觀點

個資便宜信賴無價之(二)連接點與線,政府該串起EC防護面

2010 / 04 / 27
吳依恂
個資便宜信賴無價之(二)連接點與線,政府該串起EC防護面

政府關注電子商務安全最主要的考量有3個面向經濟不景氣電子商務益發重要個資外洩頻傳影響消費信心網路安全性不足動搖整體市場的安定。目前經濟部商業司所規劃的行動方案,均規劃自99年起,分為4年,逐年加以推動。

 

內容包括了「商店內部」的個人隱私管理問題,以及「各個交易環節」的資訊安全風險。 

 

不過也有人擔心政府單位在推行策略時多少難免流於結果論,也就是只透過表面指標、數字來看KPI,實際上更重要的是導入資安經驗的過程,並不能只是看經過多少測試、多少個標準等,更有網購平台業者發聲,認為政府應該與產業多溝通、多對話,否則政策的可執行度將會大大降低。

 

政府應整合資源 擔任跨平台溝通角色

從現況問題來看,由於網購平台間牽涉主體眾多,因此跨主體間的協調政府就應介入協調。例如:網購平台業者對主管機關-應有通報機制,發生個資外洩幾筆時就應該主動通報?主管機關對大眾媒體-偵查可以不公開,但結案之後是否應讓大眾知道事件始末,給予民眾知的權利,學習的機會?網購平台業者對消費者-一但發生個資外洩事件,應有一套標準應變流程來面對消費者,傳達清楚訊息使消費者安心,並且提醒應注意事項,避免有人因個資外洩而受害。網購平台業者對公司內部-發生事情時除了通報主管機關、告知消費者,更也要對內部員工傳達想法,避免不必要的恐慌,橫生枝節。網購平台業者對協力廠商-在網購平台業者、供應商、物流業之間,應該依照自身條件,訂出一套適合的規範向主管機關呈報,目前狀況看來是誰具有商業優勢就聽誰的,並不周全,也沒有一定的標準。

 

 

資料交換保護機制應為優先

由於行動方案為求架構齊全,包含許多層面,但我們試著從現階段的急迫性問題,來對應在行動方案中各方面的策略。可以考量到的是從資料一進入到購物平台,到中間與其他合作廠商接觸、交換,最後,資料的消滅等。在購物平台、供應商、物流業等相關的主體間,凡牽涉到個人機敏資料的資料交換過程中,應有一套完善的保護機制,並經過主管機關或認驗證組織的稽核、審視。

 

另外,一名零售網購業者談到,政府的工商憑證還是用在B2B或是內部員工為主,光是在企業之間的應用,都還存在著同業間是否能夠信任的問題,若要應用在B2C的電子商務交易就更加困難,此外像是自然人憑證,由於也包含了很多個人資訊在裡面,消費者是否願意信任購物平台,將個人的憑證交出去?以及該購物平台也要恰好有相關憑證機制的導入,否則憑證不普及,民眾使用意願也會是個很大問題。

 

平台主體間合作之資安標準建立

「供應商不一定就是弱勢,例如有些熱賣產,只有他們家有賣,他也不一定要聽平台業者的話。」「當然啊~平台業者是大宗客戶,當然要符合客戶需求。」

 

網購平台業者、供應商、物流業之間,各自存在著微妙的合作關係,一方面要兼顧自身成本問題,一方面又要避免掉各種可能的資安漏洞,但是照誰的規矩走?誰的標準比較好?A電子商務資料傳輸方式是經過資料篩選之後才傳給協力廠商。B電子商務則設定權限、鎖定電腦IP位置,請對方自己過來抓資料。要達到資安的要求不一定要花大錢,卻有各式各樣的管理方法跟流程,目前看起來是看誰有優勢就聽誰的,沒有一個標準也不夠嚴謹。

 

在這裡,行動方案裡對應到的是-環境建構面,推動網路交易平台交易機制,其中涵蓋建置電子商務供應商、物流商信賴安全標準。

 

業界對於政府推動電子商務安全計劃多持正面態度,都認同並且願意參與通過驗證,只不過,如果一個標章沒有權威的公信力與執行力,標章對民眾來講所能起的效用就不大。政府欲推動電子商務供應商、物流商信賴安全標準,但是看看現今企業的狀況,較具規模、組織的購物平台業者,已經開始建議協力廠商,希望處理該平台資料的系統、部門,至少要可以通過資安的國際標準要求。如果民間的動作已經比政府策略快,則政府欲推動信賴安全標準是否還有其意義呢?

