劉珞亦

2023-02-01發佈

2024-01-28更新

「怎麼都知道」的和運，讓全世界都知道用戶個資｜智財科技

國內租車服務龍頭和運租車旗下服務 iRent 被爆出客戶資料外洩事件，如今恐怕不只和運怎麼都知道，而是全世界都知道和運客戶的資料。

快速跳轉目錄

和運怎麼都知道

國外科技媒體《TechCrunch》報導，一名資安研究員 Anurag Sen 發現和泰汽的某個雲端伺服器資料庫沒有加密，這個資料庫有 iRent 使用者的個資（包括姓名、電話、Email、地址、照片、信用卡號碼等等）。

由於資料庫沒有作任何權限控制，因此任何知道這個資料庫 IP 位置的閒雜人等，都可以瀏覽這些資料。

iRent 母公司曾有一句經典廣告詞「和運怎麼都知道」，現在你在何年何月租了什麼車、駕照上的照片長怎樣，和運還讓全世界都知道了。

這些資料最早在 2022 年 5 月就外洩，且無法確定有沒有其他人看過這些資料。《TechCrunch》指出，他們之後與和泰聯絡，但沒有獲得回應。1 月 28 日轉與數位發展部部長唐鳳聯繫，獲得回應「著手處理」後一個多小時，資料庫才控制瀏覽的權限。

數位發展部李懷仁政務次長表示：

唐鳳部長在年假期間收到外媒來信詢問關於和泰汽車的會員資料問題，發現問題是民間企業的會員個資資料保護措施，但因為涉及資訊系統，所以數位部第一時間將這件事轉由數位部所轄管的財團法人台灣網路資訊中心負責維運的「台灣電腦網路危機處理暨協調中心（TWCERT/CC）」協助處理，從外媒的報導中也有提到，大約在外媒跟唐部長提及此事的一小時左右，該資料庫已經無法被造訪。

個資外洩的法律責任

個資外洩的問題就是你我都知道的《個人資料保護法》。非公務機關（例如這次事件的主角和泰）若是擁有個人資料檔案，必須採取防止個資被竊取的安全措施。

若因為故意或過失導致資料被竊取，依個資法第 48 條規定政府會要求企業限期改善，否則可以開罰 2-20 萬元。個資被外洩的人可以對企業請求損害賠償，除非企業能證明他們沒有故意或過失，否則就要負起損害賠償的責任。

實務上也有很多票企業個資外洩，而被法院判決賠償的案例。

你的資料在個資法上值多少錢呢？根據個資法第 28 條第 3 項規定，每個人、每一時間依情節輕重為新台幣 500 元以上、2 萬元以下。

訴訟過程中必須證明：

被告是否有個資外洩的情形？
與原告受損害間有無因果關係？
被告公司有無採行適當安全措施？

如果今天被告企業能舉證他們已經盡力了，但資料就是被駭客盜走，那可能就會不用賠償。

被害人這麼多，要怎麼告？

通常個資外洩時間不會只有一個人，例如本次 iRent 事件，據報道至少有 10 萬名客戶的資料外洩。

那麼，這麼多人要怎麼告呢？

個資法第四章也規定，對於資料外洩事件，可以透過「團體訴訟」進行。

只要能集滿 20 個被害人，並且找到符合個資法第 32 條規定的「財團法人」或「公益社團法人」來幫你打訴訟，就能依法由這個法人的名義提起「團體訴訟」。

這些「法人」必須符合這些條件：

財團法人的登記財產總額達新臺幣 1000 萬元／社團法人的社員人數達 100 人。
保護個人資料事項於法人章程所定目的範圍內。
許可設立 3 年以上。

2017 年，雄獅旅行社資料庫遭到駭客入侵，其中 25 名受害者就請消基會提起團體訴訟。不過這個案子一審的時候雄獅主張他們是被駭客入侵，且有盡到保護個資的注意義務，因此法院一審判決消基會敗訴。上訴之後雙方調解成功，因此沒有最終的法院判決。

團體訴訟的好處是，可以由專業的團體請到專業的律師來協助多數受害者主張權利，避免個別受害者陷入小蝦米對抗大鯨魚的困境。

iRent 的回應

作為 iRent 的目的事業主管機關，公路總局已經發布新聞稿表示將進行行政檢查，若有違法情形將依法要求 iRent 改善，否則將依法開罰，後續措施也將依《汽車運輸業個人資料檔案安全維護計畫及處理辦法》進行。

台灣科技媒體《數位時代》報導，iRent 業務單位「和雲行動服務」表示：

和雲也對相關系統進行了全方位的審查，並釐清了實際可能受影響的範圍。資訊部門定期都有針對主機系統做弱點及滲透掃描，iRent App 也定期有進行源碼掃描，交易過程全程採用 SSL 安全加密。

不過，「SSL 加密」是一種安全技術，藉由加密演算法保護任何傳輸中的資料，例如你上網買東西輸入信用卡號，這個交易過程就會被 SSL 加密，即使有人擷取這些資料，他也沒辦法看到原始內容。

