根據外媒TechCrunch報導指出，一名安全研究員在和泰汽車旗下的iRent(和雲行動服務)雲端伺服器發現公開資料庫，包括iRent客戶名字、手機號碼、電子信箱、住址、駕照照片與經特殊處理的卡片支付相關資訊。到目前為止，iRent公司宣稱可能受影響的會員資料約有14萬筆，包括會員姓名、電話、地址等資訊。

個資外洩，通報企業竟空置一週未處理

消基會指出，此案發生時，最讓人不能接受的是，這位安全研究員發現和泰車雲端伺服器資料庫公開，有消費者隱私資料外洩之虞，一再以電郵聯繫和雲公司，不得其門，公開的資料仍舊公開，一週後還是透過外媒跟數位發展部唐鳳部長電郵說明後，才獲得重視、處理，可見企業對於雲端個人資料保全的嚴重輕忽程度。

本案曝光後，交通部公路總局台北市區監理所立即在2月2日派人赴iRent（和雲行動服務股份有限公司，以下簡稱和雲公司）調查，現場查核時，該公司未能依規定提供汽車運輸業個人資料檔案安全維護計畫書，且現場無法說明確切可能洩漏客戶筆數；更是證明該公司廣泛使用APP拉消費者入會，使用該公司提供之租車服務，但在雲端的防駭與資料保全上卻是與其現代化經營形象有著天壤之別，實在是駭人聽聞。倘若消費者知悉和雲公司是如此輕忽與隨便，怎還敢跟該公司互動往來呢？！

雖然目前交通部公路總局已要求和雲公司必須在2月3日前就要提報其消費者個人資料檔案安全維護計畫，4日完成後續處理、矯正措施，若未能改正就會依法開罰2萬至20萬元罰鍰，但對於已經發生個資外洩的消費者來說，仍是感到驚惶失措，深怕個人資料（電話、身份證字號等重要隱私）遭歹徒運用而遭詐騙。

2月4日，和雲公司提出正式聲明表示：「基於會員權益、積極防堵詐騙，決定拉高資訊安全防護原則，擴大認定『該暫存資料庫自啟用以來，所有曾涉潛在風險的40萬名用戶』(說明：僅包括過去三個月資料有異動過的消費者)，全數納入此次範圍。針對此範圍用戶，和雲行動服務於2月1日晚間已完成寄發電子郵件通知，並於2月2日提供『時數補償』；同時於官網公告，提醒全體會員留心潛在詐騙風險，並指派專人持續監測會員個資是否遭受侵害。」

針對這樣的聲明，消基會強烈表達誠意實在不足，事實上，依據「個人資料保護法」第 29 條規定：「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。……。依前項規定請求賠償者，適用前條第二項至第六項規定。」（第28條：「……依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害賠償者，其合計最高總額以新臺幣二億元為限。……），因此，和雲公司應依法賠償，才能展現應有的誠意。

詐欺發生件數創下10年來新高紀錄  個資外洩何時消停

根據警政署統計，台灣2021年詐欺發生件數達2萬4千餘起、被害人超過4萬4千人，當時已創下新高紀錄；2022年前九個月詐欺發生數就達2萬1千餘起，2022年的詐欺案，預期創下10年來新高紀錄。詐騙案的起源很大一部分是來自於個資外洩情事，因此，消基會呼籲相關部會應先就個資外洩、不安全店家（賣場）之企業個資管理系統進行全面查核，方能稍稍遏阻台灣詐欺之島的惡性發展。

企業經營已進階到雲端管理，很多與消費者的互動都是藉由各種APP或上網訂購商品（服務），然後透過寄發、宅配送至消費者手中。一旦個人資料保護不夠周全，外洩的機會便可能會成為家常便飯，令人防不勝防。

個資外洩發生的核心關鍵在政府不夠重視資料保全與查核

消基會指出，個資外洩發生的核心關鍵在於政府不夠重視資料的保全與查核，數位發展部成立之前，主管官署散見各行各業的目的主管機關，人少事繁，管理經驗值又偏低，以致在管理、查核上經常力有未逮；而企業也抓到政府管理上的「眉角」，一旦發生個資外洩情事，便形成「公告、發簡訊」等模式，展現已盡到告知的義務，如此，「個人資料保護法」：第 29 條：「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。」，將使得不重視個資保全的企業有機會得以倖免相關罰則。

消基會表示，曾經發生個資外洩的雄獅旅行社的團體訴訟，最終雖以和解結案，但近日的申訴案中，又發現雄獅旅行社仍舊發生個資外洩情事，顯見企業並沒有得到深切教訓，加強重視個資保全措施。消基會說：「待消費者因個資外洩而遭詐騙受害，則又主張消費者損害是詐騙行為所致，與個資外洩無涉，對於歹徒利用外洩個資所為不法行為致消費者所受損害，全然撇清因個資外洩應負之責任，將企業個資外洩所生風險轉嫁消費者，未將消費者個資保護列為企業經營重要課題」。

數位發展部長唐鳳在2022年11月30日指出，建立個資監督機制，要採歐盟高規格。然而，與其看到天邊的雲端，還不如落地好好執行相關個人資料保全以及個資外洩後的嚴懲，以杜絕該類事件不斷發生。

消基會認為個人資料頻傳外洩的關鍵點是：「徒法不足以自行」，國內經常發生大規模資料外洩情事，無論是公部門（如近日健保署公務員外洩民眾個資）或民間企業，都是因為沒有健全的個人資料提存管理系統、缺乏定期查核消費者個人資料檔案安全維護計畫，也未善盡資料可能外洩的警示系統。所以目前當務之急就是，由數位發展部統合協調各目的事業主管機關，訂定一套完整周延的個人資料保全、提存系統，輔以定期、全面的查核機制，再佐以嚴罰制度，全力保障民眾個人資料權利安全。

針對iRent個資外洩一案，消基會建議：

政府單位：

1. 建議政府與相關部會於相關法律(如個資法或資安法)明訂要求，強制個資處理相關業者應針對個資進行欄位等級加密和資料庫等級加密。
2. 強化通報受害民眾機制，使民眾可於第一時間變更密碼，避免後續外洩；並建議可建立代位求償機制，協助受害民眾/消費者爭取其利益損失賠償，亦可間接督促業者強化其資安防護。
3. 持續推動TPIPAS（臺灣個人資料保護與管理制度規範，Taiwan Personal Information Protection and Administration System）驗證制度(https://www.tpipas.org.tw/)或其他國際公認個資保護系統認證，確保資料安全。
   
   

和雲企業：

1. 儘速訂定通報消費者機制，提醒消費者趕緊變更密碼，以免受害不止。
2. 明訂受害消費者的賠償金額，並儘速發放。
3. 協助因資料外洩而受害消費者的司法權益主張。
4. 釐清事發原因及缺失改善。
   
   

消費者：

1. 若發現資料已經外洩，建議消費者應向企業或消基會申訴。
2. 消基會提供義務律師免費諮詢，若消費者有需求，可致電預約：

消基會主事務所

電話:(02) 2700-1234　傳真:(02) 2706-0247

中區分事務所

電話:(04) 2375-7234　傳真:(04) 2375-9717

雲嘉南分事務所

電話:(06) 241-1234　傳真:(06) 241-1259

南區分事務所

電話:(07) 225-1234　傳真:(07) 227-1903

                                                                                      財團法人中華民國消費者文教基金會