於99年7月,《資安人雜誌》上曾經出現一個有趣的話題,內容探討新版個資法通過後,對於經營網路平台的業者,及其於網路開店之賣家,若因駭客入侵造成資料外洩事件,誰該負起責任?眾多讀者與網友的答案分歧,是因為電子商務營運平台與賣家營業型態的現況很多元,對於個資安全的權責,一時半刻很難於彼此合約中說明清楚。另外平台與網路賣家多對多的關係、電子商務上下游供應鏈資訊流交換頻繁且複雜,在在都成為責任歸屬的難題。
一般而言,平台業者與網路賣家,甚至是其後諸多商品供應商,對消費者而言,都是廣義的賣家;從個資法的角度看來,上列單位也都是個資保護的「規範主體」,也就是有可能接受消費者提出個人資料損害賠償主張的對象。常有賣家們一廂情願的認定,個資法是針對網路平台業者,資安與個資保護是大企業才玩得起的事,以自然人為主的網路賣家,或以中小型企業為主的電子商店不會受到處罰!且消費者是信任平台品牌來購物,個資外洩有平台業者的大傘保護!其實這些都是錯誤的概念。
至於何者需要真正負責,或免除法律責任?依據新版個資法的規範精神而言,可從「舉證」與「釐清責任」正、反兩方面思考。如何「釐清責任」?通常這是法律訴訟時,委託律師的高度法律專業工作;而事前準備並提供的個資保護良善管理證據,則是電子商務賣家們平時可以、且應做的功課。也就是說,當如果不幸有客戶個資外洩的事故發生,要涉及到損害賠償或其他刑責時,這就很可能是一場個資管理競賽,一場比較電子商務供應鏈中,誰可於客戶個資生命週期中的每一個環節,提供最充分的安全維護施行證據的競賽!
談電子商務個資管理 先了解客戶個資生命週期
要在電子商務產業這樣一個日新又新,平台商與賣家們每時每分在比成本、比價格、比行銷方案、比送貨速度、比產品多樣、比銷售人氣的高度競爭商業環境,可以有效率的做好客戶個資保護工作,就必須要對個資管理的方向與範圍有正確的認知。要從業者本身所處理的客戶個資生命週期,或資料流程看起(如圖1),在個資生命週期的每一個環節,都盡量做到合法且安全,方為電子商務個資管理的正道。
圖1、常見之電子商務業者客戶個資生命週期
.JPG)
資料來源:KPMG電子商務資安小組,2011/1。
許多中小型賣家常以為,買了一套防毒軟體裝在電子商務訂單處理的PC上,應該可以做到個資法所謂的「安全措施」?沒有人可以否定防毒軟體對於個人電腦防止惡意程式感染的重要性,但是防止電腦中毒這樣單一的防護方式,很難作為防止客戶資料檔案遭盜失的充分管理證據,更無法說明尚儲存於業者內部其他儲存媒體的客戶交易資料,及列印出的訂單或配送單的紙本資料等這些個資法中的「保護客體」,其相關安全措施的完整性。
以Baseline為基礎 以Better Practice來強化
多數個資管理專家同意,單一的安全方案,無法解決所有個資問題。個資管理工作,必須同時注重個資生命週期中的管理面與技術面,從人員、流程與工具不同方法著手。更沒有人可以否定,一個範圍完整且落實PDCA管理循環的資訊安全管理系統(ISMS)或個資管理系統(PIMS)、一張有第三方公正機構認可的國際資安管理證照(國內電子商務產業常見的有ISO 27001、PCI DSS等)、一套自動化的個資檔案安控機制(常見的有DLP、DRM等)、具備應用層防護能力的防火牆(常見的有IPS或WAF等),或一套完善的資料庫加密與存取軌跡紀錄分析的工具,對個資生命週期的完整保護重要性。
