2007年7月20日 星期五

客戶隱私保護







服務業下一功課:客戶隱私保護




曹如瑋  2007/05/16



隱私保護與每個人息息相關,特別是近年來,大眾為了生活便利,常在各處留下個人資料,如:申辦信用卡及行動電話、上網拍賣或購物、參與抽獎等活動,使個人資料嚴重曝露而處於弱勢;歷年來,更多次傳出電信業、金融業內部員工發生有意或無意的疏失,造成客戶資料洩漏。


尤其隨著網際網路的發達,有心人士很容易透過管道取得個人資料,並利用統計方法進行比對、組合,形成完整的背景資料,清楚掌握一個人的過往、現在及未來,使個人隱私遭受破壞,人身自由被干預,生命安全受到威脅。


舉例來說,今(2007)年3月底,美國發生史上規模最大的資料竊案,知名零售商TJX集團遭電腦駭客入侵,至少有4570萬筆顧客消費資料外洩,許多受害者的簽帳卡在全球各地被盜刷,損害難以估計。在國內,則有竊車集團不法流出個人車籍資料,受害者被跟監或遭到勒索;而猖獗的詐騙電話及手機簡訊,也造成許多民眾上當受騙,特別是對詐騙手法疏於防範的老人家們。


事實上,個人隱私的範疇相當廣泛,除了個人的身體、居所等實體空間與書信往來等個人思想空間,另外在資訊社會裡,各類資訊系統或機制也都牽涉到個人隱私權的問題,如:銀行自動提款機的隱藏式錄影、國道超速拍照、重要場所的監視攝影。雖然眾多機制的最初立意著眼於發生事故時可調閱及檢索影片,但被攝入的民眾,其隱私都遭到曝露,有時甚至會引發糾紛;此外,被錄製的個人影像若與身份證明等其它資料結合,個人幾乎沒有任何隱私可言。


企業主不可不知


對企業而言,隱私權的議題愈來愈被關注。妥善的資料保護管理及嚴謹的監督機制已逐漸成為企業的差異化策略。過去,企業僅僅從資料安全、網路存取及資料備份的角度,來審視個人隱私的問題,但在目前全球化環境中,網路無國界,企業必須能展現社會責任,將對人權的尊重做為企業使命,並推展到內部機制管理流程,這是這個世紀及未來十年,企業發展核心及永續生存的不二法門。


根據我們的研究,各產業的企業,最容易遭竊的機密資料共有五個種類,包括:顧客資料、財務資料、企業核心資料、員工資料及資訊科技(IT)安全資料。由於每項資料皆有其重要價值,企業應該依照本身核心業務性質及產業特性,按資料機密性訂定優先順序,進行管理。企業愈能正確的掌握策略及投注資源,資料損害的機會愈小。


我們從多個產業中挑選出在資料保護上表現優越的領導公司,進行分析後歸納出五項具備競爭力的策略:一、定期監督與衡量資料保護的管控流程;二、提供員工必要的訓練;三、適時修正IT安全控管及流程;四、適時修正資料保護的政策標準及流程;五、督促員工盡力維護與遵守資料保護的政策及流程。


從實際執行面來看,建議企業可立即採取的行動為: 一、衡量已發生的資料損失;二、辨識出企業組織內最關鍵的敏感資料為何;三、不要忽略保護關鍵的IT安全與稽核資料;四、減低人為疏失與錯誤;五、將相關的IT控管予以盤點,特別是有關桌上型個人電腦、手提電腦、行動裝置、電子郵件、網頁、網際網路、應用程式與資料庫;六、至少每週定期監督與報導資料保護控管程序的有效性。


必須強調的是,資料保護的成功執行,最關鍵要素並非是機制,而是人,即員工本身。企業主在規劃訓練課程時,一定要將道德教育納入,因為員工僅僅知道要執行那些步驟並不足夠,而要在員工心中樹立道德尺度,以避免道德感低落的員工,鑽取法律漏洞。換言之,人性弱點無法完全移除,但可透過道德教育,提升道德認知,再搭配科技稽核技術來輔助。世界級企業的存在是尊重人權,以人為本,這才是實質的客戶導向,而非口號。


當每個人對隱私保護有了基本意識及主張,企業亦有相同認知後,政府機關更應該為個人資料保護創造良好的環境。台灣於1995年通過「電腦處理個人資料保護法」,但當時規範的主體有行業類別限制,僅限於徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等八行業,其餘行業及個人不受規範,且保護客體只限於經電腦處理之個人資料。有鑑於規範不足,法務部及行政院於2005年將其修正為「個人資料保護法」,擴大適用主體與保護之客體。


他山之石


在國外,國際組織及歐美先進國家皆針對個人資料保護做出決議或立法,足為國內借鏡。歐盟於1995年即通過個人資料保護指令,1998年正式實施後,要求歐盟15個國家都要立法管理個人資料。歐盟資料保權指令的嚴謹程度高,任何第三國,即非歐盟國家,若未符合指令標準,往來對象可以拒絕提供資料,這對於政府往來及商業行為造成相當大之壓力,影響深遠。許多國家也設置了專責的個人資料保護委員會(Personal Data Protection Commission),除了監督個人資料保護法或指令的執行,亦會主動與相關機關結盟,對公家或私人機關進行稽核,並接受各界的查詢及投訴。


目前國內大眾對個人資料遭洩漏一事,經常缺乏警覺及主張,許多人直到遭受侵害時,才驚覺必須採取行動,不過也僅僅是追究加害者,向其請求損害賠償。對於個人資料從何處流出,經由何人或何單位流出,卻總是被忽視,加上查證困難,真正得以向洩漏單位求償的案件,更是屈指可數。


我們認為,國內個人資料保護法的落實仍存有很大的改善空間,嚴謹度也必須再加強。建議我國政府未來可效法歐盟採取下列措施:


 


  • 針對修正之「電腦處理個人資料保護法」定期進行實施成效與遵循情形評估調查,邀請政府與學術研究機構、民間企業、律師與消費者團體參與,供部調查結果並作為修法與執行細節參考之依據。


  • 加強宣導資料主體對於本身隱私權的認知、主張與權力


  • 提倡並表揚業者與業者同業間主動進行自律所採取的措施


  • 鼓勵IT廠商開發促進資料保存與隱私權保護之技術與解決方案


  • 成立專責之個人資料保護主管機關,並建立正式通報、申訴管道與管理機制


  • 積極與歐洲先進國家之個人資料保護委員會進行交流與案例分享

    最後,呼籲應從個人本身、企業與政府共同著手營造以誠信為核心價值之社會體系,強調以人為本,進而促使個人隱私保護與尊重的意識抬頭。





    引自

    http://www.taiwan.cnet.com/enterprise/topic/0,2000062938,20117870,00.htm



    • 張貼者:
    標籤:

    沒有留言:

    張貼留言

    訂閱: 張貼留言 (Atom)