【BN Promotion】國泰世華銀行營運長章光祖~個資法與APT將是金融業的兩大挑戰|數位時代 BusinessNext

「新版個資法與日益猖獗的APT攻擊，可說是金融業今年的內憂外患！」國泰世華銀行營運長章光祖解釋，客戶資料是金融業的資產，以往尚未實施新版個資法前，對於保護個資已不遺餘力；但資料處理很難避免外洩發生，倘若真發生事故，新版個資法很重視業者是否有善盡管理人的責任，也就是到底是否缺乏適當管理才造成憾事。再加上金融業因為握有龐大個人資料，本來就屬於駭客眼中攻擊目標，因此防止資料外洩，變成金融業最關注的資安課題。

章光祖笑著說，在七十、八十年代時，常可以看到銀行報表被中式早餐業者拿來包油條，這其實就是資料外洩了，但當時個資並未被視為有價值，因此不受重視；隨著資訊系統從封閉式走向開放，網路的興起、雲端計算的運用等，當資料取得更加容易，且駭客更加猖獗，使得保護資料避免外流更刻不容緩。

上圖為國泰世華銀行營運長章光祖。

保護資料避免外洩****要從企業作業流程做起

「個人資料保護與資訊安全的工作不僅關係到IT部門，還牽涉到其他業務單位，因此不能視為資訊議題，而必須要從企業整體的流程開始檢視。」章光祖認為，保護資料外洩必須要從整體的作業流程著手做起，而不是單靠某一個防毒軟體、應用程式或系統就可以保護，雖然資安業者可提供客製化的產品，但光靠買配備來增強戰力是不夠的，必須從強健體魄做起，先檢視自己目前的身體狀況，再來練身體，當身體練好了，自然就不怕外來的威脅。因此國泰世華在資料防衛戰的作法，首先就是進行ISO 27001:2005資訊安全管理制度(Information Security Management System)的認證，藉由在認證過程當中，檢視企業作業流程，是否有達成「機密性」、「完整性」、「可用性」的資訊安全管理目標。

當取得ISO 27001資安認證後，國泰世華進一步聘請外部資安顧問團隊針對個資法的規範與資訊系統的因應，作進一步的資安設備投資，優先導入個人資料含量最高的客服中心、存匯系統以及信用卡中心等三大部門。

資安設備加上資安教育才能打造完善的防護力

「資安防護無法做到100%！」章光祖解釋，資安投資永無止盡，儘管今年花費大量投資預防做到90%的防護，但隨著新科技的興起再加上駭客魔高一丈的侵略行動，事隔兩三年後，現在的資安防禦能力就會迅速下降到五、六成，屆時又將要投資新資安設備來維持防護力。因此，資料保護除了依賴資安設備外，最重要的還是對員工進行資安教育與配合資安政策，尤其是業務單位的配合，假如第一線的業務同仁不配合，則有再好的防護也很容易引狼入室。國泰世華資訊總管理處副理陳慶儒補充，個資安全政策由IT、法務、風險管理與人資部門等籌組的委員會來制訂，訂出那些規範一定得遵守，而哪些資料非執掌同仁不能碰觸，並引進稽核進來擔任內稽，確保徹底執行個資安全政策。舉例來說，業務單位可能會查閱客戶資料，瀏覽資料庫裡的報表等使用行為，但若超過自己權限的使用範圍時，或是異常性重複查詢某些資料時，IT單位就會做Log Control Code來做資料流的控制，把重要資料與異常使用的Log檔留存下來，作一個報表分析提供給主管單位知曉，若真的發生資料外洩，至少也能快速因應與防堵。

章光祖強調，資安教育訓練是一項成本最低的卻最需要確實做的投資，國泰世華的新鮮人在新人訓練時，都會加強資安課程，此外也在e-learning國泰學習網規劃資安議題課程，透過教育訓練宣導，希望同仁可以確切落實資安政策。

三階段措施預防APT攻擊

隨著智慧型手機與平板電腦的使用愈來愈普及，個人裝置BYOD（Bring-Your-Own-Device）盛行，行動資訊安全成為企業另一個重視的資安議題。章光祖表示，目前國泰世華並未限制同仁使用個人裝置，如智慧型手機或平板電腦等，但私人的設備無法連到企業內部網路，也無法讀取公司郵件，確保公司資訊不會透過私人裝置流到外部。此外，除了有業務需要外，基於安全的考量，國泰世華也不開放員工使用社交網絡，以免提供駭客攻擊的跳板。

章光祖說，去年繼日本Sony遭到駭客APT進階持續性滲透攻擊（Advanced Persistent Threat），造成數百萬客戶資料外洩，因此對於APT議題也相當重視。國泰世華資訊總管理處襄理賴彥廷解釋，APT的防護共分成事前、事中與事後三階段作法。由於在APT的入侵管道中，電子郵件通常是攻擊的最佳點，最常見的方式就是冒名發寄送以假亂真的郵件，並夾帶惡意程式檔，因此當外部郵件有夾帶執行檔或是可疑的文件檔，事前在系統端一律會被過濾機制擋下來。若在事前無法即時攔截下來的惡意程式，則在事中持續監測威脅擋下；若不幸到事後發生入侵時，也能儘速修復漏洞恢復系統穩定。

