希望透過本門課課程,瞭解目前我國因應數位產業創新與升級帶來影響,從智權法律的角度來觀察,以及企業面對科技進步所帶來的法律挑戰,從製造業科技轉向文化創意的法律課題等。 因應近年來通過多項重要法律,例如智權法律、資訊安全法律、個人資料保護法,如何在上述法律對於科技發展與科技市場的影響。 其次,如何瞭解透過有效的管理制度來有效管理科技的產出(如智財權),以及科技所造成的衝擊(如個資外洩等),希望能說明新數位科技應用引發之智慧財產權問題。 前勤業眾信風險諮詢公司總經理萬幼筠擔任資安管理顧問多年,對科技趨勢敏銳度很高,過去在四大會計師臺灣勤業眾信曾擔任事務所資訊長的他,總是能抓對科技發展趨勢、搶先同業布局,為公司帶來營收。 不論是個資保護或是數位鑑識,萬幼筠都能早於客戶看準趨勢、擁抱新技術,未來將統籌永豐金控在數位金融的發展。 顧問要懂得處理人的問題 「安全管理的觀念是相通的,」呂孟玲表示,會針對不同行業的保護重點做量身訂做,但基礎的安全概念是互通的,例如製造業重視的是研發資料的保護;銀行業則是客戶資料、存取權限,只要先將重點定義好,便可將安全觀念、理論應用在不同領域上。
永豐金控表示,萬幼筠因為個人因素離職,後續接任人選會以符合金管會所放寬的金融科技人才標準為依歸,現已送件金管會審核。 但是,如何保護客戶個資、如何增加個資保護強度、如何取得當事人個資使用同意等,不應該只是企業法務長或是營運長的事,每一個牽涉的流程環節和資訊資產安全,更是資安長責無旁貸的任務。 萬幼筠說,過去的資安險並不專業,資安長要看企業商業風險、公司營運狀態而有不同選擇,風險指標就是一種企業成熟度指標。 近期,因為資安風險高、所以保費高、理賠金額也高,若參考國外企業購買資安險的作法,可以把企業內部分成不同類型和範圍,各自投保合適的資安險種,達到企業避險的目的,像是代工產線部分,一旦中斷將會直接影響企業營運,就可以投保最高額的資安險,其他IT維運系統、伺服器等,則可以買其他類型的資安保險因應。
萬幼筠: 年底轉職潮 企業履歷保護做了沒?
從每次的合作過程當中,萬幼筠都有很深的體悟,他發現,天下沒有不能解決的資安”技術”問題,最大的資安問題在於”人”。 萬幼筠相當有自信的表示,通常客戶與我們團隊的關係都相當深厚,因為我們從不延宕,而且實際用心投入,只要經過一次的交手印象就會相當深刻、粘著度也會很深。 在網際網路上,你不知道我是誰,我也不知道你是誰,可以盡情做喜歡的事,因此駭客也是為所欲為,如果每個人都像實體世界ㄧ樣,需要有身分證明才可以登入電腦,進出與電腦有關的空間(cyber space),相信可以杜絕大多數的駭客,犯罪偵查也會變的容易許多。 政大兼任助理教授萬幼筠表示,CMMC不是一個單純的資安認證,只有清楚這是個基於美國國防採購合約管理(DFARS)開始的認證機制,才能夠真正掌握到精髓。
萬幼筠說:「個資外洩基本上是一種企業對當事人的侵權行為,」而所有的犯罪在追究責任時,檢察官主要的任務就是追查犯罪動機、掌握犯罪工具,以及確認犯罪事實。 所以,企業在評估《個人資料保護法》施行後的各種影響層面時,對於企業應該盡哪些義務、負擔哪些責任,尤其受損害的當事人提告之後,上法院訴訟時,就可以從「有無故意」、「有無過失」、「有無善盡善良管理人責任」以及「有無不可抗力之因素」來看相關的衝擊與挑戰。 上述的案件並非例外,萬幼筠提醒,隨著新法規定,受委託單位視同委託者,在法律上,委外單位和委託者負有相同的個資保護責任和義務,如果客戶提告,企業提供相關的證據追查個資外洩的起迄點,如果追查途中,因為委外單位沒做好相關的個資防護以及追蹤記錄保存,導致企業無法完成個資外洩的追查時,委外廠商和企業需負起連帶賠償責任。 為什麼個資保護第一要務就是匡正心態,蒲樹盛以「密件副本」的概念做說明。 他指出,許多有個資保護概念的人在寄送電子郵件時,就會習慣性把普遍多數的收件人名單列入密件副本中,避免電子郵件被收集;但這種密件副本的觀念卻不一定深入到每個電子郵件收發者的身上。 這也如同企業對個資保護的概念,如果不能深入到每一個同仁的心理,無意間的小動作,例如一時疏忽,把所有收件人都列在收件者或者副本收件者的欄位中,類似因為無意動作導致的資料外洩,也可能造成很大的客戶資料外洩後遺症。
