外國資訊科技媒體《TechCrunch》1 月 31 日發表報導,指出他們的安全研究人員 Anurag Sen 意外發現台灣共享汽機車平台 iRent 的嚴重安全性漏洞:iRent 母公司和泰集團旗下的雲端伺服器內有一個資料庫並未加密,其中不僅包含數百萬筆信用卡部分號碼,還包括十四萬名 iRent 會員的完整個人資料,包括全名、行動電話號碼、電子郵件信箱、住家地址、駕照照片、個人簽名等資訊。
這個資料庫沒有加密,意味著任何人只要知道伺服器的 IP 位址,就可以自由進出、瀏覽、存取內部資料。而這對於成天在網路上尋找未受保護的個資、打包兜售到暗網的駭客來說,簡直就是免費大餐。更誇張的是,這個漏洞從 2022 年五月開始就存在了。在發現漏洞到刊出報導的這段期間,《TechCrunch》多次試圖聯繫和泰汽車,通知他們這項重大警訊,但沒有人回應。直到 1 月 28 日,《TechCrunch》決定直接聯繫台灣數位發展部部長唐鳳,收到回應說已經著手處理 iRent 資料庫的資料外洩問題。唐鳳回訊約莫一小時後,該資料庫才終於被加上了密碼,變成無法被隨意存取的狀態。
必須注意的是,《TechCrunch》對於這項嚴重資安問題處理得十分謹慎。用比喻來說,《TechCrunch》碰巧發現了路邊有一個沒上鎖的金庫,裡面有一大堆值錢的東西,於是用各種方法想聯繫金庫的保管者,想讓他們趕快過來把金庫鎖好。但保管者顯然沒怎麼注意好心路人的提醒,最後《TechCrunch》只好去找根本不負責管理金庫只是剛好在那一帶的土地公來幫忙收拾善後。一直等到金庫的門鎖上,亦即確認資料庫加密之後,《TechCrunch》才刊出了這篇「愚蠢金庫沒上鎖」的報導。
因為,如果在那之前就刊出這篇報導,那十四萬筆資料將會受到更嚴重的侵害(雖然很有可能早在資料「裸奔」的整整七個月內就已經被駭客賣掉三四次了),《TechCrunch》寧可等待時機,也不願意成為侵害這些台灣會員個資的幫凶。很明顯的,外媒《TechCrunch》對於這十四萬筆個資的關心程度,還比接到重大安全警告通知但懶得回信、懶得處理的和泰汽車來得高。
和泰集團雖然多年來以經銷豐田等知名汽車品牌為人所知,但它並不只是一個賣車子的企業,而是台灣最龐大的金融控股公司之一。和泰旗下有多個子公司跟相關企業擁有我國公民大量個資,包括:和運租車、和潤車貸、和泰產物保險、以及負責 iRent 業務並在這次出大包的「和雲行動服務股份有限公司」。值得注意的是,當《TechCrunch》的研究員發現未加密的資料庫時,他表明自己是在和泰集團持有的伺服器內發現的。這意味著不管和泰集團日後怎麼試圖跟子公司切割,都擺脫不了集團本身控有該資料庫的事實。
讓人更加憂心的是,如果集中檢視和泰集團中獲利能力最高的幾個項目,就會發現這些全都涉及大量使用者的銀行帳戶、信用卡資料、還款能力評比等等遠比姓名、照片、地址更加危險的個資。透過這些跟特定個人掛勾的財務記錄,可以反推出使用者的實際所在位置跟移動軌跡,以及他的弱點。換句話說,如果敵國的情治單位取得這些資料,他們將可以循線找出最容易被買通、最急著用錢的人,並且輕易監控這些「潛在被策反對象」的任何動作。
和泰集團對於旗下事業體的數位資料安全性敏銳度之低,固然令人傻眼,但更傻眼的恐怕還是按照現行法規難以懲治和泰集團所犯下的嚴重低級失誤。輿論莫不期待政府對和泰嚴厲開罰,但事實上目前就是沒有辦法重罰。
相關單位如公路總局 1 月 1 日即要求監理單位前往和雲進行行政檢查,釐清是否有違反個資法的情況,若屬實將要求限期改善,但即便所有指控皆屬實,最高也只能課以新台幣 20 萬元的罰鍰。這種罰鍰數目實在有點可笑,有鑑於一般企業購買一份最起碼的資安防護系統就要價 50 萬元以上,買一套資安防護系統的錢可以被公路總局罰兩次半,那為什麼還要費心做資安防護?
更有甚者,金管會 1 月 2 日表示,由於外洩的 iRent 資料庫並未與母公司和泰集團的資料庫相連,因此判定和泰並未違反「重大資訊處理程序」規定。這又讓許多人為之氣結,但問題在於,金管會介入調查的法律依據是證交所「重大資訊處理程序」的相關規定,這項規定要求上市櫃公司在「發生重大資安事件時」,須進行公開揭露,「若預估損失金額達股本 20% 或 3 億元,必須召開記者會進行說明」。很明顯的,iRent 在 2021 年才被和泰的子公司和雲收購,它在這麼短的時間內完全不可能造成和泰集團股本 20% 或 3 億元的損失。而如果更進一步檢視 iRent 資料庫的問題是否會影響到其他和泰集團旗下企業,和泰當然可以主張「因為資料庫之間沒有連動」而沒有影響。
事態如此展開,並非因為金管會有任何失職,而是證交所「重大資訊處理程序」誕生的目的本來就只是要保護投資人的金錢利益不受損害,而不是保護個資遭到洩露的那十四萬名用戶。因此,真正的問題在於,我們是否應該要有一個專責單位來處理未來可能繼續發生的類似事件?我們是否應該訂立明確的法規,保障我國國民的個資,同時也避免我國遭到敵方滲透侵害?
