為何個人資料外泄事件像極了不可解的X檔案？讓我們一起從2009年第一條震驚產業界的資料外泄事件談起：戰國策外泄4,270筆客戶訂單數據。

    戰國策外泄客戶訂單等數據一事發生至今，僅戰國策的客戶、其他主機代管業者以及信息安全專家先后針對該事件表示看法，如戰國策客戶不滿戰國策無主動告知該事件，以及信息安全業者呼吁戰國策客戶以更換密碼等方式避免惡意份子竄改其數據等；反觀戰國策，其除要求Google移除相關數據，以及對外表示正在追查促發該事件發生的原因外，無其他解釋。

    戰國策對該起資料外泄事件的做法是─不大積極的亡羊補牢。發現資料外泄狀況后，戰國策除趕緊請Google移除相關信息（先補墻防止發生更多問題）外，對于那些可能恐已被狼群（黑客等惡意份子）刁走的亡羊、或者是還在柵欄內的羊群（問題一），可能因為數量過多且無法稽核等，戰國策是以不變應萬變，如未在第一時間告知客戶發生該起事件等，至于其計劃如何補強柵欄（問題二）等，只能說，戰國策真的是保密到家，完全不對外透漏任何風聲（問題三）。

    問題一：未告知導致客戶無法自防。

    由于戰國策未通知，客戶對于公司名稱、聯絡人姓名、身分證字號、電話、地址、電子郵件、交易方式、金額、主機方案，以及代管主機的IP地址、賬號、密碼、域名等信息都赤裸裸的暴露在因特網上可能渾然無所覺，更不用說有任何因應之道。

    問題二：無后續因應之道恐導致業務銷售成績下滑。

    截至今日，戰國策仍未對外表明后續因應之道，如其將如何強化信息安全防護機制等，這除影響戰國策在（虛擬）主機租賃服務市場的名聲外，亦可能導致既有與潛在客戶對戰國策的信任感逐漸下降，以及思考是否該使用戰國策的主機租賃服務。

    問題三：委外服務市場恐因此受影響。

    根據IDC與MIC等市調單位的報告，2009年，基于降低信息營運成本等考慮，委外、租賃或代管等服務極可能成為市場寵兒，但上述市場狀況極可能在虛擬主機租賃服務業者─戰國策爆發個人資料外泄事件而趨緩。可以想見，委外、租賃或代管業者會積極于向企業客戶證明其的信息安全防護機制有多嚴謹，但，業者所提供的信息安全防護機制是否真為企業所需？又該由誰來稽核所言不假？

    不只戰國策，甚少有人清楚表示其是如何處理個人資料外泄事件。回顧2008年發生過的資料外泄事件─金石堂與誠品書局等書局傳出會員個人資料外泄、6月國中基測31萬考生資料遭竊、7月職訓e網9萬筆個人資料外泄等…現在，讓我們一起來回想一下：有幾個單位曾在事發后主動對外表示其計劃如何「解決」上述問題，而非對外澄清該事件沒想象中嚴重？

    不公開絕對不是最佳信息安全防護方式。猶記，筆者在2年前因服務器虛擬化技術專題至戰國策采訪時，戰國策技術部主任胡邦元即曾直接對筆者說：基于安全考慮，無法提供詳細（或簡易）的戰國策內部信息系統架構示意圖，在那個時間點，筆者認為他說的很對。

    現在，我依舊覺得他的堅持沒錯，但只堅持不公開信息系統架構等可能有點不夠，以這次的資料外泄事件來看，根據媒體報導，導致這起客戶資料外泄事件的原因可能是戰國策員工使用的瀏覽器安裝了類似Google Toolbar的工具軟件…我們或許可以這樣說：為避免企業形象與業務營運績效會受到資料外泄等事件的影響，企業除得循序部署合宜的信息安全防護系統架構外，還得確定相關人員（內部員工與外部合作伙伴）對信息安全防范有一定程度的了解；畢竟，無論信息安全系統如何健全、自動化，仍需“人員”操作相關系統。

    除了部署健全的信息安全防御系統架構、適時的信息安全觀念倡導外，當企業是否能以主動積極的態度與行動面對突發的信息安全事件：對外（客戶）解說因應之道，以及對內（系統與人員）進行稽核與改善，亦極重要…當然，要做到上述動作，一開始一定會有不小的挑戰（尤其在亞洲這種嚴守家丑不可外揚的地區），但上述這種從作中學的做法確實有助于企業精進信息安全防御機制，至少，企業新進信息人員可透過詳盡的信息安全報告了解企業曾遭遇過哪些信息安全問題。