外媒日前報導,和泰汽車旗下的共享汽機車服務iRent發生用戶個資疑外洩事件,交通部公路總局2日表示,調查發現,是紀錄應用程式Log檔的暫存資料庫發生防護性缺口,已進行防堵;至於可能洩漏客戶筆數,公司則說因資料較多,約需2至3天清查。立委認為,此事暴露出臺灣缺乏對資訊安全保護的內控機制。
為掌握個資外洩情形,公總轄下的臺北市區監理所日前已率相關單位人員前往和雲行動服務股份有限公司進行行政檢查,發現iRent未能依規定提供汽車運輸業個人資料檔案安全維護計畫書。
公總指出,根據iRent表示,1月28日接獲客服信件告知資料庫存有外洩風險,經調查是紀錄應用程式Log檔暫存資料庫發生防護性缺口,外部人員運用特定技術及工具可能得以進入資料庫查詢近3個月會員異動資料,已於同日檢查資料庫及內、外部連線並進行防堵。至於可能洩漏客戶筆數,因資料較多,清查時間約需2至3天完成。
臺北市區監理所已要求和雲行動前提報其消費者個人資料檔案安全維護計畫,並於2月3日前對事故根因、結果調查狀況、對可能洩密當事人通知狀況、事故後續處理及矯正作為、所採行之個資安全維護措施、公司管理人員等對事故是否已善盡防止義務等。如屆期未改正,則依《個人資料保護法》按次處新臺幣2萬元以上、20萬元以下罰鍰。
針對此事,立委吳欣岱表示,臺灣現階段無論是公家機關或是民間企業,對資訊安全保護的內控機制皆十分缺乏;此外,也缺乏更完整的法規保護及更有力的權責單位,臺灣針對資訊安全處理,起步得比較慢。政府除了修法,也應把更多資源投注於數位發展部,建立更明確的控管和不定期審查機制,才能讓民眾放心。
立委賴品妤則認為,目前的當務之急是正視眾多受害者的權益損失,交通部須監督業者依據《個資法》規定儘速通知所有受害者,有誰受害?損失為何?甚至是協助有需要的受害者,透過消基會進行集體訴訟。
對於接下來的工程,賴品妤則建議,一、應盡快成立獨立專責保護機關;二、無論是針對企業或民眾,個資保護或法制的宣導極為重要;三、呼籲行政院責成數發部、國發會、國科會等進行各國個資及資安監理狀況前瞻研究,如日本有條件提供個資等案例也可作參考,並依據臺灣需求調整。◇