共享汽車已成為民眾出遊代步的一項選擇,不過提供共享汽車服務的iRent日前驚傳有40萬筆個資外洩,調查發現iRent的資料庫確實發生防護性缺口,公路總局要求改正,不過經複查仍未達標準。因此,公總今(9)日拍板,將對和雲行動重罰20萬元,並要求2月28日前提送完整改正資料。
日前根據外媒報導,一位資安人員在和泰擁有的雲端伺服器發現一個毫無加密的數據資料庫,裡面有iRent客戶的全名、手機號碼、Email、信用卡等訊息,至少 40 萬個用戶個資可輕易地取得,事後該媒體也發信給和泰和數位發展部,並在數發部出手後才讓這個毫不設防的伺服器關掉。
公路總局派員前往iRent進行行政檢查,現場查核發現,iRent並未依規定提供汽車運輸業個人資料檔案安全維護計畫書,公總要求2月3日前對事故根因、結果調查狀況、對可能洩密消費者通知狀況、事故後續處理及矯正作為、所採行個資安全維護措施、公司管理人員等對事故是否已善盡防止義務等,提出說明、佐證資料並依法改正,但2月4日複查後發現部分行政改正仍未符標準。
因此,公路總局今日表示,2月4日公總派員至該公司進行稽查,確認該公司未依「個人資料保護法」與「汽車運輸業個人資料檔案安全維護計畫及處理辦法」採行適當之安全措施致個人資料洩漏,又未訂定完整個人資料檔案安全維護計畫,因屆期仍未改正,發生外洩風險個資筆數達40萬筆,情節重大,違反《個人資料保護法》第27條第1項及第2項規定,因此依《個人資料保護法》第48條第4款規定處最高罰鍰20萬元,並要求業者落實《個人資料保護法》相關規定,於2月28日前提送完整改正佐證資料,若後續查有違反個資法情事,將按次處以罰鍰。