【記者張英傑/台北報導】
近期民眾個人資料外洩事件頻傳,時代力量立委邱顯智今(6)日召開記者會指出,和泰iRent發生個資外洩事件後,而另外格上租車也有訂單資料外洩疑慮。他指出,不論公、私部門,對於個資的保護、外洩後處置,仍然非常不足,呼籲盡快組成個資保護獨立專責機關。
同黨籍的科技工程師王景弘說明,陳情人上星期看到和泰iRent發生個資外洩事件,開始檢查自己使用的租車服務是否有類似問題,結果發現陳情人在下載自己的訂單資料時,發現檔案存取並未經過格上的主機做二度的身分驗證,而且格上使用的雲端儲存空間設定不當,導致所有會員的訂單資料都可以被查詢列出。
王景弘表示,根據實際測試,有超過10萬筆的PDF訂單資料,就這樣沒有設定任何存取限制的擺放在雲端空間上,根據格上租車事後給會員的說明,有超過1.6萬名用戶的個人資料恐因此外洩。
王景弘說明,公路總局在稽查時沒有查證、確認廠商說法的能力,直接接受廠商的說法,表示訂單資料的下載連結需要透過使用者帳號密碼與一次性代碼才能存取,實際上只要具備資訊能力,就可以下載該資料夾中所有的會員訂單資料。
王景弘也說明,直到檢舉人再度反應,其並非單一筆訂單資料之外洩,才再度通知格上通知依法進行會員告知,這顯示行政機關沒有判讀、處理資安事件的基本能力。
邱顯智表示,近期個資外洩的事件層出不窮,從公部門的戶政資料、健保資料,到華航的會員資料,再到上週爆發的和泰iRent租車會員資料外洩,以及今日揭露的格上租車訂單資料外洩,這些接二連三的事件顯示,個人資料保護法雖然已經立法,但是不論公、私部門,對於個人資料的保護、個資外洩後的處置,仍然非常不足。
邱顯智說明,肯定格上租車在事發後的迅速反應,並對會員發布訂單資料外洩的訊息,然而從檢舉人與公路總局來往溝通的過程,我們發現,就像絕大多數的行政機關,公路總局並不具備理解、處理資安外洩事件的基本能力,只能照本宣科請業者改善。
邱顯智認為,這不是單一個案,也不只是公路總局本身的問題。個人資料保護法立法至今,政府並沒有指定專責機關,給予專業的人力,事前給予明確的個資保護指引,事後給予明確的處理原則,這才是各目的事業主管機關對於外洩事件處置缺乏專業、流於形式的根本原因。
邱顯智與王景弘呼籲陳建仁內閣,2020年的7月30日,數位政委唐鳳表示,個資獨立專責機關組織草案下會期可望送立法院,920天後的現在,公、私部門個資外洩層出不窮,請新內閣負起責任,盡快組成個資保護獨立專責機關,好好保護全國人民的個人資料。
