「怎麼都知道」的和運,讓全世界都知道用戶個資|智財科技

劉珞亦

2023-02-01發佈

2024-01-28更新

「怎麼都知道」的和運,讓全世界都知道用戶個資|智財科技

「怎麼都知道」的和運,讓全世界都知道用戶個資|智財科技
quotationmark image

國內租車服務龍頭和運租車旗下服務 iRent 被爆出客戶資料外洩事件,如今恐怕不只和運怎麼都知道,而是全世界都知道和運客戶的資料。

quotationmark image

和運怎麼都知道

國外科技媒體《TechCrunch》報導,一名資安研究員 Anurag Sen 發現和泰汽的某個雲端伺服器資料庫沒有加密,這個資料庫有 iRent 使用者的個資(包括姓名、電話、Email、地址、照片、信用卡號碼等等)。

由於資料庫沒有作任何權限控制,因此任何知道這個資料庫 IP 位置的閒雜人等,都可以瀏覽這些資料。

iRent 母公司曾有一句經典廣告詞「和運怎麼都知道」,現在你在何年何月租了什麼車、駕照上的照片長怎樣,和運還讓全世界都知道了。

這些資料最早在 2022 年 5 月就外洩,且無法確定有沒有其他人看過這些資料。《TechCrunch》指出,他們之後與和泰聯絡,但沒有獲得回應。1 月 28 日轉與數位發展部部長唐鳳聯繫,獲得回應「著手處理」後一個多小時,資料庫才控制瀏覽的權限。

數位發展部李懷仁政務次長表示:

唐鳳部長在年假期間收到外媒來信詢問關於和泰汽車的會員資料問題,發現問題是民間企業的會員個資資料保護措施,但因為涉及資訊系統,所以數位部第一時間將這件事轉由數位部所轄管的財團法人台灣網路資訊中心負責維運的「台灣電腦網路危機處理暨協調中心(TWCERT/CC)」協助處理,從外媒的報導中也有提到,大約在外媒跟唐部長提及此事的一小時左右,該資料庫已經無法被造訪。

個資外洩的法律責任

個資外洩的問題就是你我都知道的《個人資料保護法》。非公務機關(例如這次事件的主角和泰)若是擁有個人資料檔案,必須採取防止個資被竊取的安全措施。

若因為故意或過失導致資料被竊取,依個資法第 48 條規定政府會要求企業限期改善,否則可以開罰 2-20 萬元。個資被外洩的人可以對企業請求損害賠償,除非企業能證明他們沒有故意或過失,否則就要負起損害賠償的責任。

實務上也有很多票企業個資外洩,而被法院判決賠償的案例。

你的資料在個資法上值多少錢呢?根據個資法第 28 條第 3 項規定,每個人、每一時間依情節輕重為新台幣 500 元以上、2 萬元以下。

訴訟過程中必須證明:

  1. 被告是否有個資外洩的情形?
  2. 與原告受損害間有無因果關係?
  3. 被告公司有無採行適當安全措施?

如果今天被告企業能舉證他們已經盡力了,但資料就是被駭客盜走,那可能就會不用賠償。

被害人這麼多,要怎麼告?

通常個資外洩時間不會只有一個人,例如本次 iRent 事件,據報道至少有 10 萬名客戶的資料外洩。

那麼,這麼多人要怎麼告呢?

個資法第四章也規定,對於資料外洩事件,可以透過「團體訴訟」進行。

只要能集滿 20 個被害人,並且找到符合個資法第 32 條規定的「財團法人」或「公益社團法人」來幫你打訴訟,就能依法由這個法人的名義提起「團體訴訟」。

這些「法人」必須符合這些條件:

  1. 財團法人的登記財產總額達新臺幣 1000 萬元/社團法人的社員人數達 100 人。
  2. 保護個人資料事項於法人章程所定目的範圍內。
  3. 許可設立 3 年以上。

2017 年,雄獅旅行社資料庫遭到駭客入侵,其中 25 名受害者就請消基會提起團體訴訟。不過這個案子一審的時候雄獅主張他們是被駭客入侵,且有盡到保護個資的注意義務,因此法院一審判決消基會敗訴。上訴之後雙方調解成功,因此沒有最終的法院判決。

團體訴訟的好處是,可以由專業的團體請到專業的律師來協助多數受害者主張權利,避免個別受害者陷入小蝦米對抗大鯨魚的困境。

iRent 的回應

作為 iRent 的目的事業主管機關,公路總局已經發布新聞稿表示將進行行政檢查,若有違法情形將依法要求 iRent 改善,否則將依法開罰,後續措施也將依《汽車運輸業個人資料檔案安全維護計畫及處理辦法》進行。

台灣科技媒體《數位時代》報導,iRent 業務單位「和雲行動服務」表示:

和雲也對相關系統進行了全方位的審查,並釐清了實際可能受影響的範圍。資訊部門定期都有針對主機系統做弱點及滲透掃描,iRent App 也定期有進行源碼掃描,交易過程全程採用 SSL 安全加密。

不過,「SSL 加密」是一種安全技術,藉由加密演算法保護任何傳輸中的資料,例如你上網買東西輸入信用卡號,這個交易過程就會被 SSL 加密,即使有人擷取這些資料,他也沒辦法看到原始內容。

但根據報導內容,資料外洩的原因比較接近「權限管理」問題,而不是有沒有加密,就好像你的 Google 雲端硬碟分享的檔案不小心設成公開一樣,任何人都可以透過「加密」的連線看到你不小心分享給大家的內容。

未來主管機關會如何動作、以及相關當事人的法律行動,還需要繼續觀察。

【本文作者】

劉珞亦

律師,法律白話文運動社群總監。

首圖來源 By Solomon203 - Own work, CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=98081880

*本頻道「司法動態」,有什麼重大案件,想知道有什麼法律問題,看過來就對了!

【知識新聞的力量】

我們堅持為所有人免費提供內容,因為我們深知,閱讀新聞的機會,不應有任何門檻,尤其是當人權議題備受矚目的時候,這常是推動社會進步的契機。然而,如果您有能力,《法律白話文運動》提供高品質的解釋報導,是推廣法律及人權思想的重要力量,每個月不到100元,我們就能在「官網」、「Facebook」、「Instagram」、「Twitter」、「Line Voom」、「Podcast」、「Reels」、「TikToks」、「實體活動」上發佈,沒有比這個更划算的選擇了。

熱門文章

最新文章

vertical logo

專注打造台灣法律文化的垂直媒體。

從法律認識議題,從議題反思法律。

社群媒體

文章投稿,請洽

editor@plainlaw.me

授權與商業合作,請洽

business@plainlaw.me

聯絡客服,請洽

support@plainlaw.me

未經同意,不得擅自利用本站內容。

Copyright © 2024 Plain Law Movement All rights reserved.

Powered by Welly SEO