最重處罰開鍘!iRent洩40萬筆個資 複查「改正未符標準」…公總開罰20萬
iRent傳出大量用戶個人資料遭「裸洩」,遭公路總局開罰。(圖/黃耀徵攝)
公路總局最重開鍘!市場上專門提供汽機車共享服務的iRent和雲行動服務公司,日前發生用戶個資遭外洩一事,後來經過追查,發現企業資料庫出現防護性缺口,交通部公路總局雖然要求改正,但事後複查發現,iRent和雲行動服務公司改正依舊未達標準,加上外洩個資高達40萬筆,根據《ETtoday新聞雲》報導,公路總局對和雲行動祭出最重處罰,重罰20萬元。並下令若在2月28日前,未提送完整改正資料,將會再按次開罰。對此,和雲表示已於6日完成改善提交資料,會接受處罰,並迅速落實改善個資安全。
回顧這起iRent個資外洩事件,是國際科技媒體《TechCrunch》日前指出,一名安全研究員在和泰所有的雲端伺服器發現,包含iRent客戶姓名、手機號碼、電子信箱、住址、駕照照片及經特殊處理之卡片支付訊息的「未獲密碼保護」資料庫,顯示雲端資料庫沒有加密,外部人員只要透過特定技術及工具,就可能可進入資料庫,查詢會員異動資料。
事件爆發後,公路總局表示,為掌握個資外洩情形,台北市區監理所有派員至和雲行動服務股份有限公司進行行政檢查,當時已強調,若發現有違反《個人資料保護法》相關情事,將要求限期改正,如屆期未改正,就可依《個資法》處2萬元以上、20萬元以下罰鍰。但經過本月4日複查後發現部分行政改正未符標準,因此今天確定開鍘。
公路總局表示,有關和雲行動服務股份有限公司,發生用戶個資外洩一事,經本局於2月4日派員至該公司進行稽查,確認該公司未依「個人資料保護法」與「汽車運輸業個人資料檔案安全維護計畫及處理辦法」,採行適當之安全措施致個人資料洩漏,又未訂定完整個人資料檔案安全維護計畫。
公路總局指出,因該公司已屆期但仍未改正,且發生外洩風險的個資筆數,高達40萬筆,已明確違反《個人資料保護法》第27條第1項及第2項規定,爰依《個人資料保護法》第48條第4款規定,處最高罰鍰20萬元。
公路總局並強調,因此按情節重大,除了已要求業者落實《個人資料保護法》相關規定,並要求將再次於2月28日前,提送完整改正佐證資料,若續查還有違反個資法情事,將再按次處以罰鍰。
和雲回應表示,公司於1日收到公路總局來函,要求二日內針對iRent個資事件提出消費者個人資料安全維護改善計畫,並配合於4日再次接受公路總局現地稽查;和雲已盡速處理,並於6日全數完成改善提交資料,惟無法符合改善期限(二日內)之要求。
9日收到公路總局開罰通知後,和雲表示將落實改善,防止再發;未來和雲將更致力加速改善效率,以符合主管機關二日內完整改善之要求,並再次向關心此事的社會大眾致謝。