個資法忽通過 線上業者急應變

個資法通過之後，許多行業受到衝擊，被認為擁有最多個資的不外乎是政府、電信業、金融業，首當其衝。不過，線上業者受到的衝擊也不小，尤其是這類新興產業，對於資安工作的推動程度，成熟度不及前三者。個資法所管轄範疇主要是個人資料，主要癥結點在於是否可足之「識別」個人。也因此在個資法過後，我們也觀察到一些網站出現一些應急的動作。

例如將身分證字號、出生年月日、電話等較為機敏的資料過濾出來之後，放到另外一個與網站並不直接界接的資料庫，且須透過一些較為複雜的內部存取權限控管，一方面做為長期備份，一方面萬一網站被攻破，僅有交易資料卻無法識別會員個人。
另外，思考購物流程過後，不需顯示資料的部份也就不出現，例如個人住址不再出現於個人資料當中，僅在訂單成立輸出時才顯示，減少攻擊者成功拼湊資料的可能性。

上述種種手段，原本就應該是網站經營者應該思考的安全流程機制，並非新科技或艱深技術問題，但就在個資法通過之後，線上購物業者才趕緊有了應變動作，真可謂是不見棺材不掉淚。

此外，亦有資安專家提到，有許多網站登入帳號在當初設計之時，由於貪圖方便及唯一性，就將會員的身分證字號當作登入的帳號，這種狀況隨著近年來詐騙事件頻傳而逐漸有所改善。以一個國內某網購業者為例，儘管近年來已經將帳號逐步轉換成電子郵件或自設帳號，但依然有會員貪圖方便繼續將身分證字號當作帳號使用，這無疑正是使用者將自己的個資曝光於光天化日下。

除了網站經營者應該加緊速度，重新思考作業流程，更改規則並轉換舊有資料，也應提醒並協助消費者。消費者本身也應該要有自我保護意識，若自己不將個資當一回事，屆時面臨詐騙損失等，恐怕也難辭其咎。