最重處罰開鍘!iRent洩40萬筆個資 複查「改正未符標準」…公總開罰20萬
公路總局最重開鍘!市場上專門提供汽機車共享服務的iRent和雲行動服務公司,日前發生用戶個資遭外洩一事,後來經過追查,發現企業資料庫出現防護性缺口,交通部公路總局雖然要求改正,但事後複查發現,iRent和雲行動服務公司改正依舊未達標準,加上外洩個資高達40萬筆,根據《ETtoday新聞雲》報導,公路總局對和雲行動祭出最重處罰,重罰20萬元。並下令若在2月28日前,未提送完整改正資料,將會再按次開罰。對此,和雲表示已於6日完成改善提交資料,會接受處罰,並迅速落實改善個資安全。回顧這起iRent個資外洩事件,是國際科技媒體《TechCrunch》日前指出,一名安全研究員在和泰所有的雲端伺服器發現,包含iRent客戶姓名、手機號碼、電子信箱、住址、駕照照片及經特殊處理之卡片支付訊息的「未獲密碼保護」資料庫,顯示雲端資料庫沒有加密,外部人員只要透過特定技術及工具,就可能可進入資料庫,查詢會員異動資料。事件爆發後,公路總局表示,為掌握個資外洩情形,台北市區監理所有派員至和雲行動服務股份有限公司進行行政檢查,當時已強調,若發現有違反《個人資料保護法》相關情事,將要求限期改正,如屆期未改正,就可依《個資法》處2萬元以上、20萬元以下罰鍰。但經過本月4日複查後發現部分行政改正未符標準,因此今天確定開鍘。公路總局表示,有關和雲行動服務股份有限公司,發生用戶個資外洩一事,經本局於2月4日派員至該公司進行稽查,確認該公司未依「個人資料保護法」與「汽車運輸業個人資料檔案安全維護計畫及處理辦法」,採行適當之安全措施致個人資料洩漏,又未訂定完整個人資料檔案安全維護計畫。公路總局指出,因該公司已屆期但仍未改正,且發生外洩風險的個資筆數,高達40萬筆,已明確違反《個人資料保護法》第27條第1項及第2項規定,爰依《個人資料保護法》第48條第4款規定,處最高罰鍰20萬元。公路總局並強調,因此按情節重大,除了已要求業者落實《個人資料保護法》相關規定,並要求將再次於2月28日前,提送完整改正佐證資料,若續查還有違反個資法情事,將再按次處以罰鍰。和雲回應表示,公司於1日收到公路總局來函,要求二日內針對iRent個資事件提出消費者個人資料安全維護改善計畫,並配合於4日再次接受公路總局現地稽查;和雲已盡速處理,並於6日全數完成改善提交資料,惟無法符合改善期限(二日內)之要求。9日收到公路總局開罰通知後,和雲表示將落實改善,防止再發;未來和雲將更致力加速改善效率,以符合主管機關二日內完整改善之要求,並再次向關心此事的社會大眾致謝。
iRent恐個資外洩 經調查近3個月資料有異動
和泰集團旗下共享汽車公司iRent(和雲行動服務公司)疑似發生用戶個資外洩事件,公路總局初步查處,發現該公司暫存資料庫可被外人進入查詢近3個月會員異動資料。公路總局表示,為掌握個資外洩情形,公路總局轄下台北市區監理所已於昨(1)日下午由副所長李珮芸率政風、資訊單位人員會同公路總局資訊單位人員,前往iRent行政檢查。現場查核iRent未能依規定提供汽車運輸業個人資料檔案安全維護計畫書;另iRent表示,1月28日接獲客服信件告知資料庫有外洩風險。經調查,發現記錄應用程式Log檔的暫存資料庫發生防護性缺口,外部人員運用特定技術及工具,可能得以進入資料庫查詢近3個月會員異動資料,故iRent已於同日檢查資料庫及內、外部連線並防堵。公路總局查核人員要求iRent說明可能洩漏客戶筆數,iRent表示因資料較多,需清查約2至3天。公路總局表示,台北市區監理所已立即發函要求iRent今(2)日前提報其消費者個人資料檔案安全維護計畫,並於2月3日前說明事故根因、結果調查狀況、對可能洩密當事人(消費者)通知狀況、事故後續處理及矯正作為、所採行個資安全維護措施、公司管理人員等對事故是否已善盡防止義務等,並提供佐證資料,並要求iRent依個人資料保護法改正完成,如屆期未改正,則依個人資料保護法按次處新台幣2萬元以上、20萬元以下罰鍰,以督促業者落實用戶個資維護及企業社會責任,保障消費者權益。