保護珍貴的客戶資料
不知讀者有沒有發現最近越來越常接到銀行打來的電話，無論是有往來或是無往來的銀行，無論是想借錢給你、拉保險，或是希望你再辦一張信用卡…。類似這種電話行銷少則一天一通，多則一天數通，實在不勝其擾。有時真想不通他們是如何取得我的資料？

就算我是他們銀行的客戶，又是誰給他們這種權力可以讓他們隨時打電話給客戶推銷東西？ 就在截稿的這一天（4月27日），新版個人資料保護法在一波三折的情況下終於經立法院三讀通過了。無論以後這種推銷電話是否就可以有所改善，至少企業在處理客戶資料時會更加謹慎，否則違反個資法可能會受到最高兩億元的賠償或最高五年以下的有期徒刑。這個時候，企業的IT管理者就要特別注意了，因為法規的改變，老闆一定會要求IT部門提出相對的應變措施。

一般而言，企業面對個資法可採取的因應措施大致可分為兩大方向，一是評估個資外洩的風險，二是建立符合需求的個人資料保護系統。個資外洩主要有四個管道：外部入侵、委外廠商洩漏、內控程序疏失，以及內部人員洩漏。根據國外專門蒐集「資料外洩事件」的分析網站DataLossDB.org所公告的資料顯示，從2005年開始資料外洩事件開始大量成長，是2004年的4倍以上，之後更呈現倍數的成長。中央警察大學資訊管理學系教授林宜隆（也是早期推動個人資料保護法草案的參與者之一）表示，歸納各種導致個資外洩的原因，以「資料設備遺失」高居第一，其次是駭客入侵、詐騙集團…等因素。

在建立符合規範的個人資料保護系統時，要先了解個人資料處理的流程：從第一步蒐集階段，要依法進行告知義務並取得書面同意。其次是保存，採取適當保護措施避免個人資料被竊取、竄改或毀損。第三是「利用」階段，客戶資料必須依蒐集時的特定目的範圍內才可使用，（如果要在範圍外使用，必須另外取得書面同意。）最後是銷毀，這也是最容易被企業忽略的階段，如果蒐集資料時的目的消失了，或期限屆滿，企業必須將資料完全銷毀。

一直以來，IT部門掌控著公司資料的命脈，現在這條命脈如果沒有處理好，可能會要了IT的命，得無慎乎。