處理廢棄資料三大要點「保密、法規、環保」

隨著虛擬化等應用越趨普及，雲端寄存大量個人私隱資料相當普遍，同時也令舊伺服器和電腦設備的更新率漸漸提高。企業在更新這些設備時，要如何確保在更新的過程中，這些曾經用來處理商業資料的設備不會變成洩漏個人資料。這也就是企業要瞭解資料銷毀程序的重要性及關鍵性。

根據由 Unisys 進行的調查顯示，絕大多數（81%）受訪的香港市民表示，如果自己的個人資料在保安事故中被洩漏，他們會終止與有關機構的業務交易。調查中亦同時發現，60% 受訪的香港市民表示，他們會把事件公開，另外 39% 表示會採取法律行動。另一項由香港中文大學於今年 4 至 5 月委託調查機構進行的調查亦指出，逾七成港人認為未經妥善處理下，電子廢物會容易污染環境。

今天不少企業仍存著錯誤觀念，在處理舊伺服器硬碟敏感性資訊時，往往認為只要將硬碟檔案刪除，格式化硬碟，或通過複寫的方式就可以安全地刪除資料，令到企業處理廢棄資料時冒著洩漏機密資料的危機之餘，過程也不符合法規容易令客戶資料洩漏。

就有關問題，電腦法證顧問范偉泉指出何謂一個完整而合理的廢棄資料程序，當中原來包含三大元素，就是保密、法規及環保。他說：「不少企業對所謂的檔案清除，例如格式化整台硬碟，其實也僅是刪除檔案配置表中的參照資訊而已，通過特定程序和軟件來進行檔案分析，依然有機會將檔案復原。即使將硬碟刪除檔案的位置進行複寫，將取得的硬碟送至如鑑識實驗室之類的機構，有心人士依然有機會透過高科技將部分資料還原。」

在處理舊儲存資料怎樣才可以符合保密、法規和環保，范偉泉有以下建議：

1. 委外服務難驗證須符合法規標準

在選擇委外服務，需要留意服務商所使用的消磁器和破壞機符合各項標準，例如 ISO 標準，HK OGCIO 標準等，保證徹底消磁和充分破壞。客戶可要求服務供應商提供消磁/破壞報告和文件，幫助企業符合政府法規。另外，外包商是否真的對每一個儲存媒體妥善實行銷毀，其過程難以確認，企業在選購服務時，可要求提供上門服務，既起到監督作用，同時又能滿足對特別機密資料不能離開辦公室的要求。

2. 環保

很多舊電子儲存設備都含有毒物質，棄置在堆填區不但對環境造成潛在危險，也浪費寶貴的堆填空間。部分被棄置的電腦及電器仍可正常操作，應儘量重用，以善用資源。此外，舊電腦及電器內的可回收物料，應拆件供循環再造。

3. 降低成本

一般的企業大多不會自行採購專業的物理性實體破壞機器，因為可能機器太昂貴或是所需銷毀的儲存媒體數量不多，所以並不符合成本效益。因此企業可考慮選擇將資料銷毀外包給第三方廠商處理。另外，外包商的一體化專業服務，能為企業有效地節省時間及人力。

現時香港已有一些專為香港企業和政府機關而設的全方位資料銷毀方案，除了為企業降低資料風險外，更可減少成本和節約時間。其所使用的消磁器和破壞機符合美國國防部 DOD5220.22M 消磁或數據刪除標準，保證徹底消磁和充分破壞。