Payeasy個資法考試的考卷

圖片來源: 

iThome

今年4月,擁有300萬筆會員資料的電子商務業者Payeasy(康迅數位),對全公司200名員工舉行一個個資法考試,全公司平均75分,總經理林坤正只錯一題,拿到95分高分。

負責出題的Payeasy總經理室協理謝木村表示,因應新版個資法即將上路,讓同仁透過研讀教材,引導同仁知道哪些是重要的個人資料,如何做到保密,一旦個資外洩,對企業又會產生什麼影響?這是Payeasy因應個資法可能過關的第一個挑戰。

Payeasy擁有的個人資料包括身分證字號、姓名、電話、生日、E-mail、地址等,但沒有驗證真假,只判斷是否符合系統限制。謝木村認為,因應個資法即將過關,必須思考「這些會員資料是不是必要的,一定要收集嗎?」避免過於因循苟且或意外導致個資外洩,對Payeasy而言,都是很大的壓力。針對Payeasy目前超過300萬名會員做的資料分析,全都是純資料倉儲的資料分析,並無從指涉任何特定人身分。

對第一線會接觸到客戶資料的客服人員而言,他表示,客服人員只能看到訂單上的帳號、姓名,付款行為,但看不到其他聯絡方式,相關網段都是內網且切割,不可以用USB設備並全程錄音錄影,個人物品也必須放在置物櫃中,杜絕任何可能性。至於其他部門同仁,謝木村表示,若有需要知道客戶的姓名、電話或Email等,都必須上簽呈。

Payeasy提供供應商使用Token(權杖)作為第二重密碼驗證,當資料保存成為壓力,Payeasy只讓供應商可以看到1個月內的訂單記錄。為了杜絕詐騙集團可以從消費資訊進行詐騙,謝木村表示,目前所有從Payeasy倉庫出貨的商品,列印出來的標籤上就不會有品項名稱,若委由廠商出貨,除了基本的姓名、地址、聯絡電話外,會多出貨品名。

Payeasy公共事務部協理陳中興表示,Payeasy在經營心態與其他業者較大的差異點在於,不論是被攻擊或者是被惡意鎖定、暴力破解帳號密碼等,願意清楚的公開公司網站和會員資料的危險等級,讓會員能在第一時間提高警覺、避免受騙。他說:「唯有資訊清楚且完整的揭露,才能讓責任清楚釐清並取得客戶信任。」

詐騙集團已經是企業化經營,也講求詐騙的投資報酬率(ROI),陳中興表示,目前立院各版本的個資法規範,並不鼓勵任何「事前預警」的守望相助作為,以Payeasy這種主動示警的作法一旦發生溝通錯誤的情形,極可能變成「Payeasy已經發生資安事件」,反而造成反效果。但事前的預警才能有效避免會員被詐騙,他認為,未來的個資法應該有類似守望相助條款,鼓勵企業能事前預警、降低客戶受害的機會。

因應個資法的過關,企業要更清楚如何「安全使用」會員的個人資料,謝木村強調,按照法案精神,未來連會員資料的銷毀都必須有完整的SOP並公告周知。目前Payeasy對資料銷毀這一段,則要等法律最後怎麼訂,再做相關配合。

 

Payeasy 總經理室協理謝木村就是個資法考試出題者

 

【相關報導請參考「個人資料保護法何時會三讀通過?」】


熱門新聞

Advertisement