但根據報導內容，資料外洩的原因比較接近「權限管理」問題，而不是有沒有加密，就好像你的 Google 雲端硬碟分享的檔案不小心設成公開一樣，任何人都可以透過「加密」的連線看到你不小心分享給大家的內容。

未來主管機關會如何動作、以及相關當事人的法律行動，還需要繼續觀察。

【本文作者】

劉珞亦

律師，法律白話文運動社群總監。

首圖來源 By Solomon203 - Own work, CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=98081880

＊本頻道「司法動態」，有什麼重大案件，想知道有什麼法律問題，看過來就對了！

【知識新聞的力量】

我們堅持為所有人免費提供內容，因為我們深知，閱讀新聞的機會，不應有任何門檻，尤其是當人權議題備受矚目的時候，這常是推動社會進步的契機。然而，如果您有能力，《法律白話文運動》提供高品質的解釋報導，是推廣法律及人權思想的重要力量，每個月不到100元，我們就能在「官網」、「Facebook」、「Instagram」、「Twitter」、「Line Voom」、「Podcast」、「Reels」、「TikToks」、「實體活動」上發佈，沒有比這個更划算的選擇了。

最新文章

頻道2024-11-24

禁止年齡歧視！職場中有「這些」就會觸法！

年齡歧視在職場中是一個嚴重的問題，影響從中高齡者到年輕人。它不僅損害求職者個人權益，也對整體經濟及世代和諧造成負面影響。法律如《就業服務法》和《中高齡者及高齡者就業促進法》明確禁止這種歧視，違者將面臨高額罰款。企業在招募人才時，應避免年齡限制，除非能證明其合理性，如對特定角色的必要條件。求職者遇到歧視時，保留證據是重要的救濟手段，推動公平工作環境更是企業的共同責任。

頻道2024-11-24

面對身心障礙者租屋困境，如何打造友善包容環境？

本頁面闡述了台灣身心障礙者在租屋過程中面臨的多重困境，從經濟壓力到租屋市場偏見，以及政府政策的不足。除了房價飆升，無障礙設施缺乏、供應短缺、租約僵化等問題也讓這一群體難以安心居住。政府應該在推廣無障礙設施、培訓房仲、及建立資訊科技支持下解決這些問題，以利身心障礙者的獨立生活和社區融合。

頻道2024-11-24

還記得「八仙塵暴事件」嗎？出租場地的樂園也該賠錢嗎？

9 年前的八仙塵爆事件，使受害者因醫療及就業困難而陷入痛苦，引發對八仙樂園及活動主辦者的賠償訴訟。法院判決的關鍵在於，八仙公司是單純的場地出租人，還是企業經營者──後者需承擔消費者保護法的無過失責任。目前最新進度是，最高法院認定八仙公司是企業經營者，發回高等法院，等待進一步審理。這次更審，是否能為受害者提供應有賠償，並探索類似出租場地的角色在重大事件中的責任，就讓我們看下去。

頻道2024-11-24

一味加重與擴大處罰，真能解決「黃牛票」問題嗎？

黃牛票問題在台灣引發熱議，文化部雖推動《文化創意產業發展法》以加重處罰，仍未能有效解決。本文探討現行法規對黃牛票的處罰利弊，包括不罰買票者，免費票是否要擴大處罰的利弊，以及「幫忙買票」是否阻礙公平參與文化活動。本地法規相比國外偏重，建議參考日本、南韓實名制與抽選制，以更有效抑制黃牛行為。台灣若能結合這些措施，或許比一味單靠重罰來得更具成效。

頻道2024-11-09

老了怕錢被騙光光嗎？試試信託監察人？

面對失智風險，提早規劃退休生活至關重要。根據 2024 年衛福部調查，台灣 65 歲以上長者失智率為 7.99%，未來預計上升至每 10 位長者 1 位罹病。利用自益型安養信託確保財務安全，並指定信託監察人可多一道保障，有效防止詐騙和不當財務管理。為晚年生活謹慎安排，能讓你享有穩定與尊嚴的未來。

頻道2024-11-09

AI 發展該大於創作保護嗎？日本有何啟示？

生成式 AI 的崛起引發全球關注，但同時也令許多創作者擔憂。日本繪師 jima 的案例顯示，創作者的作品有可能被用於 AI 訓練，生成相似風格且獲取商業利益。各國，包括歐盟，日本，正採取法律行動或制定規範以保護創作者權益。台灣在這方面的關注度相對較低，但 AI 發展仍需平衡創作權益與產業發展。未來，台灣可以參考日本等國的應對方式，打造更健全的法律體系。

「怎麼都知道」的和運，讓全世界都知道用戶個資｜智財科技

快速跳轉目錄

和運怎麼都知道

個資外洩的法律責任

被害人這麼多，要怎麼告？

iRent 的回應

熱門文章

最新文章