資安很爛 賴品妤四綠委籲成立個資機關

自立晚報

【記者郭玉屏/黃緒生 台北綜合報導】因資安漏洞衍生的重大個資外洩事件頻傳。除了公務機關,到近期汽車共享服務iRent客戶個資裸露長達九個月、格上租車租車單裸露事件,亦使社會更加關注民間單位資安及個資監督問題。

長期追蹤相關議題並於1月18日就台灣資安能量業召開記者會的立法委員賴品妤、劉世芳、洪申翰、莊競程於6日向新內閣呼籲,應儘速拿出弭平資安、個資保護破口的決心儘速成立「個資獨立專責機關」,並通盤檢討現有政策能量。

賴品妤說,她自去(2022)年10月2300餘萬筆戶政資料開始,一路追蹤健保署、iRent個資裸露事件;到上週她第一時間得知「格上租車」App「GoSmart 」內給使用者查詢自己的「租車單」連結是公開、未加密,可以傳給第三人查閱的事件,她即要求公路總局積極監督業者弭平破口(公總業已於2/3指派北市所前往稽查,業者現已停止下載出租單功能等)、盤點損失並通知所有受害者,並應針對所有共享服務等業者進行個資維護檢查。

賴品妤指出,目前在於個資保護上最大的爭點為《個資法》由各目的主管機關主責(光負責監督非公務機關個資的中央二級部會有20個);衍生出監督單位不同,權責不清互踢皮球狀況。適逢新內閣上任之際,政府必須回應憲法法庭的判決,盡快成立獨立專責保護機關,不能再把相關事件視為個案,因為眾多個案疊加起來根本就是通案。

賴品妤表示,在數位時代個資外洩事件大多與資安息息相關,然目前數發部卻因相關法規不足而少有主動角色,宛若技術外包單位置身事外;是故個資法、資安法等顯然有通盤檢討的必要,國發會也須進行各國個資監理狀況比較分析及「各企業搜集客戶之個資使用必要研究」,為了督促政府,她也將提出自己版本的《個資法》修正草案。

以視訊方式參與的莊競程認為,台灣在資安領域的相關產業,像是晶片安全、端點防護、網通設備,無論軟體硬體都有強的競爭力。但是,過去十年台灣的公私部門卻屢次爆發重大的個資外洩的危機,資安問題從來沒有少過,包括此次iRent爆發的事件。由於缺乏專責專業的管理機關,監管作為難以落實,如果流於事後開罰,民眾無法接受。

莊競程也質疑,依照《個資法》規定,業者一旦發現個資外洩後,應在查明後通知當事人,以降低事故衝擊。但是幾年前也發生人力銀行上百萬的求職者資訊外洩的事件,多數使用者其實根本無從得知,更遑論保障自己的權益。主管機關必須雙管齊下,持續提高對消費者的宣導,也要進一步提供受害者相關的協助。

劉世芳表示,近年除了健保署、戶政資料等公務機關爆發個資外洩事件之外,盤點如租車業者、網路書店、人力銀行、乃至於社福團體委託之資訊廠商,民間公司會員資料外洩事件,但民間公司不受資安法規範,則多以個資法辦理,由目的事業主管機關主責,卻往往出現事前無法有效監督、事後處置牛步,已成為民怨所在。

此外,劉世芳指出個資外洩容易形成詐騙溫床,根據刑事局統計,去年與前年的高風險賣場皆為網路書店,詐騙通報數從940件提高至3,773件,暴增四倍;連帶造成投資詐騙、解除分期付款等詐騙,去年一到十月,增加了17.84%。然而個資外洩事件發生後,個資法主管機關國發會往往神隱、資安主管機關數位部僅是技術人員,在在顯示政府需要儘速成立獨立資安及個資保護的專責機構,也需速審速結、加重罰則,才能回應民眾期待。

洪申翰指出,在憲法法庭公布的111年憲判字第13號憲法裁判中,其實判決就指出個資法與其他相關法律,欠缺個人資料保護之獨立監督機制,有違憲之虞。對資訊隱私保障有不足之處,要求相關機關應自本判決宣示之日起三年內,制定或修正相關法律。但是到目前為止,相關機關都還沒有提出修法規劃與期程。

洪申翰認為,一次次重大個資外洩事件中,都沒有人負責,也都沒有任何民眾被政府機關通知自己個資隱私遭到外洩,可以採取哪些措施。政府相關部會到現在,都還沒有認真的將人民資訊自主權的保護機制,納入政策的整體考量範圍內,真的是太慢了。台灣民眾的個資隱私到底要再被外洩多少次,我們才能重視這個問題?所以他也呼籲,新內閣應該要盡速著手來成立個資保護專責保護機關,並提出整體個資保護的政策。

與會的國發會副主委高仙桂說,國發會參考國際立法案例,目前已經有完整的大架構規劃,惟涉及行政院的人力、預算等尚須詳細討論。她也承諾將在一個月內提出籌備期程報告。

數位部韌性建設司長鄭明宗指出,個資是龐大業務,數位部協助保護個資管理。若資安管理法需要修法,其會積極的研議。賴品妤隨即要求,數位部要重新思考自己的定位,否則如同技術外包單位。

交通部公路總局副局長張舜清表示,感謝四位委員的建議,其將全面針對相關業者進行個資維護檢查。今日下午也將至格上租車進行複查。

最後四位立委共同向國發會呼籲應儘速成立個資獨立專責機關,並要求數位部肩負更多針對私部門的資安監理及主動協助角色,以重拾民眾對政府個資與資安保護的信任、弭平可能衍生的人權及國安破口。2023/02/06

個資頻外洩 消基會籲建立管理制度

【記者黃緒生台北報導】消基會6日表示,針對近日公、私部門個資外洩一事,相關部會應先就個資外洩、企業個資管理系統進行全面查核;並建議政府建立個人資料保護與管理制度規範、協助消費者設代位求償機制等。

和泰集團旗下和雲行動服務共享汽機車品牌iRent日前爆發個資外洩事件,引發外界高度關注。
消基會6日說,此案發生時,最讓人不能接受的,是當研究員發現和泰車雲端伺服器資料庫公開,有消費者隱私資料外洩之虞,一再以電郵聯繫和雲公司卻不得其門;一週後還是外媒跟數位發展部長唐鳳以電郵說明後,才獲得重視、處理,可見企業對於雲端個人資料保全的嚴重輕忽程度。

消基會引用警政署統計,台灣2021年詐欺發生件數達2萬4000餘起、被害人超過4萬4000人,當時已創下新高紀錄;2022年前9個月詐欺發生數就達2萬1000餘起,2022年的詐欺案,預期創下10年來新高紀錄。

消基會指出,詐騙案的起源很大一部分是來自於個資外洩情事,呼籲相關部會應先就個資外洩、不安全店家(賣場)企業個資管理系統進行全面查核,方能稍稍遏阻台灣詐欺之島的惡性發展。

消基會認為,國內經常發生大規模資料外洩情事,無論是公部門(如近日健保署公務員外洩民眾個資)或民間企業,都是因為沒有健全的個人資料提存管理系統、缺乏定期查核消費者個人資料檔案安全維護計畫,也未善盡資料可能外洩的警示系統。

消基會建議政府與相關部會於相關法律(如個資法或資安法)明訂要求,強制個資處理相關業者應針對個資進行欄位等級加密和資料庫等級加密。2023/02/06