邱顯智及科技工程師王景弘今(6日)共同召開「格上租車訂單資料全裸奔!公路總局還在狀況外?」記者會,提及自2,300萬筆戶政資料被放在國外網站公開兜售、健保署前主祕洩漏健保個資到中國,到華航會員資料及上週iRent租車資料等個資外洩事件,近日在接獲陳情,民眾在格上租車的訂單資料也外洩。
王景弘說明,上週陳情人看到iRent發生個資外洩,開始檢查自己使用的租車服務,才發現格上租車開放給使用者下載訂單資料的連結,裡面竟有所有使用者超過10萬筆的訂單PDF檔案,除了可以存取、下載外,還無須二度身分驗證。
王景弘指出,公路總局接受格上租車的說法,表示訂單資料的下載連結需要透過使用者帳號密碼與一次性代碼才能存取,實際上只要具備一定資訊能力,就可以下載資料夾中所有的會員訂單資料,直到陳情人再度反應,公路總局才通知格上須依法告知會員,彰顯行政機關沒有判讀、處理資安事件的基本能力。
邱顯智則強調,《個人資料保護法》雖早已立法,但未指定專責機關,給予專業人力、明確的保護指引及事後處理原則,導致各事業主管機關對於外洩事件處置,缺乏專業、流於形式。
邱顯智透露,2020年7月30日,時任數位政委的唐鳳表示個資獨立專責機關組織草案下會期可望送立法院,現在公、私部門個資外洩層出不窮,他呼籲新內閣負起責任,盡快組成專責機關,以保護全國人民的個人資料。
針對邱顯智指出有資安外洩疑慮,格上租車也立即發布新聞稿澄清,提到格上租車對個人資料保護以最嚴肅態度及程序處置,在接獲資安通報疑慮問題後,已於第一時間關閉APP出租單查詢及存取功能,並立即清查該資料庫狀況,發現沒有遭異常查詢或下載情形,為重視客戶對個資保護權益,格上也於2月3日發送電子郵件告知受影響的16,000名客戶。
此外,格上租車表示,為保護客戶個資安全,公司持續進行改善強化,資料庫設置在國際認證的安全平台,根據ISO-27001資訊安全驗證規範管理,也定期進行掃描與高強度防火牆機制保護,確保資訊安全無虞。
(轉載自邱顯智臉書)