零售業者架設攝影機收集個資，以便更加了解客戶的消費習性，但卻產生風險。圖為一個戴著口罩的婦女和男孩走過哈羅德（Harrods）戴著口罩的吉祥物熊。（法新社）

編譯盧永山／特譯

現在當我們去逛街，進入一家商店時，往往都不知道自己的個資已被商家架設的臉部辨識攝影機、藍牙追蹤器、智慧感應器、自助結帳系統 、智慧手機應用程式收集起來。根據英國金融時報報導，儘管商家利用這些技術來更加了解客戶的消費習性，並改善客戶在店的體驗，個資的收集和其安全性可能引發爭議，甚至產生風險。

資安業者Avast的物聯網實驗室主管伊留辛（Vlad Iliushin）表示：「客戶通常不知道自己的個資被收集了，他們不知道這件事正在發生，更重要的是，他們在進入商店時，商家並未告知他們的個資將被追蹤和處理，也未提供客戶他們可以『不被追蹤』的選項。」

請繼續往下閱讀...

伊留辛舉1家加拿大房地產公司為例，該公司在旗下12個購物中心的數位資訊服務機內安裝攝影機，收集數百萬個影像，並使用臉部辨識技術，卻未告知客戶，遭到有關單位調查。

未能保護客戶個資 可能面臨鉅額罰款

除了客戶同意與否，這還牽涉到個資的安全問題。根據英國數位、文化、媒體和體育部的統計，2019年近半的英國企業遭受網路破壞或攻擊，未能保護客戶的個資，可能面臨英國政府鉅額罰款。

美國軟體業者新思科技（Synopsys）軟體工程主管波洛赫夫斯基（Michael Borohovski）表示：「商店網路和銷售時點情報系統，過去甚至比搶劫還更難進入，如今已被視為取得金錢報酬和竊取客戶個資的最有價值目標。有很多方法能使這種情況變為可能，從軟體缺陷到可能讓攻擊者取得額外通路或升級特權的弱點。這只是冰山一角。」

波洛赫夫斯基指出，通常用於無接觸支付的近距離無線通訊（NFC）技術，以及通常用於庫存管理和追蹤的無線射頻辨識系統（RFID） ，很可能被解讀和改寫，反制措施包括加強網路安全，安裝更新，僅可能用離線解決方式，設定更難破解的密碼，給予員工使用密碼管理應用程式。

收集個資改善效率 易成駭客下手目標

倫敦律師事務所Keystone Law商業律師和智財權合伙人巴內特（Vanessa Barnett）警告，由於零售業者採取物聯網裝置，個資安全威脅與日俱增。她說：「無論是零售業者安裝擴增實境（AR）裝置來看客戶試衣的情況，或用手持掃描機減少結帳區的排隊人龍，他們都收集了龐大的個資，好使自己經營更有效率，這使他們容易成為網路罪犯下手的目標。」

如果零售業者因為網路攻擊導致客戶個資外洩，後果可能相當嚴重。英國零售業者DSG Retail幾年前因為其銷售時點情報系統遭到網路攻擊，導致駭客取得其1400萬名客戶的個資，包括全名、郵政編碼、電子郵件地址等，今年1月遭英國資訊專員辦公室 （ICO）重罰50萬英鎊。

根據歐盟的「一般資料保護規則」，零售業者若洩漏客戶個資，可能遭罰款2千萬歐元，或其全球年營業額的4%。巴內特指出：「即便是大型零售業者，犯錯後仍可能對其財務造成巨大衝擊。」

大型零售業者進入點多 更容易被駭

美國科技大廠思科（Cisco）駐英國和愛爾蘭資安主管魏爾（Mark Weir）表示，物聯網裝置使得零售業者更容易受到駭客攻擊，「如果你是1家擁有店面，且還有很多連網裝置的大型零售業者，你將提供網路罪犯駭進你的事業許多不同的進入點。」

魏爾指出，只要有人利用1個裝置的弱點，駭進公司的WiFi網路，他就可能取得客戶的個資，客戶的個資越詳細，就更具賣給黑市或用來加駭其他受害者的價值。他建議零售業者讓所有的物聯網裝置維持獨立的網路，以將網路遭駭客入侵時的損失降至最低，並投資能承受網路攻擊的技術，而不要使用廉價的技術。

英國個資洩漏 9成是人為失誤

國際律師事務所Walker Morris合夥人米懷斯（Sally Mewies）表示，英國資安業者CybSafe的數據顯示，人為失誤導是2019年英國9成個資洩漏的主因，零售業者因此必須確保他們的員工接受物聯網裝置的安全訓練。

零售業技術供應商Zebra Technologies資安長薩克曼（Mike Zachman）表示，在使用物聯網技術時，零售業者應採取隱私始於設計（privacy-by-design）原則，讓加密和個資儲存從一開始就被納入，任何企業處理客戶個資時，必須對個資安全採取主動出擊的策略，也必須對待客戶個資的隱私，如同對待自家事業一樣。



一手掌握經濟脈動 點我訂閱自由財經Youtube頻道

不用抽 不用搶 現在用APP看新聞 保證天天中獎　 點我下載APP　 按我看活動辦法