立委惊爆格上租车逾1万6千笔个资恐外泄 业者回应了

立委邱显智与知名科技工程师王景弘呼吁政府尽快成立个资专责机关(邱显智办公室提供)

近日个资外泄事件层出不穷，立委邱显智与知名科技工程师王景弘今(6)日召开记者会，说明格上租车超过10万笔调单资料外泄的始末与处理情形，也凸显出公路总局处理资安事件只能照本宣科，呼吁政府尽快成立个资专责机关，保障全体国人个人资料安全。格上发出声明表示，已立即处理相关疑虑问题。

王景弘说明，上周陈情人看到和泰iRent发生个资外泄事件，开始检查自己使用的租车服务是否有类似问题，结果发现陈情人在下载自己的订单资料时，发现档案存取并未经过格上的主机做二度的身分验证，而且格上使用的云端储存空间设定不当，导致所有会员的订单资料都可以被查询列出。

王景弘表示，根据实际测试，有超过10万笔的PDF订单资料，就这样没有设定任何存取限制的摆放在云端空间上，根据格上租车事后给会员的说明，有超过1.6万名用户的个人资料恐因此外泄。

王景弘说明，公路总局在稽查时没有查证、确认厂商说法的能力，直接接受厂商的说法，表示订单资料的下载连结需要透过使用者帐号密码与一次性代码才能存取，实际上只要具备资讯能力就可以下载该资料夹中所有的会员订单资料。直到检举人再度反应其并非单一笔订单资料之外泄，才再度通知格上通知依法进行会员告知，这显示行政机关没有判读、处理资安事件的基本能力。

邱显智表示，近期个资外泄的事件接二连三的发生，也显示个人资料保护法虽然已经立法，但是不论公部门、私部门，对于个人资料的保护、个资外泄后的处置，仍然非常不足。

邱显示说明，格上租车在事发后的迅速反应，并对会员发布了订单资料外泄的讯息，然而从检举人与公路总局来往沟通的过程，他们发现，公路总局并不具备理解、处理资安外泄事件的基本能力，只能照本宣科请业者改善。

邱显智认为，这不是单一个案，也不只是公路总局本身的问题。个人资料保护法立法至今，政府并没有指定专责机关，给予专业的人力，事前给予明确的个资保护指引，事后给予明确的处理原则，这才是各目的事业主管机关对于外泄事件处置缺乏专业、流于形式的根本原因。

邱显智与王景弘呼吁陈建仁内阁，2020年的7月30日，时任数位政委唐凤曾表示，个资独立专责机关组织草案下会期可望送立法院，920天后的现在，公、私部门个资外泄层出不穷，请新内阁负起责任，尽快组成个资保护独立专责机关，好好保护全国人民的个人资料。

对此，格上租车发出声明表示，对个人资料保护以最严肃态度及程序处置，本次接获资安通报疑虑问题后，已于第一时间即刻关闭APP出租单查询及存取功能，并立即清查该资料库状况，发现没有遭异常查询或下载情形，为重视客户对个资保护权益，格上亦于2/3发送电子邮件告知受影响之16000名客户，请客户放心。

此外，为保护客户个资安全，公司持续进行改善强化，资料库设置在国际认证的安全平台，根据ISO-27001资讯安全验证规范管理，亦定期进行扫描与高强度防火墙机制保护，确保资讯安全无虞。