然而,一套防護機能良好的盔甲穿在訓練有素的武士上,方會產生良好的防護效果,若穿在小孩子身上,就成了妨礙行動的累贅。對於國內以中小企業為主的電子商務營運商、網路賣家、網路商店與供應商而言,這些立意良好的個資管理制度或資安工具,可能會成為不可承受之重,亦使得以中小企業為主的電子商務業者覺得無所適從,反而使個資保護工作停滯不前。
因此一套適用的電子商務資安與個資管理機制,應同時考慮對於電子商務業者「控管的完整性」與「施行的可行性」。依據電子商務業者的型態與規模分類分級,將個資相關保護法規與電子商務資安風險所必要的安全維護措施,彙整形成電子商務業者的「個資保護Baseline」;另一方面也可參考國際資安及個資標準,及現有技術方案,提供業者可近一步積極展現個資管理作為的「個資保護Better Practice」。此兩種策略交叉應用,「以Baseline轉化繁雜的個資法律條文,作為電子商務業者個資保護的基礎」、「以Better Practice取代Best Solution觀念,鼓勵業者積極強化個資保護作為」,應可以協助電子商務業者,循序漸進的進行個資保護工作,且進一步提升整體產業的交易安全,讓消費者可以在信賴的基礎上進行商業活動,持續促進電子商務的蓬勃發展。
電子商務個資保護基礎做法-Baseline
一套可供電子商務業者參考,配合個資生命週期的電子商務個資保護Baseline,應要綜合考慮中小型電子商務業者的營業型態、資源、資訊設備應用範圍,方能落實。以下為電子商務客戶個資保護做法的參考示例:
一、 蒐集階段:
-
基礎個資清冊建立:盤點並確認所蒐集之個資檔案名稱、資料持有之依據或特定目的所蒐集之個人資料類別、個人資料範圍、有否為醫療隱私相關之特種資料。個資檔案分類方式,可依據客戶資料屬性、機敏程度、處理流程、或資料庫檔案結構分類。
-
個資盤點內容:盤點並確認所蒐集個資檔案的內部保管單位、資料來源管道(如網路直接訂購、傳真訂購等)、主要資料流程(如金流資料由財務單位負責處理、一般會員資料交由客服中心負責處理、資訊單位負責資料加密與備份等)、個資保護專員、儲存位置/形式(如訂購資料以電子型式存放於交易資料庫中,客戶意見反映與處理資料以紙本型式儲存於檔案室中)、存取權限與方式(詳下一項目)、預定銷毀方式、外部資料交換方式與對象、相關應用系統、委外資訊處理廠商、對應安全維護計畫。
-
資料分級存取授權:常見的電子商務客戶資料,依據資料來源、客戶隱私衝擊程度,與相關存取授權限制示例,可以分為「基本客戶(會員)資料」、「近期客戶交易資料」、「進階客戶資料與交易歷史檔」、「交易金流資料」、與「客戶特種資料」等數類,如下圖2所示 。
.JPG)
-
除一般存取授權外,電子商務業者對於授權範圍的考慮,除一般的查詢與異動權限區別外,也應該依據實務需求進行更細緻的存取管理,採用「最低權限」原則。以客服人員查詢信用卡交易資訊為例,第一線客服人員因與客戶溝通之需求,可能需要知道近期交易客戶所使用信用卡的發卡行及卡片種類,但客服系統查詢結果,不應揭露完整的信用卡號,甚至於信用卡到期日及驗證碼。
-
資料保存期限:對於客戶之不同內容之資料檔案,電子商務業者宜預先定義其保存與使用期限,並適當於交易規範或客戶隱私政策中,預先揭露予消費者知情。並再特別針對有會員期限之會員資料(如年費會員)、每一次電子商務交易之詳細金流紀錄及交易歷程等內容,經綜合考量法令法規、儲存成本、儲存風險與業務需求後,明確定義資料保存週期與銷毀方式,且尊重消費者依據消保法與個資法所取得之各項資料異動與刪除的權利。
