格上租車個資外洩，邱顯智會同專家抓問題

國內個資外洩遭盜用的事件層出不窮，不只會員苦惱，企業公司也很頭痛，畢竟大家都不是專業，又遇上破解手法日新月異。為此，立委邱顯智與知名科技工程師王景弘召開記者會，說明格上租車超過10萬筆調單資料外洩的始末與處理情形，凸顯出公路總局處理資安事件只能照本宣科。邱顯智呼籲，政府應儘快成立個資專責機關，保障全體國人資料安全。不過，網友也問，專責機構不就是數位發展部嗎?難道只負責做外送？

邱顯智指出，近期個資外洩的事件接二連三的發生，也顯示個人資料保護法雖然已經立法，但是不論公部門、私部門，對於個人資料的保護、個資外洩後的處置，仍然非常不足。

而面對層出不窮的資料外洩案，王景弘說明，他看到和泰iRent發生個資外洩事件，開始檢查自己使用的租車服務是否有類似問題，結果發現陳情人在下載自己的訂單資料時，檔案存取並未經過格上的主機做二度的身分驗證，而且格上使用的雲端儲存空間設定不當，導致所有會員的訂單資料都可以被查詢列出。

王景弘表示，根據實際測試，有超過10萬筆的PDF訂單資料，就這樣沒有設定任何存取限制的擺放在雲端空間上，根據格上租車事後給會員的說明，有超過1.6萬名用戶的個人資料，恐怕因此外洩。

王景弘也表示，公路總局在稽查時沒有查證、確認廠商說法的能力，直接接受廠商的說法，表示訂單資料的下載連結需要透過使用者帳號密碼與一次性代碼才能存取，實際上只要具備資訊能力，就可以下載該資料夾中所有的會員訂單資料。這種情形一直到檢舉人再度反應，才再度通知格上要求依法進行會員告知，這顯示行政機關沒有判讀、處理資安事件的基本能力。

邱顯智則強調，格上租車在事發後的迅速反應，並對會員發布了訂單資料外洩的訊息，然而從檢舉人與公路總局來往溝通的過程，他們發現，公路總局並不具備理解、處理資安外洩事件的基本能力，只能照本宣科請業者改善。

邱顯智認為，這不是單一個案，也不只是公路總局本身的問題。個人資料保護法立法至今，政府並沒有指定專責機關，給予專業的人力，事前給予明確的個資保護指引，事後給予明確的處理原則，這才是各目的事業主管機關對於外洩事件處置缺乏專業、流於形式的根本原因。

邱顯智還點名呼籲陳建仁內閣，2020年的7月30日，時任數位政委唐鳳曾表示，個資獨立專責機關組織草案下會期可望送立法院，920天後的現在，公、私部門個資外洩層出不窮，請新內閣負起責任，盡快組成個資保護獨立專責機關，好好保護全國人民的個人資料。

網友也認為，數位發展部都成立快半年，個資外洩的事宜就該屬於唐鳯部門該負責，結果發生事情了，居然還要成立專責部門，到底唐鳯能做什麼？賣外送還是拍影片，花那麼多錢，到底作用是什麼？

另外，格上租車發出聲明表示，對個人資料保護以最嚴肅態度及程序處置，本次接獲資安通報疑慮問題後，已於第一時間即刻關閉APP出租單查詢及存取功能，並立即清查該資料庫狀況，發現沒有遭異常查詢或下載情形，為重視客戶對個資保護權益，格上亦於2/3發送電子郵件告知受影響之16000名客戶，請客戶放心。