如何有效的降低電商業者個資外洩或是電話詐騙

woman holding mobile phone with incoming call from unknown caller

作者: ACFD理事長 林宜隆 /元盾資安 執行長 趙永弘

最近有一則消息指出,有人在誠品網購一本書後,接到「統戰市調」的電話,詢問為何要買內容不恰當的書,並宣傳中國武統是必然。這則消息引發各界譁然,誠品表示正在調查個資外洩原因,並會全力配合主管機關調查作業,提供相關佐證資料,並持續強化資訊安全防護。

當企業發生個資外洩時,政府有一套處置方式。根據現行個資法,主管機關須先要求限期改正,且最高只能罰廿萬元。不過,立法院已完成修法初審,未來民間企業只要違反安全維護義務者,就可處罰鍰,情節重大者最高可處一五○○萬元。但由於修法尚未三讀通過,官員表示,誠品此次若有違法,須先令其限期改正,若未改正才能開罰。數位產業署也表示,本案將要求誠品針對其委外的簡訊代發商、廣告託播商、物流端等供應鏈,包括公司內部客服人員通聯紀錄等,儘速完成全面性盤查,釐清原因,若有違反個人資料保護法規定,將依法處置。

在電商平台上,資料的隱私保護是非常重要的課題。隱碼和遮罩都是保護個人資料的有效方式,但適用的情境不同。一般而言,遮罩適用於對於數值等資料需要做脫敏處理的情境,例如信用卡號、電話號碼、地址等。透過遮罩的方式,可以將部分敏感資料替換成符號或其他不具體意義的字元,保護個人隱私,同時不影響資料的分析和應用。

相對地,隱碼則適用於需要對資料做匿名處理的情境,例如使用者的瀏覽歷史、搜尋記錄等。透過隱碼,可以將使用者的個人身分隱藏,但仍可保留相關的統計分析資料。此外,在資料需要共享或交換的情境中,使用隱碼也可減少資料洩漏的風險。

在電商平台上,由於需要處理的資料種類繁多,包括商品資訊、使用者註冊資料、交易記錄等,因此需要根據不同的情境採用不同的資料保護方式。若需要對使用者的個人資料進行脫敏,例如將電話號碼做遮罩,可以使用遮罩技術;若需要在保護使用者隱私的同時,仍可使用分析資料做統計分析,則可以採用隱碼技術。

在個人資料保護的應用中,加密、隱碼化和遮罩是常見的技術。它們的目標都是將個人資料保護起來,防止非授權方存取或使用這些資料。以下是這三種技術的不同之處:

  1. 加密(Encryption):加密是一種將數據轉換為不可讀形式的技術,通常需要使用密鑰來進行加密和解密。當個人資料被加密後,只有授權方才能使用密鑰解密數據以獲取原始資料。加密是一種可逆的轉換,原始數據可以被還原為可讀格式。加密常用於傳輸和存儲敏感資料,如信用卡號、密碼等。
  2. 隱碼化(Tokenization):隱碼化是一種將數據轉換為隨機的代碼(稱為隱碼)的技術。隱碼是一種不可逆的轉換,無法還原為原始資料。隱碼化可以保護敏感資料,例如信用卡號、身分證號碼等,同時保持數據的可搜索性和可分析性。在隱碼化技術中,隱碼與原始資料之間的映射關係需要存儲在安全的位置。
  3. 遮罩(Masking):遮罩是一種將數據中的某些部分隱藏或替換為不可識別的符號的技術。例如,遮罩可以用星號替換信用卡號中的最後四位數字,以保護用戶的個人資料。遮罩是一種可逆的轉換,遮罩後的數據可以被還原為原始資料。但遮罩不能用於存儲或傳輸敏感資料,因為遮罩後的數據仍然可以被非授權方存取和使用。

在一個電商平台上,個資的使用方式,隱碼化和遮罩是常用的技術,它們的目的都是保護用戶的個人資料。隱碼化和遮罩的不同之處在於它們的功能面和使用方便程度:

功能面:隱碼化通常是將敏感資料轉換為一個隨機代碼,並將原始數據與隱碼之間的對應關係存儲在安全的位置。這樣做可以保護敏感資料的安全性,同時保持數據的可搜索性和可分析性。相比之下,遮罩只是將數據中的某些部分隱藏或替換為符號,遮罩後的數據仍然可以被非授權方存取和使用。因此,隱碼化比遮罩更加安全和可靠。

使用方便程度:遮罩的使用比隱碼化更加方便和容易。遮罩只需要在顯示數據時將部分資料替換為符號即可,而不需要存儲任何額外的資料。相比之下,隱碼化需要存儲原始數據與隱碼之間的映射關係,因此在數據處理和存儲方面需要更多的工作量和資源。

總的來說,在電商平台上,如果需要保護用戶的個人資料,隱碼化是一個更好的選擇,因為它比遮罩更安全和可靠。但是,電商平台需要在顯示數據時保護用戶的個人資料,遮罩是一個更加簡便的選擇。

比較項目 加密 隱碼 遮罩
資料是否可逆 可逆 不可逆 可逆
安全性
功能性 傳輸保護、資料加密 身分識別保護 資料脫敏
使用情境
電子商務平台

 

對於電子商務平台而言,加密是最基本的安全措施之一,可以用於保護傳輸敏感數據,如用戶登錄信息、信用卡號等。此外,對於電子商務平台的數據庫中的敏感數據,如用戶的訂單記錄、支付記錄等,也需要進行加密保護。

由於可以將資料進行解密,無法避免個資外洩時取得完整資料。

 

對於電子商務平台而言,隱碼技術可以用於對用戶身份識別信息的保護,例如使用隱碼代替用戶的信用卡號、身分證號碼等信息,以保護用戶的隱私。

針對姓名、電話、地址、Email等信息無法隱碼,因爲在出貨或是聯繫客戶時,並無法取得完整資料,缺乏實用性考量。

 

對於電子商務平台而言,遮罩技術可以用於對數據的保護,例如在數據中使用遮罩技術對真實數據進行脫敏,如信用卡號、身分證號碼、姓名、電話、地址、Email等信息無法隱碼以保護用戶敏感信息的泄露。

雖然敏感信息已經脫敏,但遮罩後的數據仍然可以被非授權方存取和使用,所以必須明確的完善遮蔽的範圍,避免設定不當。

 

總體來說,加密、隱碼和遮罩等數據保護技術都有其各自的優點和缺點,在不同情境下需要根據實際需求進行選擇和應用。

You may also like...

發佈留言