162 在風險管理上,有「風險終止」(Risk termination)和「風險減少」(Risk reduction) 之說。把風險終止、徹底消除,在網絡安全的情景而言,是不介入這個網絡系統或不下載 這個應用程式,這樣便無風險問題可言。但是,在今日資訊網絡年代,我們很難不跟網絡 打交道,故而盡量「風險減少」,減少自己承受的風險機會,盡量減少個人資料在網絡上 保存。這是用戶能夠實際地保護自己的方法。這些方法無疑很被動,卻又「無可奈何」。 法律條文保障的局限性 對於如何保護個人的資料和信息,歐盟於 2016 年 4 月 27 日通過了《通用數據保障條 例》(General Data Protection Regulation‧GDPR)法案,並於 2018 年 5 月 25 日起 強制執行。 按法案規定,個人數據處理者(即機構/企業)必須清楚地披露任何數據收集,並聲明數 據處理的合法基礎和目的,保留數據的時期,以及是否與任何第三方或歐盟以外的國家 共享數據。用戶亦有權在特定情況下要求刪除其數據。公共主管部門和定期或系統地處 理個人數據的企業,需要僱用數據保護官員(DPO)負責管理 GDPR 的合規性。若然數 據洩露對用戶私隱產生不利影響,企業必須在 72 小時內向外公開通報,讓受影響的用戶 能夠盡快作出應對,減少損失。 換言之,歐盟以新通過的 GDPR 法案,取代 1995 年推出的歐盟個人資料《數據保護指 令》(Data Protection Directive),對數據處理者作出更嚴格的網絡個人 資料保護要求。 不過,即使法案作出更嚴格的保安要求,依然出現英航大量客戶的信用卡資料外洩事件。 在美國,負責網絡安全機構要求數據收集企業切實執行同用戶之間的協定,在服務合約 開始釐訂時,清楚向用戶說明收集個人資料的用途、目的和儲存,若最後發現數據收集 公司沒有履行合約上的承諾,該公司便要承擔事故過失的責任。 提高個人參與網絡保安意識 可以說,即便在法律層面對個人的網絡系統資料作出保護,但在今日網絡世界和數據儲 存規模如此龐大之下,網絡營運商如何應用和處理用戶的個人資料,用戶實在無從得 知,甚至營運商自身恐怕亦非瞭如指掌,完全掌握。以 Meta 今次事故為例,密碼處理 失當可能真的是員工不小心的意外所造成,但是在今日海量數據儲存的情況下,一個小 錯失往往牽一髮動全身,引起「災難性」後果。即使營運商全心真意想保護用戶的網 絡資訊安全,但也有「百密一疏」出現安全事故的機會。因此,用戶在網絡安全上進 行「自保」,是減少事故對自身作出損害的理性和有效方法。 5 促資訊保安
RkJQdWJsaXNoZXIy NDk5Njg=