U-CAR 於 2023 年 2 月 1 日報導「iRent 會員資安漏洞」事件、2 月 4 日為網友整理官方聲明稿重點,並以 Q&A 問答方式詢問和雲行動服務公司 (以下稱和雲公司),替關注此次事件的消費者釐清相關資訊。今 (2/6) 日財團法人中華民國消費者文教基金會 (以下稱消基會),針對事件發表官方新聞稿,陳述事件並針對政府機關、和雲行動服務與消費者層面提出建議。
以下為消基會新聞稿重點摘錄
消基會指出,事件發生一週後,經外媒跟數位發展部唐鳳部長電郵說明,和雲公司才針對事件進行處理,而交通部公路總局臺北市區監理所於 2023 年 2 月 2 日,即派人赴和雲公司進行調查,該公司未能依規定提供汽車運輸業個人資料檔案安全維護計畫書,且現場無法說明確切可能洩漏客戶筆數。
該公司廣泛使用 App 吸引消費者使用其租車服務,但在雲端的防駭與資料保全上,卻與現代化經營形象有天壤之別。
交通部公路總局已要求和雲公司必須在 2023 年 2 月 3 日前,提報其消費者個人資料檔案安全維護計畫,並於 4 日完成後續處理、矯正措施,若未能改正就會依法開罰 2 萬至 20 萬元罰鍰。
和雲公司也在 2 月 4 日提出正式聲明表示:「基於會員權益、積極防堵詐騙,決定拉高資訊安全防護原則,擴大認定『該暫存資料庫自啟用以來,所有曾涉潛在風險的 40 萬名用戶』(說明:僅包括過去 3 個月資料有異動過的消費者),全數納入此次範圍。」
針對曾涉潛在風險的 40 萬名用戶,和雲公司於 2023 年 2 月 1 日晚間已完成寄發電子郵件通知,並於 2 月 2 日提供『時數補償』;同時於官網公告,提醒全體會員留心潛在詐騙風險,並指派專人持續監測會員個資是否遭受侵害。
同時消基會也表示,依據「個人資料保護法」第 28 條、第 29 條規定,和雲公司應依法辦理客戶賠償方案,而第 28 條提到,「如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。」
消基會官方新聞稿全文
消基會針對「iRent 個資外洩」一案提出建議
- 政府單位:
1. 建議政府與相關部會於相關法律(如個資法或資安法)明訂要求,強制個資處理相關業者應針對個資進行欄位等級加密和資料庫等級加密。
2. 強化通報受害民眾機制,使民眾可於第一時間變更密碼,避免後續外洩;並建議可建立代位求償機制,協助受害民眾/消費者爭取其利益損失賠償,亦可間接督促業者強化其資安防護。
3. 持續推動 TPIPAS(臺灣個人資料保護與管理制度規範,Taiwan Personal Information Protection and Administration System)驗證制度或其他國際公認個資保護系統認證,確保資料安全。
- 和雲公司:
1. 儘速訂定通報消費者機制,提醒消費者趕緊變更密碼,以免受害不止。
2. 明訂受害消費者的賠償金額,並儘速發放。
3. 協助因資料外洩而受害消費者的司法權益主張。
4. 釐清事發原因及缺失改善。
- 消費者:
1. 若發現資料已經外洩,建議消費者應向企業或消基會申訴。
2. 消基會提供義務律師免費諮詢,若消費者有需求,可致電預約消基會主事務所、中區分事務所、雲嘉南分事務所及南區分事務所。
補充內容:個人資料保護法-第四章損害賠償及團體訴訟
討論區
成為第一個發表的人