如何有效的降低電商業者個資外洩或是電話詐騙

woman holding mobile phone with incoming call from unknown caller

作者： ACFD理事長 林宜隆 /元盾資安 執行長 趙永弘

最近有一則消息指出，有人在誠品網購一本書後，接到「統戰市調」的電話，詢問為何要買內容不恰當的書，並宣傳中國武統是必然。這則消息引發各界譁然，誠品表示正在調查個資外洩原因，並會全力配合主管機關調查作業，提供相關佐證資料，並持續強化資訊安全防護。

當企業發生個資外洩時，政府有一套處置方式。根據現行個資法，主管機關須先要求限期改正，且最高只能罰廿萬元。不過，立法院已完成修法初審，未來民間企業只要違反安全維護義務者，就可處罰鍰，情節重大者最高可處一五○○萬元。但由於修法尚未三讀通過，官員表示，誠品此次若有違法，須先令其限期改正，若未改正才能開罰。數位產業署也表示，本案將要求誠品針對其委外的簡訊代發商、廣告託播商、物流端等供應鏈，包括公司內部客服人員通聯紀錄等，儘速完成全面性盤查，釐清原因，若有違反個人資料保護法規定，將依法處置。

在電商平台上，資料的隱私保護是非常重要的課題。隱碼和遮罩都是保護個人資料的有效方式，但適用的情境不同。一般而言，遮罩適用於對於數值等資料需要做脫敏處理的情境，例如信用卡號、電話號碼、地址等。透過遮罩的方式，可以將部分敏感資料替換成符號或其他不具體意義的字元，保護個人隱私，同時不影響資料的分析和應用。

相對地，隱碼則適用於需要對資料做匿名處理的情境，例如使用者的瀏覽歷史、搜尋記錄等。透過隱碼，可以將使用者的個人身分隱藏，但仍可保留相關的統計分析資料。此外，在資料需要共享或交換的情境中，使用隱碼也可減少資料洩漏的風險。

在電商平台上，由於需要處理的資料種類繁多，包括商品資訊、使用者註冊資料、交易記錄等，因此需要根據不同的情境採用不同的資料保護方式。若需要對使用者的個人資料進行脫敏，例如將電話號碼做遮罩，可以使用遮罩技術；若需要在保護使用者隱私的同時，仍可使用分析資料做統計分析，則可以採用隱碼技術。

在個人資料保護的應用中，加密、隱碼化和遮罩是常見的技術。它們的目標都是將個人資料保護起來，防止非授權方存取或使用這些資料。以下是這三種技術的不同之處：

1. 加密（Encryption）：加密是一種將數據轉換為不可讀形式的技術，通常需要使用密鑰來進行加密和解密。當個人資料被加密後，只有授權方才能使用密鑰解密數據以獲取原始資料。加密是一種可逆的轉換，原始數據可以被還原為可讀格式。加密常用於傳輸和存儲敏感資料，如信用卡號、密碼等。
2. 隱碼化（Tokenization）：隱碼化是一種將數據轉換為隨機的代碼（稱為隱碼）的技術。隱碼是一種不可逆的轉換，無法還原為原始資料。隱碼化可以保護敏感資料，例如信用卡號、身分證號碼等，同時保持數據的可搜索性和可分析性。在隱碼化技術中，隱碼與原始資料之間的映射關係需要存儲在安全的位置。
3. 遮罩（Masking）：遮罩是一種將數據中的某些部分隱藏或替換為不可識別的符號的技術。例如，遮罩可以用星號替換信用卡號中的最後四位數字，以保護用戶的個人資料。遮罩是一種可逆的轉換，遮罩後的數據可以被還原為原始資料。但遮罩不能用於存儲或傳輸敏感資料，因為遮罩後的數據仍然可以被非授權方存取和使用。

在一個電商平台上，個資的使用方式，隱碼化和遮罩是常用的技術，它們的目的都是保護用戶的個人資料。隱碼化和遮罩的不同之處在於它們的功能面和使用方便程度：

功能面：隱碼化通常是將敏感資料轉換為一個隨機代碼，並將原始數據與隱碼之間的對應關係存儲在安全的位置。這樣做可以保護敏感資料的安全性，同時保持數據的可搜索性和可分析性。相比之下，遮罩只是將數據中的某些部分隱藏或替換為符號，遮罩後的數據仍然可以被非授權方存取和使用。因此，隱碼化比遮罩更加安全和可靠。

使用方便程度：遮罩的使用比隱碼化更加方便和容易。遮罩只需要在顯示數據時將部分資料替換為符號即可，而不需要存儲任何額外的資料。相比之下，隱碼化需要存儲原始數據與隱碼之間的映射關係，因此在數據處理和存儲方面需要更多的工作量和資源。

總的來說，在電商平台上，如果需要保護用戶的個人資料，隱碼化是一個更好的選擇，因為它比遮罩更安全和可靠。但是，電商平台需要在顯示數據時保護用戶的個人資料，遮罩是一個更加簡便的選擇。

總體來說，加密、隱碼和遮罩等數據保護技術都有其各自的優點和缺點，在不同情境下需要根據實際需求進行選擇和應用。