成也數據敗也數據 (高天佑)

By on October 29, 2018

本文作者高天佑,為《信報》撰寫專欄「新聞點評」,此為節錄版本,原文請按此

國泰大幅降低入會會籍門檻,甚至未成年也可入會,藉以擴大會員數據基礎。(法新社資料圖片)

國泰大幅降低入會會籍門檻,甚至未成年也可入會,藉以擴大會員數據基礎。(法新社資料圖片)

在大數據年代,人人皆知掌握龐大客戶數據等於珍貴資產,但其實也是一把雙刃劍,若未能擁有匹配的數據治理(data governance)機制及能力,龐大數據隨時會變成計時炸彈,猶如「懷璧其罪」;特別是在歐盟GDPR新例下,這個炸彈足以拖垮一家像國泰(00293)的老牌企業。亦因如此,數據治理服務將有巨大商機,相關人才肯定吃香,不會淪為被裁員之「IT狗」。

國泰會籍大平賣有盤算

據了解,國泰很早已經看到大數據商機,包括在去年大幅降低了其飛行常客會籍「馬可孛羅會」(Marco Polo Club)的入場門檻及維持條件,例如最低層「綠卡」續會積分要求由100分大減至20分;按航程計,「綠卡」會員以往每年要來回香港和台北10次才可續會,現在來回兩次就足夠。此外,國泰還把入會年齡下限由18歲降至12歲,實行把未成年人士也「吸入會」。

國泰此舉造成會籍大平賣,所以大家現在搭「因航」辦理登機手續或準備登機時,不難會發現,在「馬可孛羅會專櫃」排隊或使用「優先登機服務」的人龍,甚至比起「非尊貴」普通乘客的人龍更長,頗為搞笑。

按理說,這樣難免會削弱了「馬可孛羅會」的「尊貴程度」,特別是對於留住少數最高級(例如「鑽石卡」)常客,恐怕未必有理想效果。但在大數據年代,像國泰這樣的大型企業往往另有盤算,希望盡量擴大會員基礎,並掌握他們的聯絡方式和消費喜好等資料,再從中挖掘大數據價值。

客戶資料外洩防不勝防

然而,至今為止,很多企業只看到龐大客戶數據的潛在價值,卻未有充分認識到伴隨而來的重大責任,主要在於如何保護這些數據。正如大數據專家車品覺在本報「全民大數據」專欄多番指出,大數據在成功獲取之後,還必須好好運用才可發揮最大價值,包括將之妥善整理、分析和演繹,再分級授權,共享予企業內不同部門或者第三方機構,甚至可透過智能手機隨時隨地使用;可是過程中同時要確保客戶私隱及企業機密資料不會外洩,涉及非常繁瑣而複雜的數據治理機制,絕不是十幾年前常用的普通數據資料庫(database)設施應付得了。

除了企業內部做好數據防洩之外,既然客戶大數據潛在價值愈來愈高,難免也會招惹覬覦,隨時可能遭到黑客攻擊。

有人把國泰今次大規模洩密事件,歸咎於其近年多番裁減IT部門員工。(法新社資料圖片)

有人把國泰今次大規模洩密事件,歸咎於其近年多番裁減IT部門員工。(法新社資料圖片)

近年在資訊保安業界,常有人打趣說,賊人若拿着AK47打劫銀行,最多搬走幾千萬元現鈔,但若能成功入侵銀行的深層客戶資料庫,可獲取的不法款項動輒以倍數計。誠然,銀行肯定會花費巨額成本,做好最高層級資料保護,而且涉及賬戶款項、密碼等深層資料絕對不會隨便共享,黑客應不易得手,惟其他企業就未必有同樣全面及嚴密防守。且不說身為傳統企業的國泰,早前證實多達940萬名乘客資料曾被不當取覽,就連全球最大社交網站、擁有逾20億用戶的科網巨擘Facebook,近年也經常發生客戶資料大規模外洩事件,可見實在防不勝防。

在此情況下,掌握龐大客戶數據的企業,一方面像擁有珍貴寶物,若處理及運用得當,可發揮巨大價值;但同時也像身懷炸彈,稍一不慎就釀成大禍。特別是世界各地針對個人資料保護的法規因應時代而愈趨嚴厲,歐盟的GDPR(General Data Protection Regulation)新例自今年5月起實施,被視為目前最嚴厲同類法案,針對所有跟歐盟國民做生意的企業,例如本港一家中小企若恰巧有一名客戶擁有歐盟戶籍(即使該客戶可能只花十元八塊買過一件產品),便受該條例監管,有可能被歐盟「告到甩褲」。

按GDPR規定,企業若發生嚴重的客戶個人資料外洩事件,最高可被罰款2000萬歐羅或該企業全球營業額的4%,以較高者為準。例如國泰去年全球營業額為973億元,4%即是多少?由於該航企未確定有否違反GDPR,所以暫時不必真正計算潛在罰款數字,以免嚇親小股東,只為帶給大家一個初步概念。而除了監管機構處罰之外,企業造成客戶資料外洩當然也有可能面臨民事訴訟,關公災難自不待言。

從另一角度看,有人把國泰今次大規模洩密事件,歸咎於其近年多番裁減IT部門員工,意指該航企不重視數據防護,實屬「應有此報」。不過平情而論,此講法略嫌籠統且欠公允,事關在當今數碼年代,所謂「IT部門」範圍很廣泛,內裏員工職能可以差天共地,不宜一概而論。

舉例說,十幾年前的IT部門主要負責維持辦公室內電腦設施正常運作,包括管理上網和電郵系統,並為同事維修電腦,職責重大;但隨着硬件及軟件自動化發展,此種職能所需人手已逐步縮減,並可外判以提升效率及節省成本。因此,一家企業即使大規模削減這類傳統IT人,也不能斷定其「不重視數據防護」,關鍵是該企業對於數據治理有否足夠的認識及投資,是否僱用適當的人才以及購買專業服務。亦因如此,IT人也要明智擇路和時刻增值,與其自嘲為IT狗,不如發奮「解鎖」數據治理能力,起碼可保未來十年八年金飯碗。

 (編者按:高天佑最新著作《中產必須死》現已發售)

歡迎訂購:實體書、電子書

更多高天佑文章:

[ English Version ]

Data can be both a valuable asset and a huge liability

支持 StartupBeat

如欲投稿、報料,發佈新聞稿或採訪通知,按這裡聯絡我們