「商譽是無價的，也是企業最重要的資產。」章光祖強調，面對個資法的實施，正是企業檢視資訊安全系統的最佳時機。資訊安全保護不只是技術層面，而是經營者的體認以及同仁能否確切遵守資安政策。若是管理者瞭解個資保護與企業營運息息相關時，一定會投資足夠資源與心力做到滴水不漏的資安防護。

趨勢科技專家觀點

現今企業面對資訊安全主要有兩大層面，其內憂指的是即將上路的新版個資法，企業如何保護客戶個資不外洩；至於外患就是日益猖獗的APT攻擊。APT攻擊之所以難以防範，主要是APT是一種計畫縝密且具有長期目標的攻擊活動，具有低調、持續性、與潛伏期長等特性，因而很容易躲過一般的資安防護。以往的防護方式主要是透過管控邊界網路(Gateway)和用戶端(Client)；但這並不足以防止APT所構成的全方位威脅。面對APT，趨勢科技建議，企業首先要評估當前的暴險程度，以及對抗APT攻擊情境與防禦能力；接下來，再提升關鍵安全控管措施與流程藉此強化偵測、矯正與事件應變能力。最後則是主動減少漏洞以縮小攻擊面。

想了解更多APT防護之道>>>

面對人工智慧（AI）應用的爆發與地緣政治風險的升高，數位環境正迎來「信任」與「韌性」的雙重嚴峻考驗。為了回應這些挑戰，財團法人台灣網路資訊中心（TWNIC）舉辦首屆「 Internet Week 2026（網路週）」，大會串聯數位發展部（moda）、國家通訊傳播委員會（NCC）、亞太網路資訊中心（APNIC）、網際網路名稱與號碼分配機構（ICANN）、臺灣網路治理論壇（TWIGF）及台灣網路維運社群（TWNOG）等國內外指標社群與國際組織，整合多個重要論壇並展開 4 天共 66 場主題議程。

Internet Week 2026 希望透過公、私部門、國際組織與技術社群的跨界溝通，讓政府、私人企業、國際組織、技術社群與公民團體力量在同一個平台上對話。大會不僅期盼建立一個開放、中立且多元的對話空間，更致力於帶動信任的溝通，藉此強化台灣在國際網路治理舞台的實質影響力與能見度，共築具備數位韌性與信任的未來。

身分識別不等於信任，碎片化才是真正危機

「身分識別（Identity）並不等於信任（Trust）。」Edgemoor 研究中心執行長 Steve Crocker 在會後專訪中，拋出這句耐人尋味的觀察。

身為 ARPANET 時代的重要參與者，他見證網際網路從學術研究網路，逐漸演變為全球最重要的數位基礎設施。然而，在地緣政治與各國法規分歧的今天，他認為網際網路正面臨前所未有的碎片化挑戰。「在價值觀、法規與司法管轄權都不同的情況下，我們如何依然維持全球的互通與信任？」Crocker 點出了他的觀察。他指出，未來的數位治理不可能再依賴單一規則或中央權威，而是必須建立在全球共用框架與在地化決策並存的架構上。

技術機制能全球互通，但各國仍應保有政策調整的空間。這樣的治理思維，也體現在 Crocker 近年推動的「 Project Jake 」計畫。隨著歐盟「一般資料保護規則」（General Data Protection Regulation，GDPR）等隱私法規上路，過去廣泛用於網路犯罪調查的 Whois 網域註冊資料系統，已陷入隱私與公共利益的兩難。Project Jake 則嘗試建立新的跨境資料存取機制，而 TWNIC 更是全球首個主動參與試點的機構。值得注意的是，面對近年區塊鏈與替代性網域名稱系統（Alternative DNS）興起的聲浪，Crocker 直言這往往是為不存在的問題，提供昂貴的解方。

他強調，網際網路真正的韌性來自長年建立的「分散式協作」與「相互依存」。「網際網路從來不是中央控制系統，而是一個 network of networks。」在他看來，與其重新建立彼此割裂的替代架構，不如持續深化跨國透明協作與多方治理，才是維持全球網路信任最務實的方式。

借鏡歐洲《數位服務法》，用「個人問責」重新定義公共利益

如果 Steve Crocker 談的是「基礎設施的信任」，那麼 Jeremy Godfrey 所關注的，則是平台與 AI 對公共利益的衝擊。Godfrey 直言，當前數位平台最大的問題，並不只是單一內容真假，而是整個商業模式正持續放大社會風險。「數位市場並不一定會自然產生對社會最有利的結果。」

