跳至主要內容

觀察台灣租車公司資料外洩事件和國外的類似個案

圖片
作者:

一月底時,TechCrunch的報導讓大家注意到台灣的租車公司發生了資料外洩事件,從報導中可以得知,這次的資料外洩的範圍,部分信用卡號碼、客戶身份證明文件,以及租車者的相片、簽名和租車詳細資訊。由於是租車公司,主管機關大概是交通部公路總局,所以也看到台灣的後續報導是公路總局要求該公司限期改善,在 TechCrunch 的原報導中也提到他們有發信問數位發展部,已經通報 TWCERT/CC 協助處理,也已經無法自該資料庫下載資料。

這件事情讓我想到幾個美國的案件,我簡單的摘要並提供美國FTC的案件連結,有興趣的人可以再去網站上閱讀:

Equifax資料外洩案:

2017年時的Equifax資料外洩案十分有名,由於它是一家跨國消費者信用調查的公司,所以儲存了大量的美國、加拿大、英國人民的個人資料、財務與金流資訊,被評估會讓這些被資料外洩的受害者可能會遇上身分被竊取、詐欺等事件。

經過調查, 在這次的資料外洩案中有 1.47 億人的個人資料被外洩,在去年12月與美國FTC、消費者金融保護局、和一些美國地區達成和解,在和解協議中,需要支付4.25 億美元給受到資料外洩案影響的人,到2026年之前,美國的消費者透過特定的網站,每年可以取得7份免費的信用評估報告,另外,受害者也可以在特定期間內,針對因受到身分被竊取、詐欺的而影響,要求賠償需要恢復身分所花費的時數及費用,每小時賠償25美元,最多20小時。

對於常常接到電話詐騙、在公共場所大聲報出自己身分證號碼的台灣人來說,可能不覺得有什麼,但從2017年關注這個事情到現在,我想美國人對於因資料外洩而導致身分被竊取、詐騙,實在是謹慎且處理方式完整許多。

連結:Equifax Data Breach Settlement

Drizly 資料外洩案

資料外洩的案子常在網路上出現,看到後來我常常都麻木了。2018年還有萬豪酒店集團的資料外洩案、國泰航空的資料外洩案、四大會計公司輪流出包把客戶的財務資料存在雲端系統,還把帳號密碼未經加密就寫在某個公開的服務裡。

2018年對我來說幾乎是資料外洩案爆發的一年,但對長期服務於資安領域的人來說,這些都不是新案。

美國的 Drizly 是 UBER 所經營的一個販賣及運送含酒精飲料的網站,他們使用了Amazon的雲端服務,在上面儲存了消費者的電子郵件位置、郵務地址、電話號碼、單一裝置識別碼(Unique Device Identifier,UDID)、地理位置資訊和從第三方網站購買的資料。

2018年時,Drizly的工程師天才的把登入雲端服務的帳號和密碼放在 Github 裡,被有心人士取得帳號密碼後,登入雲端服務,並且用他們的服務來挖加密貨幣。Drizly知道後馬上更改登入的資訊,並發表公開聲明表示會有完善的保護措施。結果2020年,也就是2年後,又被駭客駭入其中一名員工的帳戶,並外洩250萬筆消費者的個資,並在暗網中的兩個網站被販售。

美國FTC最後的處罰命令是要求 Drizly 銷毀資料,並限制他們收集消費者的個資,要求這家公司指派專門的高階主管來處理資訊安全,並且設立不同等級的權限,而員工在登入資料庫、網站管理端時要採用多因素驗證(MFA)來認證身分。

讓我印象最深刻的則是對Drizly執行長個人的處罰:在FTC公布處罰命令的10年內,這位執行長如果離開Drizly而去其他任何一家收集超過 25,000 筆個資的公司任職,可能是擔任大股東、執行長或負有資安責任的主管時,FTC的執法命令都會跟著這位前執行長,他之後任職的公司都需要在180天提供完整的資訊安全計畫。

連結:FTC Finalizes Order with Online Alcohol Marketplace for Security Failures that Exposed Personal Data of 2.5 million People

我想很多人一聽到資料外洩都會想到個資法、資安法這些台灣既有的法律,更或是直接拿歐洲的GDPR來看這個事情,台灣最經典的案例是2007年博客來網站販售金馬獎票券卻發生消費者資料外洩的事件,雖然發起了集體訴訟,但最後的賠償金額並不高。

台灣人沒有興訟的文化,也喜歡以和為貴,在管制程序及政治文化上都不太一樣,所以後續大大小小的網路服務、網站出現資料外洩時,可能還要先找到對的主管機關才能投訴,或是一般民眾不熟悉、也不想了解投訴的流程,被資料外洩的人也是雙手一攤,要自己小心。