萬幼筠: 恆大申請破產、碧桂園中植系爆雷 金融業與國人踩雷一次看
能夠知道駭客如何去找尋跟研究各種系統漏洞,才能對自己的網路架構有更深入的了解,提供更好的防護。 檔下垃圾郵件與病毒 施孟甫從政府的五年計畫來著眼,他認為「內容管理」會是未來發展的重要路線。 雖然IDS走向IDP,但在未來3~5年內,SMTP仍會是IDP做不到的領域。 配合安全政策(防偽、認證發信),現在的垃圾郵件過濾產品已經能夠解決99%的垃圾郵件問題,不過垃圾郵件問題還是人的問題,即使運用各種過濾技術(貝氏演算法、Sender ID),Spammer總是會找到漏洞鑽。 舉例而言,如果臺灣有醫美診所針對歐盟公民提供醫療觀光的服務,而這樣的營收也已經占該醫院整體營收一定比例的話,那麼,該醫院對於歐盟公民的個資保護和使用,就必須符合規範。 萬幼筠認為,從歐盟對於個資隱私資料保護的高標準來看,「個資的使用目的,仍然是最重要的,」也就是說,如果個資隱私資料無法做到資料落地,必須要透過跨境傳輸,在此同時,卻又必須符合足夠的監理或執法情報需求下,更必須要嚴格遵守目的限制才行。
- 就像是電子商務業者PayEasy總經理林坤正,在成立個資因應小組後,便帶領個資小組成員和全公司一級主管,共同宣誓落實個資保護的企圖心。
- 此外,在資安管理法中,也明訂行政院應該要建立資通安全情資的分享機制,萬幼筠指出,美國在發生911的恐怖攻擊事件後,便成立了國土安全部(DHS),其中,國土安全部一個很重要的任務除了蒐集情資外,也必需要做到情資安的分享機制,才能真正達到「聯防」的效果。
- 信任是指我們能否信任應用程式、電腦之間是否能夠互相信任、電腦是否能夠信任人,例如我們不會信任木馬和後門程式;另外,資訊安全該如何與其他領域平衡,在使用者、管理者與法律之間取得平衡點,例如既沒漏洞、又安全好用的瀏覽器。
- 蒲樹盛對此表示同意,他認為,企業內對《個人資料保護法》因應如果有共識,第一件事情就是制定個資保護的政策,為了符合BS 10012規範,就應該攤開組織表,審視每個部門的功能執掌,並設立一個專責的個資管理單位,稱之為「Data Controller」,負責個資的蒐集、使用、傳遞、銷毀和保存。
比如臺灣保險業與保發中心串接,銀行與財金公司、聯徵中心、票交所串接,許多服務不只單靠金融機構本身,介接之後,機構間的安全都會影響到彼此。 所以,資安資訊分享與分析中心及資安事件監控中心(SOC)的重要性在於,可以即時掌握不同資安事件的資訊源。 萬幼筠 在FinTech的浪潮下,包括AI、區塊鏈、雲端、大數據,以及身分識別等新興技術,為金融機構帶來數位變革,並呈現在銀行許多業務面的服務,比如支付、房貸、車貸、清算、市場金融投資、衍生性金融商品操作等應用。 然而,這些數位金融發展,同時也帶來新型態資安風險,而資安的挑戰更是來自全球。 萬幼筠表示,由於資料應用涉及消費者、資訊蒐集者及使用者三方利害關係,傳統金融業對於資料管理、應用及客戶保護程度掌控,除了將成為金融科技公司的商機,對於資訊安全的把關,也將影響客戶信賴程度和主管機關的公信力。
萬幼筠: 數位高層成金控轉型關鍵,永豐金控找數位金融科技大腕萬幼筠擔任數位長
