立委驚爆格上租車逾1萬6千筆個資恐外泄 業者回應了

立委邱顯智與知名科技工程師王景弘呼籲政府儘快成立個資專責機關(邱顯智辦公室提供)

近日個資外泄事件層出不窮,立委邱顯智與知名科技工程師王景弘今(6)日召開記者會,說明格上租車超過10萬筆調單資料外泄的始末與處理情形,也凸顯出公路總局處理資安事件只能照本宣科,呼籲政府儘快成立個資專責機關,保障全體國人個人資料安全。格上發出聲明表示,已立即處理相關疑慮問題。

王景弘說明,上週陳情人看到和泰iRent發生個資外泄事件,開始檢查自己使用的租車服務是否有類似問題,結果發現陳情人在下載自己的訂單資料時,發現檔案存取並未經過格上的主機做二度的身分驗證,而且格上使用的雲端儲存空間設定不當,導致所有會員的訂單資料都可以被查詢列出。

王景弘表示,根據實際測試,有超過10萬筆的PDF訂單資料,就這樣沒有設定任何存取限制的擺放在雲端空間上,根據格上租車事後給會員的說明,有超過1.6萬名用戶的個人資料恐因此外泄。

王景弘說明,公路總局在稽查時沒有查證、確認廠商說法的能力,直接接受廠商的說法,表示訂單資料的下載連結需要透過使用者帳號密碼與一次性代碼才能存取,實際上只要具備資訊能力就可以下載該資料夾中所有的會員訂單資料。直到檢舉人再度反應其並非單一筆訂單資料之外泄,纔再度通知格上通知依法進行會員告知,這顯示行政機關沒有判讀、處理資安事件的基本能力。

邱顯智表示,近期個資外泄的事件接二連三的發生,也顯示個人資料保護法雖然已經立法,但是不論公部門、私部門,對於個人資料的保護、個資外泄後的處置,仍然非常不足。

邱顯示說明,格上租車在事發後的迅速反應,並對會員發佈了訂單資料外泄的訊息,然而從檢舉人與公路總局來往溝通的過程,他們發現,公路總局並不具備理解、處理資安外泄事件的基本能力,只能照本宣科請業者改善。

邱顯智認爲,這不是單一個案,也不只是公路總局本身的問題。個人資料保護法立法至今,政府並沒有指定專責機關,給予專業的人力,事前給予明確的個資保護指引,事後給予明確的處理原則,這纔是各目的事業主管機關對於外泄事件處置缺乏專業、流於形式的根本原因。

邱顯智與王景弘呼籲陳建仁內閣,2020年的7月30日,時任數位政委唐鳳曾表示,個資獨立專責機關組織草案下會期可望送立法院,920天后的現在,公、私部門個資外泄層出不窮,請新內閣負起責任,儘快組成個資保護獨立專責機關,好好保護全國人民的個人資料。

對此,格上租車發出聲明表示,對個人資料保護以最嚴肅態度及程序處置,本次接獲資安通報疑慮問題後,已於第一時間即刻關閉APP出租單查詢及存取功能,並立即清查該資料庫狀況,發現沒有遭異常查詢或下載情形,爲重視客戶對個資保護權益,格上亦於2/3發送電子郵件告知受影響之16000名客戶,請客戶放心。

此外,爲保護客戶個資安全,公司持續進行改善強化,資料庫設置在國際認證的安全平臺,根據ISO-27001資訊安全驗證規範管理,亦定期進行掃描與高強度防火牆機制保護,確保資訊安全無虞。