台灣這次的資料外洩事件在網路上流傳開來,有人建議要換信用卡、換身分證。由於台灣要更換身分證號碼的條件嚴謹,涉及的公共服務層面非常廣,也沒有任何法規依據讓台灣人民在遇到身分被竊取時的後續處理方法,相信不會因為這個事件讓受害者去更換身分證號碼,所以換身分證應該是很難成功,但應該是可以剪卡,避免信用卡被盜用。

這件事可以從兩個方向來思考:

  1. 外洩資料的公司要做哪些補救措施?有沒有可以協調的空間?我不建議一下就用法規去處罰,這只會讓受害的公司更不願意即時公開資訊及討論補救措施。
  2. 建立對被外洩資料的消費者、網站使用者、資料主體的補救措施。像是如何建立報案的管道、如何認定報案者是因為這個事件而被竊取身分或遭受詐欺?如何讓受害人證明自己的身分?重建身分需要哪些主管機關、單位配合?有沒有讓消費者、資料主體主動控制自己資料留存在哪些網站或服務、單位的方式或工具?如果消費者受到損害,決定要進行訴訟時,有哪些管道?有沒有相關的依據?這些都是可以去思考的。

台灣未來能否面對個人身分資料外洩時,協助企業訂出保護措施、保護消費者避免遭到身分被竊的風險,也許要看相關的主管機關 (哪個部會?)的處理意願吧?

當然獨立自強的台灣人也不妨想想,當自己的「身分」被竊取時,要如何證明「我是我自己」,當所有的「身分」、「頭銜」都喪失時,我又是誰?


Image by Mohamed Hassan from Pixabay

Labels:

留言

發佈留言

請勿匿名留言,待審核後才會出現。

此網誌的熱門文章

讀歐盟「數位服務法」和「數位市場法」草案心得

作者:
在 3 月 24 日時參與了 台灣網路講堂 所舉辦的 活動 ,這個活動是以在台灣較知名的美國 Parler 案為題,來討論歐盟的「數位市場法」 (Digital Market Act. 簡稱 DMA ) 對於「守門人」(Gatekeeper) 平台的管制,並邀請了從競爭法、經濟學、公平會、傳播及科技法律不同角度的講者來討論這個議題。 受限於時間,講者們只能把不同角度的重點讓參與者了解,事後再看 DMA 時,才了解並不是只有單純只對守門人做規範,而是從整個歐盟打算將會員國打造成「數位單一市場」(Digital Single Market)的整個脈絡,並從其發展資料經濟 (Data Economic)所發展不同階段的相關政策、指令與法律,而主管 (也是當天活動的引言人) 也提醒,還可以自歐盟在 2018 年 5 月正式執行的「一般資料保護規範」(General Data Protection Regulation,簡稱 GDPR) 觀察,歐盟當局不是只有外表看到的禁止、設限,更重要的,它是希望藉由明確的「法遵」 (Compliance) 要求,建立一個健全、具有發展與競爭機會的數位經濟市場。 這些法遵要求不論是對歐盟會員國境內發展數位服務的廠商、中小企業、不同規模的平台,到跨國企業進入歐盟市場發展,除了要面臨相關的市場調查外,也同樣要遵守。 如果無法看整個歐盟的數位單一市場發展,應該要了解 DMA 其實是「The Digital Services Act package」的法案之一,另一個則是「數位服務法」 (Digital Service Act. 簡稱 DSA ) ,DSA 規範了不同規模的「線上中介產業」 (online intermediary) 該做的事及責任,而 DMA 則是針對法案草案中所規範的守門人更加上了「義務」(Obligation)。由於台灣網路資訊中心已在其部落格中有整理相關的 摘要 ,且台灣網路堂也會公布當天活動的錄影,所以在這篇文章就不再解釋 DSA 和 DMA ,有興趣的人可以自己再去閱讀兩個法案的草案內容,歐盟執委會也有整理許多相關的問答在其網站中,十分好閱讀。 DSA、DMA 與歐盟其他法案的關係 在歐盟執委會網站中有提到,DSA  是一個水平的計劃,重點關注線上中介業者對第三方內容的責任,網路用戶的安全或對信息社會的不同提供者...
發佈留言
閱讀更多

哪個應用、服務、平台可以代表台灣?

