日前iRent、格上、華航等民企紛紛爆出客戶個資遭外洩,行政院長陳建仁日前也責成副閣揆鄭文燦,本週邀相關部會討論。行政院發言人陳宗彥9日指出,行政院已提出幾項短、中、長期的措施方向。
近期民企紛紛爆出客戶個資外洩事件,引發疑慮。和泰車旗下和雲行動服務股份有限公司iRent外洩用戶個資,經查資料庫發生防護性缺口。格上租車也被立委踢爆雲端儲存空間設定不當,導致十萬筆客戶訂單資料可被查詢,有外洩疑慮。
此外,華航近期收到匿名勒贖信件,用戶個資遭駭客公開在網路論壇,不乏台積電創辦人張忠謀、名模林志玲等人個資遭外洩,甚至駭客預告將公布第三波名單,包含內政部長林右昌、台塑董事長等知名人士。
針對外界關心個資防護,陳宗彥9日在記者會上表示,鄭文燦已召集相關政委及部會進行會議,並提出幾項短、中、長期的措施方向。
第一,維持「行政院國家資通安全會報」與「行政機關落實個人資料保護執行聯繫會議」之召開,但資安會報將視情況納入個資保護的個別議題。第二,會中也提出個資保護的短期強化方案,後續也會提報到聯繫會議進行討論。
於適當情況進行各部會合作
陳宗彥表示,國發會將就新的機制,制定「行政院及所屬各機關落實個人資料保護聯繫作業要點」,於適當情況進行各部會合作聯繫,例如外洩案件若已涉及刑事犯罪,主管機關進行行政檢查時,得洽司法檢察機關,包括刑事局、調查局等單位協助。同時,各部會也應配合修正安全維護辦法。
陳宗彥指出,短期措施部分,將要求現已訂定安維辦法的各機關及其主管事業,在發生重大矚目事件時立即通報,且個資行政檢查小組亦須偕同數位部、國家資通安全研究所,在3日內進行行政檢查,10日內完成檢查報告,兩週內提報到政委所主持的專案會議進行報告。
針對未來是否成立資安獨立審議與監督機制,陳宗彥說,陳建仁已指示由羅秉成、龔明鑫、吳政忠等3位政委於現有平臺進行綜合研議,且憲法法庭已宣判,需建立個資保護獨立監督機制,國家人權行動計畫裡,亦提及獨立隱私專責機關之優先性。
iRent個資外洩 公路總局罰20萬
對於iRent外洩用戶個資,公路總局表示,臺北市區監理所2月4日前往複查,因該公司屆期仍未改正,發生外洩風險之個資筆數達40萬筆,情節重大,依《個資保護法》第48條第4款規定,處最高罰鍰20萬元,若未改善將按次處以罰鍰。臺北市交通局9日也表示,將依違反《臺北市共享運具經營業管理自治條例》,對iRent裁處9萬元,並限期改善。
iRent回應,2月1日收到公路總局來函要求後已盡速處理,並於2月6日全數完成改善,但無法符合改善期限(2日內)的要求。未來會加速改善效率,以符合主管機關的時限要求,並再次向社會大眾致歉。
臺大電機工程學系教授林宗男接受《大紀元時報》訪問時表示,一般企業提供服務時,對資訊系統的了解其實都只有半套,只提供系統的基本功能性,卻忽略特別重要的資安問題;臺灣企業會如此輕忽,除了專業認知不足外,也與政府未採取正確態度有關。
林宗男指出,安全在不同情況有不同意涵,提供食品的企業,確保食品原料安全就是基本的責任與良心;生產汽車的廠商,確保零件安全也是基本社會責任;而iRent提供的是雲端服務,既然標榜高科技,資訊安全就是最基本的功能,對基本的雲端安全管理付之闕如,是非常不可思議的。
專家:裁罰太輕 企業無改善動機
雖然公路總局這次有對iRent開罰,但林宗男認為,罰金僅新臺幣20萬元,若以洩漏的40萬筆個資換算,每筆罰金不到1元,這對企業處理資安問題的成本來說,完全沒有加強資安的動機,業者可能寧願被罰;但他提醒,如果有歐盟公民因為向iRent租車而造成個資洩漏,按照歐盟GDPR(一般資料保護規則)規定,懲罰會非常重。
林宗男強調,政府罰則過輕,對企業來說不痛不癢,這導致某些企業一再名列刑事警察局165高風險名單,這其實已違反了總統蔡英文上任時宣示的「資安即國安」。他呼籲,政府應以嚴正心態重新修訂法規,加重對企業的罰則;對消費者來說,可以拒絕在資安做得不好、有個資外洩風險的公司消費,或打電話直接要求廠商改善。◇