身處於商業數據觸手可及的時代,所有人的數碼腳印 (digital footprint) 都有機會被蒐集和分析、甚至能用作辨識個人身份。資訊科技的確驅動了創新突破,但對消費者的個人私隱而言,資料外洩的風險大大增加。

「每兩秒,就有個人資料被盜取。」近年,網上犯罪和身份盜竊肆虐,僅在 2017 年,就有 6.67% 消費者曾被盜取個人資料;在美國,33% 成年人曾因身份被盜竊而蒙受損失;與此同時,每五個消費者,就有一人的個人資料被盜取超過一次。

企業有責任保障顧客的資料不受黑客侵害,為應對越漸高明網絡犯罪手段,公司要採取更主動、更先進的方法以保護客戶私隱 。本文將介紹各企業於過往和現在採取的網絡安全措施。

背景介绍

為宏觀地了解如何防止個人身份被盜用,可參考以下時間表,當中展示了美國三大信貸機構何時成立,以至信用卡相關法規的簡要歷史:

  • 1899 年 - Equifax 成立
  • 1968年 - TransUnion 成立
  • 1970年 -《公平合理信用報告法 (Fair Credit Reporting Act)》通過
  • 1990年 - Fellowes 推出碎紙機
  • 1996年 - Experian 成立
  • 2003年 -《公平準確信用交易法 (Fair and Accurate Credit Transactions Act)》通過
  • 2009年 -《信用卡法 (Credit CARD Act)》通過
信用卡 客戶個人資料 身份盜用

法律與法規

保障客戶個人資料符合企業利益,同時受法律所規範。2012 年末,聯邦貿易委員會 (Federal Trade Commission)修訂法規,要求某類企業需積極辨識、減輕和防止身份盜竊。FTC 制訂了紅旗規則 (Red Flags Rule) 和 Address Discrepancy Rule,為收集個人資料的企業提供必須遵守的準則。

紅旗規則 (Red Flags Rule)

根據聯邦法,作為債權人的公司必須遵守紅旗規則。這套規則下,公司需採取一系列書面協議,包括以下特點:

  • 辨識 (Identification):FTC 確立了 26 中不同的紅旗,當企業發現身份盜竊時,公司程式必須辨識與盜用情況一致的「紅旗」。
  • 檢測 (Detection):辨識到任何紅旗後,公司程式必須有方法檢測這些標誌。
  • 應對 (Response):公司程式需有效阻止身份盜用情況。
  • 修訂 (Revision):針對個人資料的威脅不斷擴大,公司程式需不斷修訂和改進才能跟上變化。

應對地址差異 (Address Discrepancy Rule)

與紅旗規則一致,Address Discrepancy Rule 針對經常使用消費者信用報告的公司,指明這些企業必須有一個應對地址差異的方案,結合紅旗政策以對付身份盜竊。

數位身份

數位身份 (Digital Identity)

用碎紙機撕毁個人資料早已不適用,企業必須保護客戶的數位身份。所謂 Digital Identity,就是整合了消費者個人資料的數據。

數位身份有兩種,分別是屬性 (attributes) 和活動 (activities)。數位屬性是指消費者的個人資料,例如姓名、電郵地址、用戶帳號、登入資料、生物特徵數據 (指紋、面部表情、聲音等);而數位活動則代表一切 digital footprint,包括社交媒體動向、網購紀錄、搜尋引擎紀錄、手機數據等。

網絡罪行

保護客戶私隱三大措施

企業應建立網絡安全框架來保護顧客的數位身份。假若公司的數據庫含有客戶個人資料,應持續更新安全系統以防止資料外洩,以下將重點介紹三種避免數位身份盜竊的最佳方法。

多重身份認證 (Layered Authentication)

正如雙重認證的道理,多重身份認證能提高敏感資料的安全性。這方式意味顧客每次嘗試登入時需經過多重認證,才能進入公司網站帳號。

數位憑證 (Digital Certifications)

公司網站需透過第三方驗證來保障網絡安全。例如 SSL (Secure Sockets Layer) 數位憑證提供伺服器身分鑑別和資料傳輸加密,這種額外保障能確保公司網站達到搜尋引擎的安全要求。

善用生物辨識技術 (Biometrics)

上文提到,生物特徵數據意指人獨特的身體記認,包括指紋、面部表情、瞳孔等。這種技術通過掃描生理特徵,將這些符號辨識成數據後與數據庫的結果進行比較;如兩者匹配,就可以獲取權限,確保身份沒有被人盜用。

與此同時,一些行為特徵 (behavioral characteristics) 亦可作生物辨識,例如聲音、打字節奏以及行走姿勢等。

總結

如果你所經營的公司需要收集客戶個人資料,務必主動採取所有可行的網絡安全措施以防止資料外洩。這年代,消費者對於數位身份有機會被盜取的危機意識越來越高,企業有責任定期改進保障措施來確保客戶資料受保護。

(原文由 Gil Artmoore 撰寫,Team Vanna 翻譯成中文)

­

Share this post