長期管理 Meta、X、TikTok 等跨國平台歐洲監管事務的他指出，當平台以廣告收益與流量作為核心目標時，演算法往往會傾向放大更具爭議性與成癮性的內容，進一步衝擊民主討論、兒少保護與社會信任。Godfrey 強調，當數位治理開始涉及言論自由、人類尊嚴與選舉公平等基本人權時，社會不能再將權利平衡的責任，完全交由商業平台自行決定。這也是歐洲近年積極推動《數位服務法》（Digital Services Act，DSA）的原因。除要求大型平台管控系統性風險外，愛爾蘭也進一步要求平台落實年齡驗證、限制向未成年人推播有害內容，並強化企業內部的「個人問責制」。

不過，在 Godfrey 看來，未來治理不該只是被動「減少傷害」，而是重新思考整體數位生態系。「我們不該在創新與安全之間二選一，而是同時追求兩者。」他認為，當 AI 與平台逐漸成為社會基礎設施的一部分，治理的核心已不再只是技術，而是如何讓「信任、安全、權利保障與經濟價值」彼此共存，重新建立數位社會的公共利益與信任基礎。

不用 AI 不代表更安全，溫水煮青蛙的轉型危機

而當 AI 與平台逐漸成為社會基礎設施的一部分，治理核心將更專注在技術快速演進下，如何重新建立企業、政府與社會的信任能力。「AI 已經從回答問題，進入執行任務（Action）。」行政院經濟發展委員會創新經濟顧問簡立峰指出，當前 AI 已具備規劃與執行能力，正逐步接手知識型工作的核心流程。

這波由代理型 AI（Agentic AI）帶動的變革，首當其衝的正是白領階級；企業接下來面對的不僅是「流程再造」，更是深度的「職能再造」。然而簡立峰也警告，台灣正面臨一場「溫水煮青蛙」的轉型危機。由於國內高端服務業多屬內需市場，企業導入 AI 往往只停留在讓工作變快，卻未真正翻轉核心競爭力做到更聰明。在全球市場，企業已開始不再大量招募初階知識工作者，而是亟需能與 AI 協作、重新定義問題的人才。

「不用 AI 並不能代表更安全。」面對外界對 AI 資安與風險的焦慮，簡立峰提出極具衝擊性的觀點。他以開車為例，車子不開出門固然不會出車禍，但也等於永遠失去移動的能力。真正的數位治理並非全面防堵，而是在實際使用中建立防護。他呼籲，政府必須比以往更積極地導入 AI，「如果政府自己不用 AI，就沒有能力治理 AI，只有 AI 才能監管 AI。」他以「矛與盾」來比喻，強調面對新型態的數位犯罪，必須建立如「AI 警察」般的防禦機制；唯有善用 AI 作為測試與除錯的工具，才能精準揪出系統漏洞，也就是「以 AI 來監管 AI」。

而在治理與技術外，最後的防線仍回歸到「人」。簡立峰強調，未來的教育必須從單向的教導轉為引導，全面培養全民的「AI 識讀能力（AI literacy）」，讓人們在真假難辨的環境中，具備獨立思辨與理解風險的能力。唯有如此，才能在 AI 深度滲透的社會中，建立穩固的信任機制。

多元共融與韌性實踐，為建立信任數位社會的基石

「現在最大的問題，已經不是網路快不快，而是人們還敢不敢相信這個網路。」TWNIC 董事暨執行長余若凡說到，AI 時代的數位信任不只是技術問題，更是場需全社會參與的治理工程。為此，TWNIC 正從純粹的技術社群，轉型為「信任環境驅動者」，致力打造讓人願意信任與參與的數位生態系。

余若凡指出，建立數位信任必須從三個層次著手。首先是「技術面」的基礎設施韌性，如落實 DNS 濫用防治與域名安全；其次是「治理面」的規範設計，探討 AI 與內容監理的平衡；最後，也是最關鍵的「社會協作」。她強調：只有當大家願意對話，信任才有可能被建立。

推動信任對話的同時，多元共融更是韌性實踐的關鍵。談及大會的「Taiwan Tech Women」論壇，余若凡坦言儘管台灣性別平權具指標性，科技業決策圈的女性比例依然偏低。但 AI 時代的不確定性，反而成為女性突破框架的契機。結合與談專家觀點，未來面對複雜的地緣政治與科技風險，企業亟需兼顧社會、科技與公共利益的「生態系領導力（Ecosystem Leadership）」。而女性特有的同理心與跨域溝通耐心，將成為這種多方協調的關鍵需求能力。

「最大的成功，是未來我們不再需要舉辦 Taiwan Tech Woman 這樣的論壇。」余若凡更期許。當性別不再是評價標準，多元聲音成為數位治理的日常，才是真正穩固的信任底座。

綜觀 Internet Week 2026 中各界專家的深刻洞見，網路的未來早已演變為一場涵蓋法規監理、人權保障、經濟創新與社會共融的環境。面對全球網路的破碎化危機與AI帶來的雙面刃效應，單憑政府或單一企業已無法獨力應對。「公私協力」與「開放對話」將是迎向未知挑戰的解方。藉由這些跨界對話與激盪，台灣向國際展現了落實「多方利害關係人治理模式」的決心與實質能量。期許在產官學研及公民社會的共同努力下，能持續深化國際網路治理的影響力，在下個網路世代中穩健前行，共築兼具數位韌性與信任的美好未來。