罪?這是現今企業最關注的課題之一。該電子商務業者表示,從「無店面零售業個人資料檔案安全維護計畫」標準草案來看,企業必須留存的記錄共有三種:個資管理程序、委外管理、及安全維護措施。

一、 執行個資管理程序所需留下的記錄
1. 個資當事人行使權利:新版個資法賦予個資當事人以下五種權利:查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集/處理或利用、請求刪除,企業提供當事人行使權利的方式,以及當事人行使權利的狀況,都應有相關記錄留存。
2. 資料更正:企業必須定期檢查個人資料的正確性,倘若發現有誤應適時更正或補充,並保留相關記錄。
3. 資料刪除:企業蒐集個資的特定目的消失或已屆滿保存期限時,應主動或依當事人請求刪除、停止處理或利用該個人資料,並保留刪除的記錄。

二、 執行委外管理所需留下的記錄
企業委託他人蒐集、處理或利用個人資料時,必須制定適當地監督管理程序,如:確認委外的個資範圍/類別/特定目的、確認委外期間、確認受託人是否將業務再委外(若有,則需進一步確認廠商名稱)、要求受託人採取必要安全措施、委外契約終止時的資料銷毀…等,企業應定期檢查或稽核委外業者落實狀況並留下記錄。

三、 導入個資安全維護措施所需留下的記錄
1. 個資事件發生時,也就是個資被竊取、竄改、毀損、滅失、或洩漏時,企業所採取的應變措施,及通知當事人的情形。
2. 針對有權接觸個人資料的員工,所設定的權限控管及身份認證機制。
3. 儲存個人資料的載具,在報廢或移轉給他人前,所做的刪除或銷毀的動作。
4. 針對個人資料相關的系統,所做的權限設定及控管機制。
5. 為降低惡意程式與系統漏洞風險,所採取的適當安全措施。
6. 企業透過電腦、相關設備或系統來蒐集、處理或利用個人資料,必須定期檢查其安全性、使用狀況及個資存取情形。
7. 企業針對相關員工所提供的認知宣導與教育訓練。
8. 定期檢查與稽核個資保護管理計畫的落實狀況。
9. 個資保護計畫持續改善或變更的情形。

不過,EC業者也表示,草案雖然指出哪些資訊應該要留存記錄,卻沒有說明這些記錄應該要保存多久?3年、5年、或是更久?年限愈長,資料量就愈多,企業對儲存容量的需求也將隨之成長,勢必得重新規劃與投資儲存設備,對此,郭戎晉表示,無論新版個資法或施行細則草案,都沒有提到記錄的保存期限,而「無店面零售業個人資料檔案安全維護計畫」標準草案乃是延伸上述二個規範而來,所以無法明確規範記錄應該要保存多久,但未來母法或施行細則有相關規範,就會重新修正遵循母法規範。

對此,法務部科長黃荷婷認為,記錄保存年限與產業特性及企業資源豐富度有關,很難於母法或施行細則中制定統一規範。現已於新版個資法施行草案第六條規定,若為事後查核、比對或證明之需要而留存軌跡者,得不予刪除,避免企業因當事人要求刪除導致證據無法保全的風險,至於留存年限,若目的事業主管機關沒有強制規範,企業只能盡力而為,視自身能力所及來保全證據。

最後要談的是舉證效力。目前很多資安設備都有提供Log與稽核的功能,如:電子郵件稽核、資料庫安全稽核(DAM)、日誌管理(LM)、網站應用程式防火牆(WAF)、資安事件管理平台(SIEM)…等,可幫助企業滿足上述部份的舉證需求,但是,中央警察大學資訊管理學系教授吳國清提醒企業,企業日常執行個資保護計畫時,最好能產出實體報表並呈報總經理簽核,千萬不能只有電子檔,因為電子資料容易被假造或竄改,證據力較為薄弱,企業呈上的證物倘若不具證據效力,形同變項地在浪費資源,關於證據效力的問題,請見資安人《77》期〈成功搜證 從日常作業開始〉一文。 

法律只能解決部份個資外洩問題 加強教育訓練才是根本之道

台灣電話詐騙猖獗,犯罪手法不斷推陳出新,每隔一陣子,就會傳出民眾受騙上當的消息,究其原因乃是個資外洩情況太過嚴重,而新版個資法的通過,透過法規強制要求企業負起保護責任,降低個資外洩的風險,或多或少能達到降低詐騙案件發生率的效果。但這只是一個理想的烏托邦境界,惟有建立在「企業認真做好法規遵循」的前提假設上才能成立,回到現況來看,很多網購業者規模不大(平均員工數在5~10人間)、資源不足,即便有了「無店面零售業個人資料檔案安全維護計畫」標準草案,可能還是不知道要怎麼做。

根據平台供應商Payeasy、樂天市場、與Yahoo!奇摩等業者的看法,網路商店業者最主要的問題主要在於資安意識不足,導致內部有很多不安全的作業程序,Payeasy資訊服務處系統服務部 經理侯冠宇指出,最常見的情況是將帳號密碼寫在桌面或白板上,再不然就是同事間互相傳遞,店舖支援部部長陳青森表示,一來為求作業方便,二來則是業主根本沒有想到可能有人會竊取客戶個資謀利,導致讓員工共用一個帳號密碼變成常態。

另外,網路銷售講的是速度戰與曝光量,開店通路求廣求多,業者可能同時在A、B、C不同平台上開店,再向外部採購便宜的進銷存系統,要求消費者在平店下單後,再到進銷存系統登打訂單與配送資訊,甚至自行架設購物網站,這些系統通常都是委外開發,背後也都潛藏了極大的資安風險,反正系統能用最重要,安全品質則是另外一回事,詳細內容請見《資安人》72期〈詐騙電話接不停 網拍、網購平台漏很大〉。

如果要改善這樣的狀況,政府應該加強資安觀念的宣導與教育訓練,讓資安變成網路開店業者的通識課程,而不是高階主管或資訊人員才瞭解的專業術語,最重要的是從實務面出發,讓網路開店業者知道如何用很簡單的方式做好資安。

Yahoo!奇摩電子商務維運部營運副理陳哲煜認為,網購店家面對資安課題,通常會希望了解以下幾點:
1.個資法具體內容及應盡責任,是否有可依循的規範。
2.如何善盡善良保管人之責,如何評估應投入的資安建置及維護成本?誰可以提供適切且可負擔的資安解決方案。
3.若發生資安事件,店家需要承擔哪些風險,誰可以提供即時的協助?該如何緊急應變,又該如何進行舉證,誰來裁判?

企業因應新版個資法有兩個重點,其一是強化個資保護能力,其二則是做好舉證準備,前者或許需要一段時間去評估或進行教育訓練,才能看得到成效,但關於記錄留存這件事卻不需要,只要思考上述所提留存記錄的措施,有哪些已經存在於現行作業環境裡,例如:開啟原本關閉的系統Log功能,之後再逐步補強、擴充記錄留存的廣度,如果什麼都不想做,一律抱持等到新法正式上路或有賠償案例再來做的想法,最後吃虧的還是企業自身。