一張不夠多,二張不偏頗 萬幼筠表示,依照國外趨勢,美國911之後,CISSP是最當紅的證照,有40年歷史的CISA也很熱門,這兩個證照是GoCertify()列名為資訊安全難度最高的兩個證照,除此之外,CISM及BS7799 LA也是大家耳熟能詳的證照。 但光靠這些證照並不能完全解決問題,所以在法治面則有CFE(Certified Fraud Examiner)與CBCP(Certified Business Continuity Professional)。 除了上述6大證照之外,還有一些資安產品的證照,如微軟、Symantec及Cisco等,可以依照專長取得這方面的證照。 楊士逸也有相同的看法,目前有名的安全證照,在未來應該也不會改變,包括CISSP、BS7799等,因為他們不是在測驗技術,而是正確的資訊安全認知。 萬幼筠 Cisco本身有與安全相關的證照,例如CCIE Security,不過它比較偏向網路面,而且是以Cisco的解決方案為基礎。 萬幼筠提到,金融科技的另一大安全風險,就是大量使用各類數據的隱私保護執行,然而,要運用資料,得先去識別化,讓個資不再具有直接或間接識別性。
國防安全研究院網路安全與決策推演研究所所長唐從文表示,若要推動網路安全成熟度模型認證CMMC,可參考其他國家經驗,結合行政、立法、產業、學術等單位進行。 他也認為,數據治理未來一定會投射到企業董事會定期需研究的部分,並一層一層逐次往企業各階層進行安全控制規範。 金融機構在發展AI、Blockchain、Cloud、Big Data等新興科技時,在資訊安全上也會帶來更大的挑戰。
萬幼筠: 數位金融發展帶來新型態資安風險,成金融資安治理最大挑戰
而稽核員自身專業的累積相當重要,除了不斷output外,還需時時充電。 他表示平常會密切注意全球的發展趨勢,或是引進英國總公司的新標準,例如有關企業員工篩選的BS7858、軟體開發安全的BS15000,都屬較細項的資安標準,也是組織在推動BS7799之外,其他可供參考、導入的規範。 因此、辦研討會、活動、課程等來推廣「正確」的認知,也佔了工作中的蠻大比例。 如今越來越多的服務必須透過資訊科技才能提供,但不論交易或是服務,過往經常呈現出不對稱的狀態,如臺灣電子商務業者擁有大量且寶貴的客戶資料,卻往往因為公司規模小,而沒有經費投入在資安項目中。 張裕敏表示,有專家預測在2005~2008年之間,資安問題會上升,駭客技術幾乎等於防護技術,所以漏洞公布與蠕蟲出現的時間差越來越短,目前防毒廠商已經拼不過病毒作家,因為有一些病毒只會散布到特定組織,防毒產品無法掃出這些「未知」的病毒,必須透過犯罪調查才能偵測出來。 加上無線網路結合通訊設備(手機、PDA),讓資安問題越來越嚴重,一直要到2008年之後才會下降。
也因此,他建議臺灣企業在進行個資保護時,一定要有正確的心態,如此一來,相關個資保護的作法、方向才會對,才不至於造成方向偏差。 這種目的性的作為,通常是哪裡有洞補哪裡,在無法深入企業流程進行個資盤點,無法了解企業重要的個資有哪些,會經過哪些部門與作業流程,一個有意或無意的疏失,都可能造成嚴重個資外洩。 就像是房屋捉漏一樣,蒲樹盛說,若不能找到漏水的源頭,只是修補好漏水處,永遠會有再次漏水的可能性。 目前許多政府部門,為了讓個資保護的作法能夠從點擴及線與面,也接受BS 10012相關的教育訓練,作為各政府機關執行個資保護作為時的重要參考框架。
萬幼筠: 勤業眾信會計師事務所董事 萬幼筠:風控四大挑戰有三解方
