防止資料外洩，嚴法與稽核缺一不可

美國發生4000萬筆MasterCard、Visa、American Express以及Discover等信用卡用戶資料外洩事件之後，因影響遍及日本、香港及臺灣等全球各地，讓企業保護客戶資料的相關議題開始廣泛受到討論。

即便MasterCard、Visa等不同的信用卡體系都有各自的資料傳輸、交換與防護體系，規定資料處理環節中，像銀行、收單行、發卡行、特約店、徵信中心、帳務公司等不同單位，資料讀取權限與資料處理流程，但百密終有一疏。

政府須建立定期稽核的機制
因為不同的信用卡體系都希望擴大自己的發卡量，在嚴格規定每個單位強制執行資訊防護與擴大使用者間有所矛盾。勤業眾信管理顧問副總經理萬幼筠表示，金融業一向不吝於投資在資訊安全上面，所以技術面與產品面並不是問題，如何落實才是防止弊端發生的關鍵，如何做到定期的稽核與管理?政府現在缺乏的就是定期稽核的機制，需要建立公正的專屬稽查單位，定期對每一個資訊處理環節進行安全稽核與控管，以防止類似的資料外洩事件。

再從法律面來看，雖然美國有眾多法律規範各個產業的資料安全，包括沙賓法案（Sarbanes-Oxley Act，SarbOx，SOA）規定企業必須以文件形式記錄各項財務政策和工作流程，聯邦法案加利福尼亞1356與1950法案強制約束企業加強資料防護體系，一旦客戶資料被洩漏，企業必須在第一時間通知受害者。

至於金融服務法 (Gramm-Leach-Bliley Act，GLBA)則強制要求金融機構設保護客戶資料的措施。HIPAA（Health Insurance Portability and Accountability Act）法案則是針對醫療保險體系的安全與隱私。美國也有個人資料保護與電子文件法案（Personal Information Protection and Electronic Documents Act，PIPEDA）防止會員名單等個人資料被企業洩漏，卻還是無力阻止不斷發生的資料外洩事件。

新版個人資料保護法影響層面大
臺灣政府從民國85年就制定了「電腦處理個人資料保護法」來規範公務機關或非公務機關的資料保密，不過範圍只涵蓋中央或地方機關，非公務機關則包含醫院、學校、電信業、金融業、證券業、保險業以及大眾傳播業8個產業，除了時間久遠，社會變遷與科技的進步早就遠遠超過規範。此外，因為以「電腦」為名而有法律漏洞，曾經出現以「列印」攜出資料，所以不被視為經由電腦竊取，因而無罪釋放的案例，顯示這個法律相當不合時宜。

律師鍾明通就表示，實際的問題不在於法律，法律只是其中的一環，執行與認定上有其困難。至於新版個人資料保護法，則因為將法律適用範圍擴大到所有產業，影響層面太大讓這個草案仍然被擱置在立法院。文⊙高雅欣