新法緊急上路救火
2023年第三季因網路購物詐騙事件較去年同期大增38%,共有超過百家網路業者曾發生個資外洩事件,知名網購、外送業者都面臨隱私威脅。有網路服務業者將客戶個資上傳雲端後無設置權限控管,發生網路使用者只要點選連結網址,即可瀏覽雲端資料庫個資的案例。而涉及個資外洩的業者,因未有明確違反既有個資法事證,主管機關亦無其他法源可參考,受到裁罰比例與額度都非常低,與民眾期望有很大落差。
為回應民眾對於個資外洩的憂慮及強化對主管機關的監管,由數位部所頒定的「數位經濟相關產業個人資料檔案安全維護管理辦法」即將上路,明訂綜合性電商及第三方支付等業者須於3個月(即113年1月)內訂定安全維護計畫。
為促使非公務機關投入資源以落實個資保護之責任,並推動政府反詐欺政策。「個人資料保護法」修正案於今年立法三讀通過並6月2日起生效,針對一般民間企業對消費者的個資管理,採取「提高金額處罰」、「檢查違規就罰」及「按次連續處罰」,彰顯政府對業者「主動監理」的積極管理作為。今年已有許多電商業者受到數位部行政檢查,更有數家知名業者,受到行政裁罰。未來主管機關將持續進行,尤其針對個資數量較多、曾發生個資外洩事件或被通報為165平台上的高風險業者(賣場)業者。
企業將面臨高額罰鍰、信用危機、業務被迫中止、破產的系統風險
國內企業一旦違反個資安全維護義務會面臨高額罰鍰,最重可至新台幣1,500萬元,屆期未改正者並可按次處罰。如不幸發生個資外洩,也將造成企業的信用危機,例如2018年3月《紐約時報》披露的「劍橋事件」,8000多萬個Facebook用戶個資被賣給了劍橋分析公司(Cambridge Analytica),用來預測和影響選民的投票。Facebook在一天內市值暴跌超過1000億美元,創下美股史上最大單日跌幅。在個資外洩事件曝光後,網路上蔓延刪除臉書的號召活動。近年來,國內各大公益團體被駭客盯上,捐款資料屢屢外洩,部分捐款人因而選擇停捐,對長期仰賴捐款的非營利組織而言是極大衝擊。此外,也可能發生業務被迫中止,例如今年5月歐盟監管機構表示,稱Facebook母公司Meta將歐盟用戶的數據傳輸到美國,侵犯了隱私權,勒令在10月前停止將用戶數據傳輸到美國。去年Meta在英國也面臨新官司,被要求停止替「定向廣告」(targeted advertisements)收集個資,此舉已觸及Facebook的商業模式核心。在國內,國發會提醒各部會,除了可對違反個資法的企業處以罰鍰外,我國個資法第25條第1項也有類似的強制措施,主管機關可禁止企業蒐集、處理或利用個人資料、刪除經處理之個人資料檔案等行政處分,此對企業營運可造成重大衝擊。「劍橋事件」使劍橋分析公司失去大量的客戶和供應商,無法繼續營運,宣布結束營運並聲請破產。
個資不是氣體,但一洩永不回
除修法與政府監管外,「業者有效的個資保護落地措施」及「民眾的資安意識」為降低個資外洩危機的兩項關鍵因素。過去業者普遍存在「只要查不到是我的主機外洩證據就沒事」、「萬一個資外洩,還可以透過限期改善的法條保護傘事後補救,且處罰很輕」的思維,多數消費者也有「我怎麼可能會被詐騙?」的僥倖心態。
檢視近期台灣網路多起個資外洩事件,一般業者常見疏失為人員、系統與流程三大層面,如系統漏洞遭到利用、防火牆及其他雲端服務安全設定錯誤、內部管理人員或委外廠商疏失或遭社交工程入侵電腦等。近期業者受罰常見原因包含「未制訂完整的安全維護計畫」、「未設置個人資料管理專責人員」、「未定期清查確認所蒐集、處理或利用之個人資料現況」、「對於風險較高之流程未採取矯正措施」、「委外廠商監督管理未落實執行」、「個資外洩事件發生後,未通知當事人或通知當事人之內容未盡明確」等多項缺失。
業者這樣做才有效
實務上為確保消費者個人資料安全及因應未來主管機關高強度的主動稽查,除了基本的防毒防駭系統外,應考慮導入資料盜失防護(DLP)等進階機制,確實監控資料庫活動,以即時發現異常存取行為與網路流量。管理流程上,建議依主管機關個人資料檔案安全維護計畫,參考國內外資安標準,訂定兼顧數位應用需求且合於個資保護要求的措施,讓駭客或其他有心人士「進不來」企業內部、「找不到」個人資訊、「看不懂」機敏資訊,更「帶不走」客戶資料,以高標準來管理客戶資料。
目前國外已有大型電商結合手機現有的指紋、臉部掃描等生物識別認證方式,登入無須再輸入傳統的帳號密碼,減少消費者需記憶多組高複雜度帳密及定期更新的困擾,可避免密碼重複使用的盲點。相關技術需與電商業者的現有網站與APP進行更深度的整合,「免密碼又安全」的新技術值得業者與網路使用者的期待與關注。
使用者安全意識才是個資把關的核心防護盾
為鞏固個資的防線,使用者的資安意識是維護自身隱私的關鍵。KPMG提醒消費者應隨時提高警覺,未經確認不輕易提供資料、不開啟來路不明的電子郵件及附加檔案、不登入未經確認的陌生網站,避免落入社交工程陷阱。近期詐騙手法不但專業、多樣且貼近生活時事,如雙十一購物季、旅遊季,或特定商品的熱銷季等為詐騙集團的大忙季,民眾應多關注165反詐騙網站所提供之最新詐騙宣導資訊。
(本文由KPMG安侯建業網路暨電子商務服務團隊主持會計師陳宜君及顧問部營運長暨網路暨電子商務服務團隊協同主持人謝昀澤/提供)