游源濱同樣認為潛在駭客的人數將越來越多,攻擊事件的發生率也隨之上升,先前就有高中生置換總統府的網頁;另一方面,隨著頻寬的提升,駭客和被害者都可以取得很高的頻寬,如果攻擊網路骨幹或入口網站,影響範圍將非常廣泛;各種攻擊手法也不斷精進與複雜,最近就有不少蠕蟲採用覆合式攻擊手法。 經歷香港的反送中運動後,美國川普政府就下令攔截並禁用中國華為製造的5G設備和基地臺,之後美國就公布一份5G乾淨網路名單,這也是美國從確保供應鏈安全角度所實施的第一項措施。 CMMC從川普政府執政的第一版開始發展,直到試運行後發現,原先的框架太複雜,許多中小型國防供應鏈業者無法適用,於2021年11月推出第二版草案後,以精簡的三級認證取代。 《Security Engineering》 闡述安全領域各項目的知識,內容並不具技術性,但有很多案例輔助與精闢的論點。 作者是相當知名的安全領域研究專家 Ross J. Anderson,他的學術涵養與其豐富實務經驗讓人推薦此書。 好書分享: 《Writing Secure Code (2nd ed.)》 微軟公司將過去幾年從程式間找到的安全問題經驗累積後發表如何撰寫安全軟體的步驟與做法。
蒲樹盛對此表示同意,他認為,企業內對《個人資料保護法》因應如果有共識,第一件事情就是制定個資保護的政策,為了符合BS 10012規範,就應該攤開組織表,審視每個部門的功能執掌,並設立一個專責的個資管理單位,稱之為「Data Controller」,負責個資的蒐集、使用、傳遞、銷毀和保存。 蒲樹盛表示,個資發送給誰、又被轉送給誰,中間所有傳遞的軌跡流程,都應該有專責的人或單位負責。 萬幼筠說,BS 10012是一套個資保護框架,也是企業進行個資保護管理PDCA實務作法的國際標準,不僅符合臺灣《個人資料保護法》的立法精神,更是目前少數提供個資保護實務作法的標準。 萬幼筠認為,對於有真正落實、深化ISO 27001資安認證的企業,因應新版《個人資料保護法》的來臨,可以新增加BS 10012的實務作法,藉此完善企業對個人資料的保護措施。
萬幼筠: 《金融》衝數位金融 永豐金挖萬幼筠掌兵符
從上述各國採行的做法,我們也可以看出,所謂隱私工程中的「去識別化」(De-identification),就是一個重要的發展方向,希望針對個資中各種可以識別的資訊,予以移除或模糊化,降低個人不想揭露資訊的風險。 當企業不再保護客戶的資料隱私,客戶也不願意提供更有價值的資料,甚至可能提供假資料,此時,反而會因為彼此缺乏互信,客戶就不可能提供真實有價值的資料,當然,企業也無法提供更好的服務。 接著,還有應充分告知個資當事人個資被使用情況的「告知」(Inform)策略、為當事人提供處理個資的聯絡或代理窗口的「控制」(Control)策略、制定符合法律要求的隱私政策並予以「執行(Enforce)的策略,以及資料控制者必須能夠提供符合現行隱私政策與相關法律要求證明的「宣告」(Demonstrate)政策。 但臺灣個資法沿襲歐盟對於個資的保護,重點不只在於「保護」,萬幼筠指出,臺灣個資法第一條、第二條,就明定「促進資料合理使用,符合特定目的」,希望可以做到保障當事人個資權利,包含資訊自主權、人格權等,「如果資料保護很好,但其實不好進一步的使用,其實,並未合於法律提到的合理使用及符合特定目的規定。」他說。 他認為,畢竟,資料使用的終極目標,是為了帶來數位時代新興國家的應用,所有資料的使用,就是要扶植這個產業,產生一些符合數位國家的新興應用。 例如,如果醫療上的資料如果用得好,就可以帶來健保不浪費、醫療效率提升的好處。
