立足台灣 面向大陸 放眼世界
〔本報綜合報導〕和泰集團旗下和雲行動服務共享汽機車品牌iRent日前爆發個資外洩事件,交通部公路總局9日表示,清查發現iRent外洩多達40萬筆,情節重大,開罰新台幣20萬元,並要求業者落實個人資料保護法規定,若未改善將可按次處以罰鍰。
外媒TechCrunch於1月底披露1名安全研究員在和泰汽車雲端伺服器上,發現1個資料庫沒有密碼保護,iRent的客戶名字、手機號碼、電子信箱、家庭住址、駕照照片與經特殊處理的卡片支付等,任何人只要知道IP位址都可以查看這些個資,引發外界高度關注。
公路總局9日表示,於2月4日派員至iRent稽查,確認iRent未依「個人資料保護法」與「汽車運輸業個人資料檔案安全維護計畫及處理辦法」採行適當安全措施致個人資料洩漏。
此外,iRent又未訂定完整個人資料檔案安全維護計畫,且屆期仍未改正,發生外洩風險的個資筆數達40萬筆,情節重大,已明確違反個人資料保護法第27條第1項及第2項規定,因此依個人資料保護法第48條第4款規定處最高罰鍰新台幣20萬元。
公路總局表示,已要求業者落實個人資料保護法相關規定,並於2月28日前提送完整改正佐證資料,後續查有違反個人資料保護法的情況,將按次處以罰鍰。
和雲行動服務日前表示,暫存資料庫發生防護性缺口一事,iRent已於1月28日接獲通報1小時進行缺失防堵;iRent 原初步發現並通報「近三個月內可能受影響用戶為14萬名」,但決定拉高資訊安全防護原則,主動擴大將「個資風險對象」定義調整為「該暫存資料庫自啟用以來,所有曾涉潛在風險的40.01萬用戶」,全數納入本次對應範圍。
針對40.01萬用戶,和雲行動服務於2月1日晚間已完成寄發電子郵件通知,並於2月2日提供時數補償。