Payeasy舉行個資考試，強化員工個資保護意識

今年4月，擁有300萬筆會員資料的電子商務業者Payeasy（康迅數位），對全公司200名員工舉行一個個資法考試，全公司平均75分，總經理林坤正只錯一題，拿到95分高分。

負責出題的Payeasy總經理室協理謝木村表示，因應新版個資法即將上路，讓同仁透過研讀教材，引導同仁知道哪些是重要的個人資料，如何做到保密，一旦個資外洩，對企業又會產生什麼影響？這是Payeasy因應個資法可能過關的第一個挑戰。

Payeasy擁有的個人資料包括身分證字號、姓名、電話、生日、E-mail、地址等，但沒有驗證真假，只判斷是否符合系統限制。謝木村認為，因應個資法即將過關，必須思考「這些會員資料是不是必要的，一定要收集嗎？」避免過於因循苟且或意外導致個資外洩，對Payeasy而言，都是很大的壓力。針對Payeasy目前超過300萬名會員做的資料分析，全都是純資料倉儲的資料分析，並無從指涉任何特定人身分。

對第一線會接觸到客戶資料的客服人員而言，他表示，客服人員只能看到訂單上的帳號、姓名，付款行為，但看不到其他聯絡方式，相關網段都是內網且切割，不可以用USB設備並全程錄音錄影，個人物品也必須放在置物櫃中，杜絕任何可能性。至於其他部門同仁，謝木村表示，若有需要知道客戶的姓名、電話或Email等，都必須上簽呈。

Payeasy提供供應商使用Token（權杖）作為第二重密碼驗證，當資料保存成為壓力，Payeasy只讓供應商可以看到1個月內的訂單記錄。為了杜絕詐騙集團可以從消費資訊進行詐騙，謝木村表示，目前所有從Payeasy倉庫出貨的商品，列印出來的標籤上就不會有品項名稱，若委由廠商出貨，除了基本的姓名、地址、聯絡電話外，會多出貨品名。

Payeasy公共事務部協理陳中興表示，Payeasy在經營心態與其他業者較大的差異點在於，不論是被攻擊或者是被惡意鎖定、暴力破解帳號密碼等，願意清楚的公開公司網站和會員資料的危險等級，讓會員能在第一時間提高警覺、避免受騙。他說：「唯有資訊清楚且完整的揭露，才能讓責任清楚釐清並取得客戶信任。」

詐騙集團已經是企業化經營，也講求詐騙的投資報酬率（ROI），陳中興表示，目前立院各版本的個資法規範，並不鼓勵任何「事前預警」的守望相助作為，以Payeasy這種主動示警的作法一旦發生溝通錯誤的情形，極可能變成「Payeasy已經發生資安事件」，反而造成反效果。但事前的預警才能有效避免會員被詐騙，他認為，未來的個資法應該有類似守望相助條款，鼓勵企業能事前預警、降低客戶受害的機會。

因應個資法的過關，企業要更清楚如何「安全使用」會員的個人資料，謝木村強調，按照法案精神，未來連會員資料的銷毀都必須有完整的SOP並公告周知。目前Payeasy對資料銷毀這一段，則要等法律最後怎麼訂，再做相關配合。

Payeasy 總經理室協理謝木村就是個資法考試出題者

【相關報導請參考「個人資料保護法何時會三讀通過？」】