法務部調查局於今年7月宣布,有網路罪犯集團,在大型暗網市集大量「收購」台灣民眾個資,涵蓋身分證字號、手機號碼、社群網站存取權限,以及多個知名電商網站的帳密資料,嚴重侵害我國民眾的個人權益及網路身分安全。經美國情治機關通報我國調查局後,於日前予以偵破並逮捕嫌犯。
消費者個資與交易資訊外洩風險
網路使用者若想知道自己的「個資曝險」程度有多高,只要打開Chrome瀏覽器的設定,使用「Google密碼管理工具」中的「安全檢查」,就可以一覽自己在許多電商網站的密碼是否遭到外洩。只要是常使用網路購物的民眾,通常查詢結果都會令自己怵目驚心。
電商業者一漏再漏,消費者個資與交易資訊外洩的原因,通常來自便宜行事的心態。例如,近年有知名業者將客戶訂單資料存放在雲端,未設定存取的控制措施,且敏感資料亦未有隱碼機制,導致有心人士,在不需要任何專業駭客技術的情況下,就能輕鬆存取完整的客戶資料。此外,還有電商業者將購物車系統委外開發及維運,結果委外廠商因系統漏洞遭到利用,導致購物車中的資料一併被竊取。經行政調查後,主管機關發現該電商業者與委外廠商所簽訂的合約中竟未約定對委外廠商個資保護措施進行查核的事項,且也未實際進行稽核,也就等同將「個資管理責任」連同系統,都一併「委託他人」了!
企業未落實個資管理需面對的潛在風險
主管機關針對過去違規業者,以未落實《數位經濟相關產業個人資料檔案安全維護管理辦法》等規範進行處罰。而2024年企業因違反《個人資料保護法》被主管機關裁罰的案例及罰鍰,也遠高於過去。《個人資料保護法》修正案已於去年6月通過,若違反規範的相關業者,將面臨「老闆未盡防止義務一起罰」、「提高金額處罰」、「檢查違規就罰」及「按次連續處罰」等四罰連發的強監理環境。企業若未落實個資管理責任,除了個資遭到外洩的當事人受害外,企業主、企業本身及相關產業鏈廠商,都有可能因為疏失而遭受駭客勒索、消費者求償以及面臨主管機關裁罰等巨大損失。
分析近期台灣網路多起行政裁罰內容,一般業者常見疏失可分為內部個資管理、委外管理與事件通報等三大層面,如「個資盤點內容不完整」、「合約未訂定個資委外權利義務條款」、「未對委外廠商進行查核」和「個資外洩事件發生後,未通知當事人或通知當事人之內容未盡明確」等,值得業者持續關注並強化。
傳統個資「減量降險」方式也需與時俱進
過去為減少個資外洩的曝險危機,電商業者除一般的資安技術措施外,經常使用「減量收集與儲存」的手法,以降低風險。但依據最新打詐法規的「身份確認及資料保留」義務,傳統「減量降險」的實務方法將需調整。
在全民打詐的高度共識之下,為防制及打擊詐騙危害,預防與遏止不當利用金融、電信及網路從事詐欺犯罪的《詐欺犯罪危害防制條例草案》已於今年7月由立法院三讀通過。草案規定,第三方支付服務應強化確認客戶身分,並應保存相關資料及交易紀錄至少五年,若業者未依限保存資料或交易紀錄,情節重大者,可處新台幣一千萬元以下罰鍰。新法亦規定,網路廣告平臺業者、電商業者及網路連線遊戲業者,應保存用戶註冊及確認身分相關資料至少五年。新法的通過,也代表未來業者在「個資保存的必要性」、及「個資保護的安全性」兩項要求,都將沒有迴避的空間,兩者必須兼顧。
以零信任創造新信任電商環境
實務上,為確保消費者個人資料安全及因應未來主管機關高強度的主動稽查,除了基本的防毒防駭系統外,業者應考慮導入零信任架構、資料盜失防護(Data Loss Prevention-DLP)等進階機制,確實監控資料庫活動,以即時發現異常存取行為與網路流量。管理流程上,建議除依主管機關個人資料檔案安全維護計畫,還可參考國內外資安標準,訂定兼顧數位應用需求且符合個資保護要求的措施,讓駭客或其他有心人士「進不來」企業內部、「找不到」個人資訊、「看不懂」機敏資訊,更「帶不走」客戶資料,以高標準來管理客戶資料。
(本文由KPMG安侯建業網路暨電子商務服務團隊主持會計師陳宜君、顧問部營運長謝昀澤及網路暨電子商務服務團隊經理趙慶宏/提供)