i卡會員

KPMG安侯企業管理公司董事總經理謝昀澤表示，近期政府一次修訂打詐五法，針對一般民間企業對消費者的個資管理，採取「提高金額處罰」、「檢查違規就罰」，及「按次連續處罰」這三個方向，並指定「個人資料保護委員會」為個資法主管機關，彰顯政府對業者「主動監理」的時刻來臨。

謝昀澤表示，除了修法外，要降低近期個資外洩連環爆的危機，其實含有「業者有效的個資保護落地措施」，及「民眾的資安意識」等兩項關鍵因素，才能成功拆彈。

謝昀澤說，過去業者普遍存在「不上報就沒事」、多數消費者也有「我怎麼可能被騙」的僥倖心態，應該要立即調整。

謝昀澤分析，一般業者常見的疏失不脫人員、系統與流程三大層面，如系統漏洞、防火牆及其他雲端服務安全設定錯誤、內部管理人員或委外廠商疏失或遭社交工程入侵電腦等。近期有網路服務業者將客戶的個人資料放在雲端，卻未妥善設置權限控管，就算沒有駭客技術，一般人只要點選連結位址，就可以將雲端資料庫的機敏個資一覽無遺，是一個明顯的管理疏失案例。

謝昀澤認為，企業除基本的防毒防駭系統外，可考慮導入資料盜失防護（DLP）等進階機制，並確實監控資料庫活動，以便及時發現異常存取行為與網路流量。

管理流程上，建議依據主管機關個人資料檔案安全維護計畫，並參考國際與國內資安標準，如ISO27001（資安管理制度）、ISO27701（隱私保護制度）等規範要求，訂定兼顧數位應用需求且合於個資保護要求的措施，讓駭客或其他有心人士「進不來」企業內部、「看不懂」機敏資訊，更「帶不走」客戶資料，以高標準來管理客戶資料。

謝昀澤表示，針對近期外洩熱區產業，如網路電商、旅宿觀光、交通等業者，更需要積極備戰。

謝昀澤也提醒民眾，個人的個資保護意識，也是影響自身隱私的重大關鍵。

消費者應隨時提高警覺，未經確認不任意提供資料、不開啟來路不明的電子郵件及附加檔案、不登入未經確認的陌生網站，以避免社交工程的攻擊傷害。