隨著網路應用的普及,有越來越多上下游廠商的資料傳遞與交易行為都是透過網路線上完成。但由於這些資料在遞送過程中,往往沒有任何加密及認證機制進行保障,使得企業必須承受極高個資外洩甚至是資料遭篡改、身分冒用等風險。
臺灣網路認證策略長杜宏毅博士表示,在新修訂的個資法施行後,不僅將個資外洩事件賠償上限提高到新台幣5,000萬元,企業負責人也需負起連帶責任,現在台灣企業對於「如何確保個人資料安全」議題也較以往更加重視,除積極依照法案規定,在其資料蒐集、保存、應用與銷燬等過程中,規範出各項資安標準作業程序,並同時導入各種不同類型資安防護工具,如DLP、防毒/防木馬軟體、異常行為與入侵偵測等,以減少個資外洩問題發生機率。
不過,上述個資防護相關措施、規範與步驟,多半僅偏重於企業內部資訊、網路設備與員工行為管理,但對於企業與企業間、企業與消費者間,因為彼此交易互動所產生的各種上下游、跨不同單位常見的「交換資料」行為,卻甚少有所著墨。舉例來說,當某位消費者向網購公司訂購商品後,該公司即必須將該位消費者的個人資料,包括真實姓名、居住地址、購買商品種類/數量等項目,提交給外部貨物運送公司,才能確保商品的順利運達。杜宏毅說:「如果沒有做好妥善處理與稽核動作,企業內部的個人資料很容易就從此一環節外流出去。」
以網路購物為例,「有不少網路購物平台的帳號、密碼、訂購資料等,都是經過E-mail與消費者做確認。」杜宏毅說,「但這些透過E-mail發送的資料與消費者之前在其網站上所留下的個人基本資料,在整個網路傳送的過程中幾乎都沒有受到任何保護,大部分網購網站連取得最基本的SSL加密憑證機制都沒有做到」。由於受到現今企業高度e化的影響,有大量廠商與消費者之間的資料交換行為早已都是透過線上平台經由Internet傳遞,這使得個人資料安全曝露在極危險的狀況,容易遭到有心人士的竊取。
為讓企業或消費者能夠安心將其個人資料交付到可信任的購物網站,或是上下游合作夥伴手中,而不會在後續產生法律上的紛爭,杜宏毅建議企業應尋求公正第三方認證機構的協助,「只要能通過該機構的認可,取得SSL憑證,就表示該廠商在透過internet傳遞資料的時候是合乎安全資料交換規定、可受信任的」。對企業或消費者而言,這不僅能省去大量時間,不必再對其上下游廠商逐一進行資安清查檢核的動作,同時亦可確保資料在透過internet交付傳遞的過程中,每項步驟都能符合新版個資法要求,而每個相關廠商所應負的資料管理責任也較能予以釐清。
以臺灣網路認證所提供的SSL伺服器憑證服務為例,當有購物網站或企業提出憑證聲請,並通過臺灣網路認證的各項審核程序,確認其非虛設公司、無不實登載或冒用身分等不法情事後,即發放憑證給該公司使用,當使用者連上內嵌該憑證的網頁,所輸入的資料即會自動加密,以確保其在傳輸過程中的安全性。杜宏毅表示:「憑證在網頁上的有效性會以即時燈號顯示,一但該憑證過期,燈號即自動從綠色轉為紅色,可提醒使用者或消費者注意。」
此外,由於每一個由臺灣網路認證所發放的SSL伺服器憑證都會經過該公司的數位簽章,不僅能夠避免憑證遭到篡改、冒用,以確保網路上交易買賣雙方的身分及秩序之外,一旦發生買賣爭議時,將於臺灣在地法院進行調解,臺灣網路認證可幫忙作證,讓客戶應得的權益能夠確保。「國外憑證發生買賣爭議時,代理商可能無法幫忙,不然就得到國外憑證原發放國家打官司,這對國內廠商而言將會是極大的困擾」。杜宏毅強調,「採用憑證的目的,即是在有爭議發生時,能有公正第三方進行交易有效性的作證,若發證單位難以做到這點或得遠赴海外法院調解,對企業而言即失去採用憑證的意義。」
杜宏毅建議企業在挑選SSL伺服器憑證發放單位時,應該要先確認該單位是否符合政府電子簽章法的規定,並在經濟部進行登記。「根據規定,憑證發放單位所有的憑證作業基準,包含其賠償辦法、人員管理、備援機制、作業可信度、意外事件處理流程、幫客戶作證的程序..等項目內容,都必須報請經濟部,由該部派專家逐條進行審核,通過後再上網公告,以獲得民眾的認可後才能營運」。他認為,唯有通過上述嚴苛審查暨公告的憑證發放單位,才有足夠的專業性以保障企業及消費者買賣雙方的權益。