二、
處理階段:
無論是電子商務平台、線上商店或供應商,針對客戶資料的處理流程,至少應做到下列基本原則:
(1)應為電子商務作業專用,不得為家用及其他娛樂需求共用。
(2)設有作業系統使用者密碼,且至少須為6碼以上。
(3)安裝有合法的防毒軟體與個人式防火牆,並正確設定且定期更新特徵碼。
(4)依據系統廠商建議,定期執行作業系統弱點與重要應用程式弱點修補。
-
直接用於電子商務訂單處理之電子郵件帳號應為專用,避免與私人信箱共用。
-
定期清查資料庫、檔案伺服器、網路共享資料夾、個人電腦與移動式儲存媒體中資客戶資料檔案,並銷毀不應持有或不需要之資料。
-
任何儲存或備份於資訊設備與可攜式媒體(如光碟片、隨身碟等)之客戶資料檔案,應至少進行檔案基本加密防護,如採用文書處理軟體本身之檔案加密機制、壓縮工具加密機制、資安廠商提供之檔案加密機制,或採用本身具備加密機制之可攜式媒體(如加密隨身碟等)。
-
隨時尊重客戶隱私,不應於商品託運單及託運包裝外,揭露客戶身分證號碼、商品訂購項目、發票內容及付款方式。
-
客戶訂單的紙本資料,與存有客戶資料之資訊設備,須有基礎門禁設施,不可置於無人看管之區域。
-
若採用無線網路,應採行適當的使用者認證與傳輸加密機制。
-
不得回收含有客戶個資及其訂單資訊之紙張進行再利用。
-
非經授權的特定人員,不得具有客戶個資之批次處理權限,如委外廠商擁有資料庫管理者(DBA)權限、或公司全體人員(含工讀生)等皆可匯出大批個資檔案等行為。
-
若備有客戶資料庫管理系統,則應另有網路防禦機制(如網路防火牆等),不得直接置於網路公開服務區,或其他無適當網路安全防禦之區域。
-
所有接觸客戶資料之員工,均應知悉公司內部之客戶資料保護準則,並簽署保密協議。
三、利用階段與外部傳輸時:
-
非經客戶同意,不以客戶交易資料進行交叉銷售,或擅自轉傳。
-
若於網際網路採用供應鏈管理系統、電子郵件與其他電子資料交換方法傳輸客戶資料,應有合宜之加密方法,禁止明碼傳送。
-
電子商務業者之供應鏈客戶資料處理作業,所採用之供應鏈管理系統、電子商店後台管理系統等,應具備基礎存取控制功能、留存相關存取紀錄,並有適當網路防禦機制。
-
參與電子商務供應鏈資料交換之業者,彼此應簽訂資料交換安全協議,律定資料交換方式、供應鏈系統使用規範、資料使用範圍、資料保存方式、資料保存期限、保密協議、資料保護責任歸屬,及資料盜失事故通報方式等項目。
電子商務個資保護進階參考做法- Better Prcatice
因應電子商務企業的風險管理需求,很多企業已經開始、或準備部署進階的客戶交易安全及資料保護相關方案,通常這些「企業級」的方案,無論管理類或者技術類都所費不貲,但若誤信了「有安裝有保佑」的錯誤觀念,卻沒有正確與適當的部署方式,不但沒有事後舉證的功效,可能也賠上了不少的建置及維護成本。
以眾所皆知的ISO 27001資安管理方案,與存取軌跡記錄工具部署為例,若某電子商城投資了巨額的人力物力,卻僅以資訊機房為制度範圍,或只針對電子商務交易應用系統及資料庫的使用者存取軌跡佈建了記錄管理的工具,但忽略了完整的個資生命週期管理,與最重要的系統管理員及資料庫管理員的存取記錄保全,使得這些方案的功能與效果,將會被大大的打了折扣。下表1為常見的個資保護進階技術方案,及其部署時,應注意的事項。
