因應個資法,大家都有進步 駭客也是
就在截稿前,已經被我們記者寫了3年的個資法,傳出消息可能會在10月1日上路。從今年1/1到7/1,再到10/1,這個日期不知道會不會還是放羊的孩子。畢竟上路日期牽動著許多仍遲遲不為所動的業者。
但其實,在上個月剛結束的資安展上,我看到許多連續三天凡是主題與個資有關的研討會場次就去報到的資安人,他們告訴我希望能協助取得講師的投影片,這些資料對他們來說很重要,因為法還沒過,老闆預算還不肯花的時候,什麼個資盤點、管理制度都須要自己先著手。萬一突然宣布實施日期的時候,也好跟老闆報告還需要多少外部資源的協助。
這樣的族群應該還不少。今年,與去年相比,許多企業至少開始了第一步,已經成立跨部門個資保護小組,雖然各小組的主要工作計畫可能還沒被往下確實定義。或者去年已經編列預算,只是法還沒實施就還沒執行。往好的方面看,這樣看來至少都有進步。甚至連主管機關的要求也有進步,前陣子金檢開始例行性查核的時候,就聲明個資是查核重點。但主管機關本身都還沒制定頒布出管理辦法,就告訴大家會查與個資有關的部分,這樣的進步讓業者有點不知所措。
不管如何,當大家都有進步的時候,也別忘了,犯罪/駭客集團的目標式攻擊手法比起過去更是更勝一籌。消費者對詐騙電話有警覺,他們就更進一步鑽研目標對象的漏洞,以取得更精準的交易明細來詐騙。儘管駭客進來的方式每每不同,但網頁安全的道理原則不變,不是你的程式寫的有問題,而是你應該把每個資料/圖片input的欄位好好把關(詳見本期X頁)。
今年資安展開幕典禮上,張善政政委提到個資法不應該訂定太嚴格的標準,個資保護應該要形成業界自發性去做、良性競爭的驅動力。此話甚是,然而,話說回來,消費者對自己的個人資料、隱私的保護意識也要進步,才會回過頭來要求廠商。否則,那些資料外洩的購物網站,消費者一樣買單,廠商也會依然故我。