重大個資外洩又一起

重大個資外洩又一起
http://www.ithome.com.tw/itadm/article.php?c=55693
目前立法院在協商的「個人資料保護法」，要求擁有5千筆個資的機構就必須要遵守個資法的規定
上個禮拜東森購物又傳出一起個人資料外洩的事件，這次是有一位自稱為阿哲的民眾，在網路上張貼販售東森購物交易資料的訊息，說他因為輸錢而急於求現，1筆資料只賣0.5元，而且他還為了取信於人，特別將內含8千筆交易資訊的Excel檔案，放在網路硬碟供人下載。

我們知道消息之後，循線下載到這個Excel檔案，看到裏面所記錄的交易資料，真是觸目驚心。這個檔案是2008年11月7日的交易記錄，內容詳細記載了訂單日期、客戶姓名、商品名稱、訂單金額、付款方式、配送地址、家裏電話、行動電話、信用卡號、發卡銀行、信用卡過期日期等等資料，看了不禁讓人捏一把冷汗。

8千筆個人資料已經是不小的數目了，目前立法院在協商的「個人資料保護法」，要求擁有5千筆個資的機構就必須要遵守個資法的規定，更何況這位阿哲釋出的這8千筆資料只是做為示範，如果他真有打算要藉此謀利，而且1 筆只賣0.5元的話，那顯然他手上握有大量的東森購物交易資料，如此事態就更加嚴重了。

從初期外洩資料的完整性來看，這份資料很可能是由內部流出的。據知情人士指出，東森購物是以一個單獨的資料庫來記錄交易信用卡的卡號，而客戶訂購商品品項則記錄在另一個資料庫，然而這份Excel檔則同時記載著信用卡卡號與商品品項，可見這個Excel檔已經合併了多個資料庫的資料，也因此，其中不乏資料整併的錯誤。姑且不論資料的正確性，光是要能合成出這份Excel資料，而且還被公開地展示，用來招攬生意，足以見得事態的嚴重性。

線上購物網站掌握的客戶資料頻頻外洩，讓詐騙集團有機可乘，事件層出不窮，無法有效杜絕，使得各界不得不重視個人資料隱私保護的重要性。現在，新版的個人資料保護法立法在即，雖然仍處於藍綠立委協商的階段，但在整個國際大潮流的趨使下，個人資料保護法終究會通過，只是時間的早晚而已。而東森購物這件個資外洩的事件，正可以讓我們思考個資外洩的防護上，除了要抵擋外部竊取之外，也得防範內部同仁蓄意外流。關於這個事件的經過與進一步的分析，請見本期新聞報導（請見第16頁）。

本期封面故事則是報導明年企業財報格式的新標準──XBRL，全名為Extensible Business Reporting Language，是一個以XML為基礎的財務報告語言，希望藉由XML結構化標籤的優點，讓財務報告有一個共通的資料格式的標準，使得財務資料的取得、交換與分析能夠更加方便。

你可以想像一下，德國公司的系統可以直接讀臺灣公司的財報？這件事在目前並不容易達成，需要透過種種的轉譯才行；但是如果臺灣公司的財報是遵循XBRL格式，那麼德國公司就算是看不懂中文，只要其系統能支援XBRL，就可以直接讀出財務報表裏的財務資訊，絲毫不須理會這份財報可是用中文寫的。

可以想見，企業財報採用XBRL國際標準後，可以跟國外的資本市場有更好的連結，這也就是證交所要求上市櫃公司提交XBRL格式財報的原因。明年9月以後，所有上市櫃公司的財報就都有XBRL版本，而未來XBRL還可以延伸至非財報的應用，目前有些國家已經率先進行，值得觀注。（請見第24頁）