|
個資保護進階方案
|
應注意事項
|
|
完整個資生命週期管理方案
|
|
國際資安與個資管理制度(電子商務產業常見有ISO 27001、BS 10012,與PCI DSS等) :提供一套完整的企業資訊與客戶資料保護制度,透過PDCA的管理循環及過程中的安控紀錄,可提供企業個資保護的良善管理證據
|
-
一般資安管理制度實施範圍多僅為機房或資訊單位,個資管理制度之範圍通常涵蓋整體電子商務業者之客戶資訊流,因此須注意電子商務之客戶服務、金流與物流作業,是否同時落實相關規範。電子商務業者可考慮保留現有制度驗證範圍,但參考個資生命週期,擴大實施個資風險處理計畫。
-
過多的管理制度,對於電子商務業者是極大的負擔。因此適度整合ISMS與PIMS,於資訊資產盤點中加強個資盤點、於資訊資產風險評鑑過程中考量客戶隱私資料的衝擊與風險,並採行對應的個資風險管理計畫,另於資安組織及資安事故通報流程中,納入隱私保護的權責及符合法令規範的通報機制。
-
目前知名個資保護標準尚多為外國之國家標準,對於本土個資保護法令法規適用性,引用時必須進行調整。
|
|
事前預防方案
|
|
技術弱點方案:檢測檢查系統層或應用層之技術弱點,預防弱點遭受惡意程式攻擊
|
|
|
檔案加密方案:以檔案加密方法,防止重要資料遭不當揭露
|
|
|
資料庫加密方案:針對存於資料庫管理系統之資料進行加密,防止重要資料遭不當揭露
|
|
|
網路應用層防護方案
|
|
|
事中防護與處理方案
|
|
資料盜失防護方案:透過格式比對、關鍵字過濾,及特徵辨識等程序,檢查並保護機密資料
|
|
|
事後追蹤與矯正方案
|
|
重要設備存取紀錄蒐集與分析方案:提供事後對網路、主機與資料庫存取軌跡之紀錄,利於追蹤資安與資料盜失事故
|
-
紀錄蒐集範圍,宜考慮涵蓋電子商務交易平台 (應用系統、主機系統,與重要網路節點),及客戶與交易資料庫紀錄。
-
紀錄蒐集內容,宜考慮可還原重要資安事故(如疑似駭客入侵事故)之必要內容。以電子商務交易系統應用程式為例,應用程式中,至少應有經由前後台進行存取的帳號、時間與存取標的等紀錄。
-
相關存取紀錄,應保存一定期間,建議通常為3個月以上。
-
各重要主機及實體安全監控系統等設備,應有自動校時機制。
-
宜強化對各項紀錄之分析能力,以預防資料盜失事項,或避免重複事件發生。
|
與其「挫咧等」,不如Do Something
即使新版個資法施行細則尚在擬定,電子商務業者今年亦已經被主管機關指定適用於舊版個資法及其施行細則,沒有其他產業「等施行細則通過再說!」的緩衝期,因此很多電子商務業者,尤其是中小型商家,莫不「挫咧等」。
其實,在了解了整體個資保護的生命週期,與其基本的控管要點後,電子商務業者應可發現,要「做好」個資管理的工作,是需要足夠的時間及資源;但是要「做到」一些基礎的個資保護工作,強化客戶資料保護的作為,並不是遙不可及的。
而電子商務業者個資管理的第一步就是必須破除IT專業迷思,不讓資安技術的專業高牆,掩蔽了管理的證據力。要講法官、一般企業管理者與消費者都聽得懂的語言,做他們都看得懂的事,要讓保障客戶隱私成為電子商務的基本服務能力。而要達到這樣的目標,先從最基礎的個資生命週期的安全維護管理工作開始做起。
(本文作者現任職於資安顧問服務公司。)