個資法來了，怎麼辦？

按理說，企業一路「觀望」了兩年多，早該基於個資防護做好充分準備；但實則不然，特別是中小企業，迄今仍有許多人還抱持觀望態度，他們寧可「賭」自己不會這麼倒楣，凡事等到第一個違法判例成立再說。

持平而論，這些毫無動靜的企業，未必不遵循法規，說穿了就是因為「無所適從」。以往國人保護個資觀念堪稱薄弱，對於個資的蒐集與使用，總認為理所當然、無傷大雅，如今面對千頭萬緒的法條，還真不知該如何下手；再者，幾乎所有資訊安全廠商，都說自家產品可以防護個資，而且個個要價不菲，企業無力消化繁複的產品資訊，更難以負擔高昂的購置成本，所以索性按兵不動。

這群企業的苦衷，固然情有可原，但世事難測，面對最高可達兩億元的賠償金額，更是不可承受之重，因此絕不宜兩手空空賭運氣。企業必須先有一個觀念，要100%杜絕個資外洩，那是不可能的，但最起碼需要盡到良善保管的責任，所以當務之急，即是趕緊從法律條文中找出關鍵點，再配合資訊技術加以落實，才是明哲保身之道。

最值得企業謹記在心的法律關鍵點為何？無非就是設備安全、資料安全稽核、使用資料的軌跡記錄，為了迎合這些關鍵需求，企業必須做到三件事。第一，建立內容過濾機制，針對所有從PC或伺服器等設備向外傳送的資料，逐一加以監控，辨識其內容是否挾帶個資；不可諱言，傳送個資的行為，有些是出自商業行為，未必個個都是蓄意外洩，但倘若個資數量達到一定筆數，或即將觸及企業的規範底線，就需要加以警示、甚至攔阻，一來可以提醒無心人，二來更可遏阻有心人。

第二，善加控管E-mail、FTP、隨身碟、外接式硬碟、光碟片或印表機等所有資料管道，哪些資料可以讀取，不允許儲存，乃至於USB等裝置的失效與否，皆需施以嚴格規範。第三，所有關於個資存取的軌跡記錄、甚至是E-mail附加檔案，都應該予以保存並備份，以便於日後搜尋與檢索之用，而這些素材，都是未來對薄公堂之際，可能派用上場的呈堂證供。

如何做好這三件事？對於大型企業，多已因應智財權保護而導入專業級DLP解決方案，一併滿足個資防護需求並不困難；至於中小企業，所幸市場上已出現簡易版DLP工具，可以透過個資模組的型態，與既有防毒系統結合，不僅沿用相同介面，且部署程序十分簡易，可謂輕鬆易做的解決之道。

（本文作者現任趨勢科技台灣暨香港區總經理）