服務業迎向數位轉型新商機，但個資保護、資安防範也要同步到位

文：蕭榮興（資策會資安科技研究所主任）

一、數位轉型與資安風險

近年來，隨著各行各業推動數位轉型的發展趨勢，數位化已深入產業、社會、國家每個層面，服務業在數位轉型的浪潮下，開始運用更多的科技工具來分析與管理會員個人資料，以轉換為新興的商業服務模式，透過系統化整合與分析客戶數據，消費軌跡與行為數據已成為新的「營收礦脈」，企業不僅能精準掌握消費動態，更能在服務設計、風險管理與法遵層面建立差異化優勢，再者，若能結合人工智慧演算法推薦系統，不僅可以分析龐大的數據，揭示潛在客戶的需求和行為，還能夠根據客戶偏好提供個性化的推薦，大大提升了行銷效能，更可以進行精準行銷。

圖1 各產業數位轉型面臨的資安風險

然而，參考其他產業在數位轉型的歷程，服務業的數位轉型同樣伴隨而來的是資安議題與挑戰，而且相較而言還更為困難，這是因為前面所述會員資料是服務業的核心資產，但同樣也是駭客所垂涎的目標．觀察歷年服務業的駭客攻擊事件，包含2018年詐騙集團假冒訂票網站會計人員詐騙訂票消費者，該訂票網站遭法院判賠須負擔消費者損失的70%，總計達16餘萬元；2018年某航空業者個資外洩，導致消費者在購買機票後收到假客服詐騙財損，遭法院判賠2萬元；2022年民眾接到假扮某餐飲集團客服來電儲值詐騙，遭法院判賠2萬元；2022年民眾利用某餐飲集團APP刷卡付費訂位，也遭假客服通知重新操作付款訂位、以及假冒銀行信用卡人員通知驗證身份，最終該餐飲集團因個資保護不當判賠1.5萬；2023年亦發生民眾於飯店業者官網訂購溫泉券，因個資外洩而被詐騙，雖然原因來自於其委託建置管理系統的網路科技公司，該飯店業者仍遭法院判賠2萬元等。服務業遭受駭客攻擊新聞屢見不鮮，而且與其他產業最大的不同，服務業的駭客攻擊通常會伴隨對會員、客戶的詐騙，從而導致消費者財務損失，以及企業的賠償。對於服務業而言，消費者甚或是會員都是企業的核心資產，如果因為個資外洩導致消費者對企業的不信任感，造成客戶大量的流失，對於企業的損失是無法估量的，因此不可等閒視之。

二、兩大資訊安全法遵，協助企業改善資安

在數位化時代，個人資料已成為企業營運的核心資產，但同時也伴隨著嚴格的法遵義務。為強化企業對於個資保護的能力，臺灣關於資訊安全之法令規範，主要以資通安全法（下稱資安法）及個人資料保護法（下稱個資法）為兩大主軸，企業在數位轉型過程中務必要注意法遵議題。

1.   [解析個資法]企業應負責任與管理重點

為在數位經濟時代保持競爭力，企業希望藉由消費者或會員個資以深化關係，然而，對於個資的保護，是否也能跟上法規要求，就是企業的一大議題。臺灣個資法已實施10年餘，近幾年因為個資詐騙的案件暴增，政府對於企業的個資行政檢查密度已大幅增加，除了警政署（165反詐騙諮詢專線）收到民眾詐騙報案，通報主管機關依「行政院及所屬各機關落實個人資料保護聯繫作業要點」的後續檢查外，一些保有較多個資的業者，主管機關也都會予以關切，有不少企業因並未符合個資要求而有被裁罰。

個資法適用於各行業，因此企業需了解其主管機關所制定的個人資料檔案安全維護管理辦法的相關規定，例如經濟部零售業個人資料檔案安全維護管理辦法。企業需要依據辦法規定確認是否適用，例如零售企業條件為資本額達新臺幣一千萬元以上，有招募會員或可取得交易對象個人資料之從事實體店面，或實體店面兼營網際網路方式銷售商品之零售業者需要納管。