如果要想像這個機構的樣貌,或許可以參考南韓。南韓在 2020 年大刀闊斧修訂《個人資訊保護法》,將新法的主管機關統一為「個人資料保護委員會」(Personal Information Protection Commission, 簡稱 PIPC),這解決了過去個資侵害發生時,行政主管機關散落一地,沒有統一的單位負責進行調查跟裁罰的問題。事實上,台灣現在的狀況就是如此,我們都知道侵害個資是違法行為,但真的出問題時,卻常常因為牽涉到太多不同的行政機構,而導致沒有任何一個機構有辦法統一調查跟開罰。更有甚者,這些行政單位各自擁有的也只是散落在不同法規中的一小部分裁罰權力,像是公路總局跟金管會,他們就算卯盡全力,也沒法讓和泰為自己的疏失感覺到半點肉痛。此外,雖然理論上十四萬名受害者可以集結起來上法院,透過訴訟來讓和泰相關高層付出代價,但這等於把受害的公民推出去對抗大企業,對於受害者來說也是十分不切實際。
另外,對於企業侵害個資的裁罰範圍,南韓 2020 年版的《個人資訊保護法》中,比照歐盟《一般資料保護規範》(General Data Protection Regulation,簡稱 GDPR)相關規定,大幅提高了罰則金額:對於一般企業,最高可處 5,000 萬罰鍰;但是,若違反相關規定的是「資訊通訊服務提供者」(如入口網站經營者、電信服務業者等等有機會更深入蒐集數位個資且經常具有高度壟斷性的企業),則會有更嚴重的處罰,最高可以沒收違法侵害個資的那一個年度總營收的 3%。若以資料庫確實存在和泰集團掌控的伺服器此一事實來看,和泰將會是受罰的單位,而那 3% 將是非常有感的天文數字。
但南韓是如何在個資保護的立法上遠遠超前台灣的?首先,我們必須回顧 2014 年半數南韓國民是怎麼一覺醒來發現個資被賣光。那年一月,南韓爆發了牽涉兩千萬人口的史上最嚴重個資外洩案。南韓 KB 國民卡、樂天卡、NH 農協卡這三家信用卡公司共有超過一億四千筆用戶個資外洩,必須知道南韓總人口也只有五千萬,這一億四千筆用戶資料涉及了兩千萬人,將近一半人口的資料都被偷光了。
這到底是怎麼發生的呢?事實上只需要一個人就完成了這麼嚴重的個資侵害案件,一位信用評級公司職員在受信用卡公司委託開發電腦程式的過程中,非法收集和洩露這些信用卡公司的一億四千筆資料。事發之後雖然此人旋即被補,但資料早就被賣光了。這場史無前例的災難迫使南韓推動立法,讓企業負擔更重的保管個資責任。
但南韓至今仍是個資竊盜最嚴重的國家之一,統計顯示,南韓有將近 80%,也就是高達四千萬人的個資是掌握在駭客手裡。因為個資被偷得太嚴重,南韓政府不得不在 2017 年開始實施身分證變更制度,年滿十七歲的國民(南韓年滿十七歲才會獲得政府發給身分證)可申請變更身分證十三碼中的後六碼。
回顧南韓的個資外洩歷史,會發現有個案件似曾相識。2011 年,南韓現代汽車集團旗下的消費者理財公司「現代資本」(Hyundai Capital)表示公司資料庫遭到駭客攻擊,導致大約 42 萬筆客戶個人資料外洩。「現代資本」有點像是現代汽車版本的和潤企業,它以販售汽車的母公司為主體,取得購車者的個資之後,再延伸出去推展汽車融資、個人貸款和房屋抵押貸款等業務。我們必須留意這些案件之間的相似性:大型傳產製造業的子公司涉足保險、信貸領域,然後順理成章的弄丟了個資。當然,2011 年還不流行共享汽機車,否則想必如果是「現代租車」也很可能變成個資漏洞。
「現代資本」的案件當時負責機關是南韓金融管理機構「金融監督院」,換成台灣大概就是等同於由金管會介入追查。由於當時南韓《個人資訊保護法》仍未修正成 2020 年版本,沒有「個人資訊保護委員」會作為強力的主管機關展開調查,也沒有嚴格的懲罰規範,「現代租車」當然是被輕輕放下了。而確實也只能如此。
我國憲法法庭 2022 年曾針對健保資料庫的使用做出明白表示,111 年憲判字第 13 號判決指出,《個人資料保護法》與其他相關法律,「欠缺個人資料保護之獨立監督機制」,有違憲之虞。亦即,我國大法官已認定現行法律不足以保護國民的個資安全,並且限期三年內改善。而現在真正的課題在於,我們能多快補起這個漏洞?