面對個資法 文件加密控管更重要

隨著雲端應用服務環境日臻成熟，愈來愈多的個人或企業，也開始將愈來愈多的資料，存放在透過網路可以隨時存取的環境中，其中自然不乏敏感的機密資料及重要個資。

由於個資被非法使用的頻率與數量，有日漸升高的趨勢，新版個人資料保護法在2012年7月1日上路後，希望藉由更完整的法令以及更嚴峻的處罰規定，讓企業能夠更加積極維護重要文件、防範個資外洩的事件發生，以避免當事人產生困擾及遭逢損失。

個資外洩事件層出不窮 防不勝防

但百密難免一疏，除了在今年2月Nokia發生個資法實施後，最大宗個資外洩事故，有150萬筆個資被竊，在5月份，中國信託網站的繳費中心也爆發重大個資外洩事件，不但直接從網站繳費項目下拉選單中，就能輕易瀏覽及查詢其他用戶的代繳資料，包括姓名、電話及手機號碼，出生年月日等重要個資。根據金管會接獲中信金的回報，受到影響的用戶有33,000名。

中國信託繳費中心網站發生個資外洩的原因，目前還在調查中，中信金表示，發生異常的是網路銀行「繳費中心」的常用帳號設定功能，這是專供客戶自行設定繳費項目及代號資料，和其他網路銀行的功能無關，也沒有承認有個資外洩，僅表示將主動通知受駭用戶。

中信金指出，不排除有心人士破壞，並向警方備案。中國信託更強調，已加強監控追蹤，以防止類似事件再次發生，另外也委託鑑識單位協助調查。

資安專家指出，如果是內部疏失，有可能是資料庫程式設計的問題，查詢資料條件過於寬鬆，導致使用者能查詢到權限以外的資料。而系統問題未能及早發現的原因，則包括系統上線前的測試環節不夠嚴謹，案例不夠完備，企業未來應該要妥善制定好開發流程，才能避免類似事情發生。

目前已有個資遭到外洩的用戶表示，將會依法控訴企業未善盡用戶個資保管責任。根據新版個資法，企業一旦發生個資外洩事件，除需提供相關資料、紀錄，以說明內部確實提供完善保護用戶資料，發生外洩資料事件，每人每件依法可求償500到2萬元不等金額，最高求償金額為2億元。

文件加密可有效降低資料外洩風險

無獨有偶的是，全球最大團購網Groupon酷朋台灣，日前也傳出遭駭客入侵，所幸酷朋台灣及時發現，粗估約有一成的會員帳號密碼等資料遭竊，目前安全漏洞已修復，僅知駭客並非來自台灣，必須循IP進行追查，還須要一段時間，才能進行下一步的追查動作。

由酷朋台灣的案例更可看出，覬覦網站個資的駭客，可說是來自全球各地，而且愈來愈多的駭客，已經不單純只是展現實力或惡作劇而已，而是有意識的惡意攻擊，希望能藉此博取暴利。以酷朋台灣會員數多達380萬人為例，如果洩漏的是銀行帳號、信用卡卡號、或身分證號碼信用卡號碼等重要個資，就得面臨巨額賠償的壓力。

優碩資訊科技指出，企業面對個資法時代的來臨，除了應對個資法條文進行認知宣導及教育，並清查盤點企業擁有的個資檔案外，更重要的是，為了滿足企業對文件保護與控管的需求，必須結合兩大技術，分別為加密技術和DRM技術。加密可採用RSA、 AES對稱金鑰和非對稱金鑰加密技術混合運用的方式，將需要保護的文件加密起來，被准予的使用者才可以開啟加密文件，不相關的使用者則無法開啟加密文件。

此外，企業也可使用DRM(Digital Rights Management)技術，針對每份文件做到不同使用者分別授與不同使用權限，權限可細分為讀、印、存、寫、截圖和閱讀期間等，透過不同權限的授與，讓有權利對資料內容做處理運用的使用者，獲得較大的操作權限。

每份加密文件都必須要有一份專屬的文件政策，記錄可以開啟這份文件的使用者，以及開啟後的操作權限。當發現使用者試圖或有可能做洩密的行為時，管理者可隨時回收或更改權限，降低資料外洩造成的損害。以符合個資法要求，達到事前防範、事後減少損害與訴訟的目的。

做好文件加密及控管 企業方能取得信任

除了加密技術外，文件的控管也非常重要。優碩資訊科技認為，一套好的文件安控系統，在管理上要有一定的彈性與便利性。系統可將最高管理者的權限下放給各部門主管，讓他們去當所屬部門的管理者，分擔最高管理者的責任，另一方面，由於這些管理者對其部門較為熟悉，更清楚要如何制定和管理文件政策、要授權多大權限給其下的使用者、並可即時稽核文件使用狀況，達到分層管理的目的。

國家高速網路與計算中心副研究員蔡一郎指出，在當今的海量資料(Big Data)時代，主流的儲存媒體大多達到TB級以上的容量，透過雲端服務，可創造資訊服務更大的可能性，但如何提高客戶對於雲端服務的信任程度，是決定雲端服務成敗關鍵因素，其中針對資訊的保密與保全，是目前的主要的關鍵，企業必
更審慎的面對文件加密及控管的需要，才能在雲端服務及海量資料時代來臨時，取得客戶的信任。