自2012年10月個資法正式施行開跑至今已半年,業界一方面積極「備戰」之餘,一方面也在密切注意何時會出現令人聞之色變的高額團體求償訴訟案。日前台灣Nokia爆發行銷活動網站被駭客竊取超過百萬筆個資,雖足以符合個資法第34條,經20名以上當事人以書面授權,交由財團法人或公益社團即可代為提起團體訴訟,但迄今尚未有後續發展。
「不是不告,只是時候未到。」若參考鄰近先進國家日本在2004年通過「個人情報保護法(JPIPA)」後的經驗,精品科技資安顧問許祐福觀察,日本在新法剛施行初期,其實多數民眾普遍缺乏對法的認知,直到幾起網路服務商等爆發資料外洩,付出鉅額賠償金後,才讓民眾逐漸意識到此法下個人可主張的權益。
在個資法規範下,擁有大量個資資料的金融、電信、電子商務等企業固然首當其衝,必須謹慎因應,但中小企業同樣不可輕忽,即使營運業務的目標市場不是一般消費大眾,公司內部也必定有員工或商業往來對象的相關個人資料,同樣少不了保護措施。只是多數中小企業可投注在IT的預算本就不多,且常見未配置IT專屬人力,有時甚至是老闆自己兼任,面對法規遵循往往是有心無力。
成本考量優先於風險
思訊電腦台灣區總經理張振明觀察,許多中小企業主普遍認為,雖然個資法的相關資訊及相對應的管理工具非常豐富,但卻沒有一套統一的標準,再加上目前尚未出現因個資外洩而嚴重受罰的實際案例,所以在因應個資法的相關措施方面,多半仍處於觀望階段。即使是較早行動的企業主,在成本考量下,往往偏向尋求可「一魚多吃」的個資防護方案,成本考量普遍優先於風險考量。
同樣的,精品科技資安顧問許祐福亦認為,對中小企業來說,專注於本業營收與研發創新,才是最重要的兩大火車頭,對於法規遵循重視程度可能沒那麼高,投入資源和落實程度自然就有限。多數的思維是,如何花較小成本,達到可接受(例如:與同業相近、不致於步上法院)的防護水準。因此大部分的中小企業主,恐怕都還在「且戰且走」的觀望階段,想等待真實的個資案例爆發,再觀看個資訴訟的走向、或同業投入的方向,來決定下一步該如何作。
優碩資訊技術行銷部資深經理解忠翰,從實際接觸許多中小企業也發現,其實老闆們的想法還是著重在獲利,面對個資法僅試圖以最低成本達到要求即可。因為不論是法規還是管理制度,平時根本沒時間研究了解,坊間雖不乏這類的顧問可協助,卻是所費不貲,規模不大企業根本就負擔不起。在這種情況下,尋求一套可負擔得起,又可立即有效益的方案,也就成為萬一日後不幸遇到訴訟案件時,可以讓企業免於受罰的方法。
 |
| ▲從日本個人情報保護法2005年至2010年的賠償金額統計顯示,一旦民眾跨越學習階段後,往往會發生連鎖效應,欲從中求取利益者將大量介入,建立起興訟求償的「商業模式」。(資料來源:精品科技) |
讓中小企業負擔得起
由於「成本」可說是中小企業主普遍的考量關鍵,本土資安廠商對此訴求亦陸續推出應對的方案。解忠翰即表示,優碩資訊為了推出一款可以讓眾多中小企業皆可負擔得起的方案,規劃方向前乾脆直接詢問律師,萬一不幸遇到訴訟案件時,企業可提出舉證的數位資料有哪些部分?而律師提供的建議是至少必須做到自保與迴避風險,也就是說,中小企業在無法負擔得起完整個資防護建置下,至少要做到保護跟舉證。
他進一步說明,其實對年營業額並不高的中小企業,法官也不會只因為沒有做到滴水不漏地保護數位資料就裁定不利於企業的判決,此法之下還是會有比例原則,會依照企業財務狀況而定。所以最基本應做的保護跟舉證,便成了產品設計目標,優碩資訊從既有各產品技術中,取出可滿足個資法最低限度要求的部份,重新設計推出了TrustView For Privacy個資雲,「單一帳號每個月大約二百多元,讓中小企業用比起一般電話費還要便宜的金額,來達到自保與避險的基本要求。」
須由高層起向下貫徹
而思訊電腦近期則是因應市場需求,主推分段、分期、租賃及軟硬合購方案,目的也都是為了減輕企業採購時,必須一次支出大筆資金的壓力。張振明解釋,IP-guard的功能採模組化設計,且涵蓋了多數企業必須防範的端點安全項目,甚至也支援當前熱門的虛擬化應用,用戶可針對實際需求與預算自由選擇,因此適用於各種規模企業,也提供中小企業更彈性的空間,隨時可基於當下所面臨的端點安全問題,立即進行規劃、改善。而當下需要哪些功能,就採購哪些模組的方式,最能減輕企業投資壓力,往後待其他需求浮現或預算到位,再逐步添購其他模組,打造更完整的端點安全機制。
早在日本個人情報保護法即開始研究法規因應的精品科技,則是特別推出適合中小型企業導入的JustLogIt電腦記錄器。許祐福說明,其類似於行車記錄器,只是在背後安靜的執行工作,不致因此干擾使用者的操作。只要企業主在管理規章中公開宣告將進行此記錄,使其具有實施的合法性即可。
他強調,跟以往精品科技產品研發不同的是,JustLogIt電腦記錄器是由董事長親自陪同研發,畫面設計是以董事長能看得懂為標準原則,主要目的就是為了讓沒有IT人員的老闆們自己就可以操作,藉由JustLogIt將員工從上班到下班所有操作電腦行為透過影像紀錄,不論是開啟檔案、收發郵件等動作,事後皆可依據時間軸詳加查詢。
許祐福提醒,個資法規範的11項必要措施的第一條即明定投入資源與宣示決心,意即導入資安產品的意義就是管理高層向員工宣示對於資料保護的決心,同仁們需全力支持。但是在宣示之後,若無法內化到員工日常工作行為中,其實還是不足。因為就算制度或管理辦法再周延,執行的還是靈活刁鑽的人心,所以若無法內化到成為企業文化的一部分,即使有建置嚴密的資安控管,仍舊有可能發生危機。
因此藉由產品導入後增加審核流程、警示訊息,特別是在處理機敏資料、個資時,讓員工知道自己的一舉一動皆有被記錄,目的是讓承辦人更為小心謹慎。先使其從成為工作行為的一部分,再進一步演變成為嚴謹守密的企業文化,把產品與流程內化後,才能真正達到降低資料外洩風險。