有次與朋友討論，如果台灣的聯合信用卡處理中心被攻擊或是資料被竊取，全台灣的金融交易、刷卡服務可能會大崩盤，比先前的大停電還慘。今天就讀到了Equifax被駭的訊息：

根據維基百科的資料，美國信用監測機構Equifax在7月29日時就發現資料被竊取，9月7日爆發了資料外洩事件，除了1.43億美國居民的資料外洩外，還有一些加拿大人民與4400萬名英國居名的資料也遭到竊取，但8月時就有三位公司高層主管出售股份。被駭走了1.43億美國人民資料包括了姓名、出生日期、社會安全號碼的訊息。這些資料相當於一個人的「身份」被竊取，可以被重組後偽造。 巧合的是在7月底8月初，訊息未爆發時，公司的三位主管出售了手上的股份，另外有一些報導：

1. Three Equifax Managers Sold Stock Before Cyber Hack Revealed
2. After Equifax Breach, Here’s Your Next Worry: Weak PINs
3. Equifax hack: 44 million Britons’ personal details feared stolen in major US data breach
4. Equifax Hack—How To Protect Your Credit And Identity If Your Data Was Compromised

公司文化與治理
列舉連結的第一則報導，顯示出公司治理的重要議題，因為聽過另一則因為員工個人行為導致企業聲譽受損的新聞：竊對手營業祕密？團購網營運長遭訴：

黃男原與妻子任職GOMAJI夠麻吉，2014年9月跳槽康太。2015年7月，黃利用妻子的帳號密碼，數度登入夠麻吉後台系統進行網頁瀏覽。同月16日中午，黃 2 度下載夠麻吉「46699_LB銷售附件」及「46699_LB分店表」等電磁紀錄。

其實在我後續整理的一些資料裡，有許多「資料外洩」的新聞都是個人行為導致，例如：好奇心（醫院職員探究住院病人的資料）、警察藉由自己的職務之便替人查詢個人資料或通訊資料、公務人員藉由自己的職務之便去查詢其他人的個人資料。

朋友是創立了一間公司，也許是「文化」的關係，就算台灣有「個人資料保護法」仍然會有人要求朋友私底下分享客戶名冊，方便自己推廣業務。

我聽了直搖頭，雖然基本的一些資料是公示資料，但做生意也是要自己去努力取得名冊的，至少要去向工會取得相關的公示資料應該是沒問題的，但連這種時間成本都不願意付出，就是一種很莫名奇妙的行為。

朋友比較擔心的，是職員藉由其他管道出售名單。我只能請他加強員工的教育訓練，這也是保護自己的手段之一，除了一些技術去避免員工出售客戶資料外，員工訓練、公司的資料保護政策也是必要的，讓員工了解做了這件事會有什麼嚴重的下場。做好這些基礎，會比出事來得好。

以一個網站或應用程式使用者的角度在看資料保護政策（也是以往撰寫相關資料保護政策的經驗），我會期待看到以下幾項：

1. 目的
2. 蒐集的哪些資料？
3. 資料的用途是做什麼？
4. 資料保存期間有多久？
5. 是否分享給其他第三方公司分析？如果現階段沒有，未來若提供給其他公司運用時，會不會通知使用者？
6. 網站或應用程式的開發公司、維護單位會使用哪種方式來保護公司的資料？在資料傳輸時怎麼加密？透過第三方還是其他？
7. 公司除了技術處的資料保護，還會對內部員工的教育訓練⋯⋯之類的內容。
8. 如果網站或應用程式被攻擊時，要如何處理？受害者可以透過什麼途徑尋求協助？
9. 使用者自己要負的責任與義務，例如個人帳號與密碼不外借⋯⋯等。

當然確切的內容都還要再與法務人員討論，才不會讓公司遭受到嚴重損害，寫得愈清楚，愈能提高使用者對該服務的信心，當然也是保護公司的方法之一。

Equifax在訊息被揭露之後提供了一個網站，讓使用者檢查自己的資料是否被公開：Cybersecurity Incident & Important Consumer Information，但安全性不足，因為沒有在第一時間（7月29日）就揭露訊息，在這中間公司的主管又出售股份，加上要使用查詢網站還必須放棄對Equifax的訴訟權利：Customers wanting to use the Equifax website to find if their data had been compromised at first had to agree to waive their rights to sue the company.

同時 Equifax 也僅有公開的聲明稿和一個安全性不足的查詢網站，除了股價一直下滑之外，也得面臨嚴重的公關與信用危機。

於是我再次閱讀了聯合信用卡處理中心的「隱私權與資訊安全宣告」，是針對聯合信用卡處理中心網站所設置的：

本網站的伺服器設有「防火牆」作保護，防止非法入侵、破壞或竊取資料，且本中心不斷監督本身的系統，以防遭任何人士未經授權的進入。

我們都能確定聯合信用卡處理中心本身所保有的資料並不止於此，也不會只有這麼簡單的兩句話就代過，但也無法得知在公開資料中的資料如何取得、如何保護，只能期待該中心的保護做得夠嚴格。

未來透過網路進行攻擊、竊取客戶資料的案件只會愈來愈多，技術會愈來愈難以禦防，提供詳盡的「隱私與資料保護政策」，雖然不是每個人都有耐心讀完，但提供的愈清楚，愈能提高使用者或消費者對公司或品牌的信心。除此之外，公關的應變能力、公司內部對外的態度、內部政策，都是需要嚴謹去面對的，包括了員工內部的資訊安全教育、資料保護政策與原則，一定要讓公司的員工對於「資料保護」有一定的概念，雖然不用草木皆兵，但基本的公司管理後台網址、入口、個人帳號與密碼都不能隨便交給其他人，這是基本認知，也是保護自己與公司的方式之一。