 

重點藏在計劃裡 資安危機應變處理與專責單位

若不幸發生個資外洩事件,事後,應該一套標準的作業流程,如常金蘭也提出建議,對於資安危機的處理機制應設立標準作業流程,主要可分做幾個層面:資訊端、個案追蹤、客戶端追蹤。如果政府可以針對這不同的層面規範出標準作業流程,那麼當企業發生資安事件時,也可透過這些標準做出相對應的措施,而不至於不知所措,甚至未能將經驗累積就草草結案,個資外洩有時候會重複發生在同一台電腦、同一個人,持續的追蹤也可以繼續關注、找出事情的關鍵。

 

從行動方案的架構裡來看,安全顧問服務、安全服務聯盟,似乎是一個資安危機應變處理的組織。通報平台或許可以扮演電子商務產業界專責資安主管機關角色,來協助產業處理資安危機並做為與檢調單位之間協調溝通單位。

 

政府需時時與民眾、產業對話 貼近現況

而全民的資安認知,包括消費者、較無資安意識的中小企業(或供應商)等,則需要長期規劃宣導。Payeasy公共事業推展部協理陳中興以過去的經驗建議,反詐騙的資安宣導應該要更積極,要與會員保持對話,會員會隨時告訴你最新狀況EC業者就可以做即時楚哩,甚至可以將詐騙集團的話術放上網頁,讓消費者一看到、一聽到就有所警覺,他認為要堅守消費者到ATM的最後一哩,正是網購業者零詐騙達成率的一個指標。

 

推廣資安意識需長期耕耘 

商業司提到,個人使用者的資安意識依然是一個廣泛且根本性的問題,消費者可能自身被木馬病毒或相關惡意程式所入侵這樣不管電子商務店家或平台如何重視資安個資仍會遭竊僅靠業界的力量是不足夠的未來建議網購業者應該要設置專屬窗口專門服務消費者的確認網站之服務內商業司也鼓勵業者在消費者交易成交當下在頁面上顯示防詐騙警語。未來商業司擬與內政部警政署充分合作,研究新鮮、易懂、易記的廣宣口號及說明內容,並有效推廣網購業者採用,使消費者遇到新的詐騙話術或狀況亦能警醒,並且也將會與內政部合作宣導,舉辦一系列的資安研討會,再配合媒體的廣告宣傳來加強民眾認知。

 

政府應加速制定訂有統一資料傳遞標準

近來筆者參加了不少商業司舉辦的活動從零售業資安論壇到產業安全認證技術的研討會發現一個目前商業司的推動重點著重於零售業資安並不一定為EC業者),以及企業的身分驗證。零售業資安的動作,可將資安推動到中小企業裡去,包括協助改善網頁漏洞、檢視系統弱點等,主要是在中小企業的體質裡建立資安基礎,而後者則透過廣發工商憑證,幫助了B2B的穩定發展,讓各企業之間的供應鏈發展可以趨於穩定,獲得彼此的信任,縮短作業流程等,這對於國內商業活動的推動多有所助益。只不過,若以推動電子商務安全的角度來看,這些推廣會議似乎對於網購產業來說僅是開始,幫助很有限。

 

綜觀該行動方案的計畫雖然已經涵蓋諸多層面,但在一些關鍵點上依然停留在計劃階段,看得出來商業司尤其對於推動「個人資料管理制度」有較清楚的計畫,只是,民間企業為求生存早已邁開資安推動的腳步,找顧問、要求上下游配合,檢討購物流程、審視供應商、稽核物流業,導入國際資安認證等等。中大型企業或許還有人、有錢、有概念、有資源,但是綜觀產業界狀況,這一切都還不足夠,中間依然有許多需要政府單位來串連、溝通的部份,而還沒有發生事情,或已經發生事情卻無力解決的中小型網購業者,以及個資被外洩卻又無力無奈的消費者,因而被詐騙的受害者,他們的聲音,誰來聆聽?他們的問題,還在等待解決。

 

電子商務安全的根本問題在於資料於三方-貨物供應商、平台、物流業者,傳遞間易造成個資外洩,但目前來看,是哪方強勢其他就配合辦理。也因此,政府應加快速度,訂立統一資料傳遞的安全標準,提出更具體、詳盡的因應計畫及罰則。而在個人資料保護法通過之前,商業司是否又可先指定這個部分適用個資法呢?

 

如同開頭所說,由於電子商務主體牽涉的安全領域眾多,從法規到技術層面,從個人意識到企業規範,其實並不容易。政府能夠主動重視實在是相當值得鼓勵,只不過,所謂「擒賊先擒王,打蛇打七寸!」每個層面對資安推動都是相當重要的,也當然每一個部分都要動起來,只是,在資源分配有限的狀況下,是不是還得把那些藏在各層面、各計劃裡的重點抓出來,釐清資安推動先後順序,方能事半功倍?