作者:
大概 2003、 2004 年,我還是個大學生,那個時候「電子商務」是一門選修課,那個時候台灣還在所謂的電子商務泡沫化中復甦,很多熱極一時的「電子商務」就像今天大家看到的 FTX 事件一樣,一點都不真實,很多執行長、總裁瞬間就失業了,也有很多投資人的錢拿不回來。 看過歷史上的鴻源事件、經歷過電子商務的虛無飄渺時期,再看到 FTX,其實也不會太驚訝。通常泡沫消散後,未來才會到來。 回到大學課堂,穿著輕便但言語犀利的老師談到當時的 Amazon 網路書店,他問大家對 Amazon網路書店的看法,那時的Amazon一直被看壞,所有的媒體都不看好它。甚至會有各種市場傳言,覺得 Amazon會被賣給哪家公司或哪家公司、網路書店會主動併購它。 最後老師說,不會,Amazon書店不會那麼輕易就垮掉,它有其代表的意義。 這個答案給了我很深的印象,我常會問自己,台灣有哪個服務會具有這樣的意義? 偶爾我會問身邊的朋友、同事,對於台灣的哪個服務,會覺得有不能輕易垮掉、要支持它的?我列一下自己所接觸過的,這個世代的應用: 通訊服務:ICQ、MSN Messenger、LINE、Cubie Messenger(台灣,已無服務)、Google Talk、WhatsApp、Telegram、Skype、Signal,還有一些台灣可能較少聽到。 社群平台:Twitter、Facebook、LinkedIn、無名小站(已停止服務,它雖然是Blog,但比較像社群)、Plurk、PTT、Dcard、Instagram、AKASHA、Pinterest Blog平台或架站:Blogger、Wordpress、Drupal 共享書籤 : HemiDemi(已沒有提供書籤服務)、美味書籤delicious 叫車服務:UBER、55688 、呼叫小黄、LINE Taxi、yoxi  當然還有很多是我沒接觸過的,請原諒我的見識不夠廣泛,忽略了哪一個平台、應用或服務。一時想到的大概就這些。有一些服務已經消失或在被併購後就消失了,我也忘了名稱,至於 TikTok 和小紅書,是我不想碰觸的應用服務。 在韓國有 Kakao,日本有 LINE、PayPay,東南亞國家有Grab,中國有自己的網路應用,那台灣呢?之前 KaKao 中斷服務,造成民生應用的線上服務也幾乎中斷,過度集中依賴在一個服務上的確是一個缺點。在和...
發佈留言
閱讀更多

歐盟 AI Act 2026 年 5 月進度整理

作者:
台灣有不少企業直接在歐盟市場做生意,或是與歐盟企業有供應鏈往來。只要產品或服務觸及歐盟,AI Act 的規範就可能適用,這件事與台灣企業的距離很近,而今年5月是AI Act進度發展密集的一個月,值得整理一下發生什麼事。 AI Omnibus 修正案:從提案到5月協議 AI Omnibus 修正案 (一攬子修正案,以下簡稱Omnibus )是指把多項修正打包成一個法案同步處理的立法方式。這次的 AI Omnibus,是《AI Act》2024年正式生效以來的首次實質修正。 它的起點在2025年11月。當時歐盟執委會(European Commission)提出修正提案,認為《AI Act》中的高風險 AI 的法遵負擔過重,有必要調整期限並減輕中小企業壓力。歐盟理事會(Council of the European Union)與歐洲議會在2026年3月分別通過各自的談判立場,三方協商正式展開。歐盟理事會與歐洲議會在5月7日凌晨達成暫定協議,打包以下2項修正: 時程延後: 就業審查、執法、信用評分等領域的AI系統( Annex III ),遵法的截止日從2026年8月延到2027年12月;嵌入醫療器材、機械等產品的AI( Annex I ),則延到2028年8 月。 新增禁令: AI生成非自願性親密影像(俗稱AI裸化應用),以及生成兒童性剝削內容的AI系統,2項均在2026年12月生效。 這份協議目前仍是暫定協議,需要歐洲議會全體投票與理事會正式採納,預計2026年6至7月完成。 行程緊湊的歐盟AI Office Omnibus 協議簽完,歐盟AI Office在5月做2件事: 透明度義務指引草案(5月8日): 歐盟執委會就《AI Act》第 50 條的 透明度義務公開徵求意見 至6月3日。這份指引將規範「互動式 AI 系統必須主動告知使用者正在與 AI 互動,生成式 AI 的內容也必須植入機器可讀的浮水印」,這項義務沒有延後,依然在2026年8月2日生效,距現在只剩10週。 高風險AI分類指引草案(5月19日): 148 頁的草案出爐,涵括生物辨識、教育、就業、基本服務、執法、移民、司法等7大領域,逐一說明什麼樣的AI系統會被認定為高風險。「 高風險AI分類指引草案 」公開徵詢意見至6月23日。這份指引原定2月發布,實際延遲整整3個月才出來。但歐盟 AI Of...
發佈留言
閱讀更多