接下來，企業需依法規訂定個人資料檔案安全維護計畫 （安全維護計畫），總計11項，包括（1） 配置管理之人員及相當資源；（2）界定個人資料之範圍；（3） 個人資料之風險評估及管理機制；（4）事故之預防、通報及應變機制；（5） 個人資料蒐集、處理及利用之內部管理程序；（6）資料安全管理及人員管理；（7） 認知宣導及教育訓練；（8）設備安全管理；（9） 資料安全稽核機制；（10） 使用紀錄、軌跡資料及證據保存；（11） 個人資料安全維護之整體持續改善。各主管機關也會針對主責的產業制定個人資料檔案安全維護計畫範本，企業可參考並依據內部管理作法進行調整。上述的法規要求其實就是協助企業完善個人資料的搜集、使用與管理，而且包含了規劃 （Plan）、執行 （Do）、查核 （Check）、行動及改進 （Action）的精神，讓企業可以引用做為個資保護的入門 SOP。

2.   [解析資安法]企業應負責任與資安強化重點

在資安法規範下，企業與受資安法規範之公務機關及特定非公務機關在傳遞資訊時，應遵循資安法對於資通安全之要求。企業須先自我檢視是否屬「特定非公務機關」，最簡單的方式就是盤點業務是否涉及「資安法施行細則」第7條列舉的11類關鍵領域（如能源、水資源、通訊傳播等），另外，若屬「非關鍵領域」但與公務機關簽訂數位服務契約，仍需配合資安條款。

如果是受資安法規範之企業，須釐清資通安全責任等級，由高至低，分為 A級、B級、C級、D級及E級，一旦確定責任等級，就需要依照規定的期限完成相應的應辦事項。以A級機關為例，應辦事項涵蓋管理面、技術面和認知與訓練面。

(1) 管理面：包括建立資通系統分級及防護基準、導入並通過資訊安全管理系統（如CNS 27001或ISO 27001）第三方驗證、配置資通安全專職（責）人員、執行內部資通安全稽核、進行業務持續運作演練，以及實施資安治理成熟度評估。

(2) 技術面：包括執行弱點掃描、滲透測試、網路架構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺服器主機惡意活動檢視、目錄伺服器設定及防火牆連線設定檢視等安全性檢測。同時，還需要建置並維運資通安全威脅偵測管理機制、建立資通安全弱點通報機制，以及部署端點偵測及應變機制。此外，還需要啟用並持續維護防毒軟體、網路防火牆、電子郵件過濾機制、入侵偵測及防禦機制、應用程式防火牆和進階持續性威脅攻擊防禦等資通安全防護措施。

(3) 認知與訓練面：要求為資通安全專職（責）人員、其他資訊人員和一般使用者與主管提供不同時數的資通安全教育訓練。同時，需要確保資通安全專職人員持有相關專業證照及職能訓練證書。

由於服務業在數位轉型中可能採用數位科技，或是委託資服業者協助開發相關系統，因此需特別注意採購合規的產品或服務可參考資通安全管理法相關採購指引懶人包中各主題的參考投標廠商或設備資格，例如，在資訊安全管理系統導入與驗證、內部資通安全稽核、業務持續運作演練以及各種技術面的資安防護等。若委託資服廠商，需要注意受託者是否具備完善的安全管理措施或通過第三方驗證，並應具備審查及監督受託者的能力。

三、結語：資訊安全，保護企業關鍵資產

企業可能會認為面對兩大資訊安全法遵，需要花費很大的精力處理資訊安全議題，實則不然，個資安全與資安防範兩者剛好是互補的，個資安全可以支援企業實現數位轉型新商機，而資訊安全保護個資不被駭客竊取，2018年曾發生企業以資安防護勝訴的的司法判例，一位民眾透過網站報名多益英語測驗，卻先後接到詐騙集團假冒公司員工與花旗銀行員工來電，導致當事人遭詐騙14萬，但被告企業主張已經採取資安防護措施，包含（1）採用微軟Azure雲端系統提供資安防護、（2）個資網頁均有SSL加密、（3）防駭系統於期間內成功阻擋來自同一IP的34,800次異常入侵、（4）曾於網站首頁顯示防詐騙宣導，寄送防詐騙DM、（5）透過資安公司進行資安補強、加強網站防駭邏輯。這些作為獲得法院判斷有力證據，認其已有採取相當之措施，最終宣判駁回當事人請求，被告企業無需賠償其損失。

因此，在積極擁抱數位轉型的同時，同步建立完善的資安防護機制與落實個資保護措施至關重要。臺灣已有資通安全法與個人資料保護法兩大法律規範，協助企業強化資安能力。請務必了解並遵循相關規定，勿輕忽任何潛在的資安漏洞，強化員工的資安意識與訓練，定期檢視與更新資安防護措施。唯有如此，才能在享受數位轉型帶來便利與商機的同時，確保企業永續經營並贏得客戶的信任。