限制級

您即將進入之新聞內容需滿18歲方可瀏覽。

根據「電腦網路內容分級處理辦法」修正條文第六條第三款規定，已於網站首頁或各該限制級網頁，依台灣網站分級推廣基金會規定作標示。台灣網站分級推廣基金會（TICRF）網站：http://www.ticrf.org.tw

首頁　>　政治

租車公司逾10萬筆個資恐外洩立委籲成立專責機構

立委邱顯智（右）6日召開「格上租車訂單資料全裸奔！公路總局還在狀況外？」記者會。（記者塗建榮攝）

2023/02/06 12:16

首次上稿11:08
更新時間12:16（新增格上租車說明）

〔記者黃靖媗、楊雅民／台北報導〕時代力量立委邱顯智與科技工程師王景弘今日召開記者會，說明格上租車超過10萬筆訂單資料外洩的始末與處理情形，邱顯智指出，數位發展部部長唐鳳曾於2020年7月擔任政委時表示，個資獨立專責機關組織草案下會期可望送立法院，920天後的現在，公、私部門個資外洩仍層出不窮，呼籲陳建仁內閣應儘快成立個資保護專責機構，保障全體國人個人資料安全。

對此，格上租車強調，接獲資安通報疑慮問題後，第一時間即刻關閉APP出租單查詢及存取功能，清查資料庫後發現無異常下載，客戶個資並未外洩。

邱顯智表示，近期個資外洩的事件層出不窮，從公部門的戶政資料、健保資料、華航的會員資料，到上週爆發的和泰iRent租車會員資料外洩，以及今日揭露的格上租車訂單資料外洩，接二連三的事件顯示，《個人資料保護法》雖然已經立法，但不論公、私部門對於個人資料的保護，以及個資外洩後的處置，仍然非常不足。

邱顯示表示，他肯定格上租車在事發後的迅速反應，並對會員發布了訂單資料外洩的訊息，然而從檢舉人與公路總局來往溝通的過程中，他們發現，公路總局並不具備理解、處理資安外洩事件的基本能力，只能照本宣科請業者改善。他認為，這不是單一個案，也不是公路總局本身的問題，《個人資料保護法》立法至今，政府並沒有指定專責機關，給予專業的人力，在事前給予明確的個資保護指引，並在事後給予明確的處理原則，這才是各目的事業主管機關對於外洩事件處置缺乏專業、流於形式的根本原因。

王景弘說明，上週陳情人看到和泰iRent發生個資外洩事件後，開始檢查自己使用的租車服務是否有類似問題，竟發現在下載自己的訂單資料時，檔案存取並未經過格上的主機做二度的身分驗證，而且格上使用的雲端儲存空間設定不當，導致所有會員的訂單資料都可以被查詢列出。

王景弘表示，根據實際測試，有超過10萬筆的PDF訂單資料，沒有設定任何存取限制便擺放在雲端空間上，根據格上租車事後給會員的說明，有超過1.6萬名用戶的個人資料恐因此外洩。

王景弘指出，公路總局在稽查時沒有查證、確認廠商說法的能力，直接接受廠商的說法，表示訂單資料的下載連結需要透過使用者帳號密碼與一次性代碼才能存取，但實際上只要具備資訊能力就可以下載該資料夾中所有的會員訂單資料，直到檢舉人再度反應其並非單一筆訂單資料之外洩，公路總局才再度通知格上依法進行會員告知。