例如,某些涉及公眾存取得資料,假名化的強度就要很高;如果是企業內使用的資料,如果可以確保不會被外界任意存取,這些資料的假名化就可以有程度上的差別。 萬幼筠2023 七月初,歐盟氣候監測機構「哥白尼氣候變化服務」宣布,受到聖嬰現象增強影響,人類迎來全球最熱的六月。 過沒多久,六月的警告還言猶在耳,聯合國再度指出,氣候變遷已然失控,七月成為觀測史上最熱的月分,「沸騰時代」正式來臨。 兩年前,金管會發出三張純網銀執照,其中樂天、連線銀行(LINE Bank)這兩家純網銀,分別在今年1月和4月開業,「鯰魚」正式被放入「泥鰍群」,為數位金融服務開啟了新篇章。 比如一家資料倉儲廠商,將前一家金控客戶導入的系統模組,刪除資料後套用給另一家金控客戶,在短時間內快速完成專案。 衛福部在11月底第三屆醫療資安長共識營中,大力呼籲46家關鍵基礎設施醫院和私立醫院設置資安長,甚至明確透露,未來將透過評鑑手段來鼓勵醫院設置資安長。
萬幼筠: 萬幼筠:從隱私工程來看GDPR的法遵落實
柯志賢表示,數位科技帶領零售業轉型,將朝全通路零售、隨選零售、跨越數位化鴻溝與跨境電商興起等四大趨勢邁進,而未來「智慧零售」將主導零售風潮,業者在進行跨境電商業務時,「金流、物流與資訊流」將成為打通跨境營運任督二脈的三大關鍵。 萬幼筠指出,歐盟實施GDPR後,各國對於這個號稱最嚴格個資法的因應,都已經產生相關的漣漪,除了保護範圍複雜,也會擔心技術演進是否足以保護個資。 因此,國外把GDPR當成一門生意在做,反觀臺灣,卻視為不得不做的法遵要求,相較之下,兩者的主動性和積極度就有很大的差別。 在今年5月25日施行的歐盟GDPR(歐盟通用資料保護規則),有許多國家也調整該國法律以配合GDPR的實施,更有甚者,有越來越多企業,開始慢慢的意識到,企業必須調整該公司對於個資的使用方式。
個資因應小組需與績效制度連結 個資因應小組要能夠動起來,公司經營階層的態度非常重要。 蒲樹盛便建議,公司高階主管,例如董事長或總經理等,可以具名寫信給每一位員工,告知成立個資因應小組,並公布小組成員名單以及小組任務及里程碑。 不過,也不是所有公司都適合由總經理帶頭推動個資法,達文西個資暨高科技律師事務所主持律師葉奇鑫表示,只要依照三個原則:有權、有錢、有人,來挑選個資因應小組召集人,就可以做出一番成果。 隨著人工智慧/機器學習能力的提升,可模擬人類的思維邏輯與智能行為,因此,將發生真人及擬人間的「人力資本」演變。 因此,勤業眾信報告認為,人工智慧(AI)等新技術的運用,將劇烈改變金融業的勞動力。 勤業眾信與世界經濟論壇(WEF)合著《超越金融科技:金融新創翻轉產業實務解析》,歸納轉變金融業服務樣貌的五大核心發現。
萬幼筠: 永豐數金大將萬幼筠離職
不少國家透過法規力量,要來強化企業的資安水準,不只臺灣,如歐洲、美國、新加坡、韓國、澳洲等國家,都通過了資訊安全系列法案,都以關鍵基礎建設為主。 法規也尤其注重資訊安全供應鏈的規範,涉及管理、供應、諮詢、開發、測試、驗證、金流、資訊流、商流,甚至是供應商提供的服務內容,都會影響到企業整體安全。 曾韵觀察,萬幼筠過往主要服務的產業以金融業為主,常年與金融業高階主管打交道,不僅要懂得金融業產業的領域知識,也必須理解金融業發展面臨的瓶頸與痛點,加上金融業是高度法遵、風控與主管機關高度監理的行業,如何將產業重要的技術發展趨勢,用管理階層聽得懂的話和董事會溝通等,也成為萬幼筠多年來練就的專長。 萬幼筠2023 她相信,在萬幼筠的帶領下,永豐金控有機會可以掌握趨勢、降低風險並符合法規,可以做到真正落地的數位轉型應用。 萬幼筠在勤業眾信工作的20年間,也搭上全球各種新興科技與應用發展的浪潮。
近兩年,金融產業進行數位轉型,找來跨界人才擔任數位長逐漸成為一股趨勢,最具指標性的就是玉山金控已故科技長陳昇瑋,兼具中研院研究員和臺灣人工智慧學校執行長身分,跨界人才擔任數位長,不僅是學界跨足產業界的指標範例,他成功打造出新的AI團隊,也成了許多產業尋覓人才的重要參考。 假設該企業需要一個當公司在歐盟拓展業務時,可以協助把關客戶個資保護處理事宜的資安長時,公司的資源就必須放在:如何做到符合歐盟個資法GDPR保護客戶個資的方法上。 因為資安要跟績效指標結合,如果企業面臨的資安風險過高時,也可以考慮使用資安險作為風險轉移的工具。
萬幼筠: 萬幼筠
但若只是為了符合個資法規範,而把所有資料應用的可行性全部鎖死,一旦這樣的法律實施後,是不會帶來任何符合公益性的活動。 而且,歐盟所保持的態度是:資料保護之餘,是否可以促進資料的合理使用,將更為重要,關鍵在於:怎麼讓監理機關安心,信任個人資料不會遭到企業濫用,讓資料的使用處於合理保護範圍內,促使企業不會侵害、濫用個資。 永豐金控前任數位科技處處長的萬幼筠,才剛滿半年就在10月中離職、轉為顧問。 永豐金控表示,張天豪是台灣大學資訊工程博士,目前是成功大學電機系教授、永豐銀的專業顧問,長年都對AI領域等先進技術有所鑽研,並與產業合作密切,並宣布由張天豪接任數位科技長。
萬幼筠也舉例,微軟XP作業系統在2014年4月8日終止支援後,公務機關為了確保作業系統的安全性,要求各個政府部門全面盤點XP作業系統的使用情況,並要求制訂落日條款、編列預算,全面更換到比較安全的新作業系統。 以目前來看,除了少數偏遠的3、4級機關,還有使用微軟XP作業系統之外,公務部門幾乎已經完全升級完畢。 不可否認性、資料擷取與量子技術 萬幼筠2023 與前面的行家不同,朱保全從個人、國家及國際等3方面來談未來關鍵的安全技術。
萬幼筠: 歐盟的8種隱私工程設計策略
林松儀表示,封包層的掃描會是未來的關鍵技術,可以在路由器或交換器上就掃描該封包是否為網路型病毒,以清除掉大部分的病毒。 越來越多的病毒是利用系統漏洞進行攻擊,像Code Red和Nimda等利用某種漏洞而且又很有創意的病毒,必定造成重大危害。 另一方面,只要某漏洞被寫成病毒,使用者會更新修補檔,造成其他病毒作家無法使用,即使寫出再厲害的病毒也無用武之地,所以現在許多病毒作家都在搶時效。 同樣的,林秉忠認為未來兩年將是IDP/IPS當紅的時期,各家大廠都將陸續推出應用層的防火牆,將IDP/IPS與防火牆整合為一。 另外,將系統弱點偵測(Vulnerability Assessment)與企業的風險評估整合,並追蹤評估風險,可能會逐漸在大型企業普及化。
我們致力培養傑出領導人才,通過團隊協作落實我們對所有利益相關者的堅定承諾。 因此,我們在為員工、客戶及社群各界建設更美好的商業世界的過程中扮演重要角色。 國際最大會計師事務所德勤(Deloitte Touche Tohmatsu)於2016年公佈的報告中指出,科技演變至今造成律師行業最少喪失了3.1萬份的工作。 報告中也預測,在未來20年,可能會有高達39%的律師面臨被裁員,也就是約有11.4萬個職位將被人工智能替代。
萬幼筠: 金融科技創新洗禮 重塑金融生態系統
勤業眾信《超越金融科技:金融業破壞式創新發展實務評估》報告,彙整翻轉金融業服務樣貌的八個關鍵力量,並以Fintech公司、傳統金融業及監理機構的角度,分析未來應加強留意的重點,提供金融業研擬未來產業發展策略及因應之道。 曾韵表示,調查局目前使用的是以太坊的公鏈系統,所有鑑識報告的雜湊值都可以在以太坊的節點上查到。 萬幼筠2023 但她也說,要討論導入區塊鏈系統時,不僅要選擇適合的底層平臺,也要知道:誰可以讀取或寫入資料;要記錄哪些資料? 同時,必須要做到:如何管理單位的加密金鑰與電子憑證,並且要驗證資料有效性與正確性;此外,也要可以驗證智能合約的有效性與正確性;在落實有效監督流程運作與確保資料安全之餘,也必須做到與其他單位和系統的互動。