觀察台灣租車公司資料外洩事件和國外的類似個案

一月底時，TechCrunch的報導讓大家注意到台灣的租車公司發生了資料外洩事件，從報導中可以得知，這次的資料外洩的範圍，部分信用卡號碼、客戶身份證明文件，以及租車者的相片、簽名和租車詳細資訊。由於是租車公司，主管機關大概是交通部公路總局，所以也看到台灣的後續報導是公路總局要求該公司限期改善，在 TechCrunch 的原報導中也提到他們有發信問數位發展部，已經通報 TWCERT/CC 協助處理，也已經無法自該資料庫下載資料。

這件事情讓我想到幾個美國的案件，我簡單的摘要並提供美國FTC的案件連結，有興趣的人可以再去網站上閱讀：

Equifax資料外洩案：

2017年時的Equifax資料外洩案十分有名，由於它是一家跨國消費者信用調查的公司，所以儲存了大量的美國、加拿大、英國人民的個人資料、財務與金流資訊，被評估會讓這些被資料外洩的受害者可能會遇上身分被竊取、詐欺等事件。

經過調查， 在這次的資料外洩案中有 1.47 億人的個人資料被外洩，在去年12月與美國FTC、消費者金融保護局、和一些美國地區達成和解，在和解協議中，需要支付4.25 億美元給受到資料外洩案影響的人，到2026年之前，美國的消費者透過特定的網站，每年可以取得7份免費的信用評估報告，另外，受害者也可以在特定期間內，針對因受到身分被竊取、詐欺的而影響，要求賠償需要恢復身分所花費的時數及費用，每小時賠償25美元，最多20小時。

對於常常接到電話詐騙、在公共場所大聲報出自己身分證號碼的台灣人來說，可能不覺得有什麼，但從2017年關注這個事情到現在，我想美國人對於因資料外洩而導致身分被竊取、詐騙，實在是謹慎且處理方式完整許多。

連結：Equifax Data Breach Settlement

Drizly 資料外洩案

資料外洩的案子常在網路上出現，看到後來我常常都麻木了。2018年還有萬豪酒店集團的資料外洩案、國泰航空的資料外洩案、四大會計公司輪流出包把客戶的財務資料存在雲端系統，還把帳號密碼未經加密就寫在某個公開的服務裡。

2018年對我來說幾乎是資料外洩案爆發的一年，但對長期服務於資安領域的人來說，這些都不是新案。

美國的 Drizly 是 UBER 所經營的一個販賣及運送含酒精飲料的網站，他們使用了Amazon的雲端服務，在上面儲存了消費者的電子郵件位置、郵務地址、電話號碼、單一裝置識別碼（Unique Device Identifier，UDID）、地理位置資訊和從第三方網站購買的資料。

2018年時，Drizly的工程師天才的把登入雲端服務的帳號和密碼放在 Github 裡，被有心人士取得帳號密碼後，登入雲端服務，並且用他們的服務來挖加密貨幣。Drizly知道後馬上更改登入的資訊，並發表公開聲明表示會有完善的保護措施。結果2020年，也就是2年後，又被駭客駭入其中一名員工的帳戶，並外洩250萬筆消費者的個資，並在暗網中的兩個網站被販售。

美國FTC最後的處罰命令是要求 Drizly 銷毀資料，並限制他們收集消費者的個資，要求這家公司指派專門的高階主管來處理資訊安全，並且設立不同等級的權限，而員工在登入資料庫、網站管理端時要採用多因素驗證(MFA)來認證身分。

讓我印象最深刻的則是對Drizly執行長個人的處罰：在FTC公布處罰命令的10年內，這位執行長如果離開Drizly而去其他任何一家收集超過 25,000 筆個資的公司任職，可能是擔任大股東、執行長或負有資安責任的主管時，FTC的執法命令都會跟著這位前執行長，他之後任職的公司都需要在180天提供完整的資訊安全計畫。

連結：FTC Finalizes Order with Online Alcohol Marketplace for Security Failures that Exposed Personal Data of 2.5 million People

我想很多人一聽到資料外洩都會想到個資法、資安法這些台灣既有的法律，更或是直接拿歐洲的GDPR來看這個事情，台灣最經典的案例是2007年博客來網站販售金馬獎票券卻發生消費者資料外洩的事件，雖然發起了集體訴訟，但最後的賠償金額並不高。

台灣人沒有興訟的文化，也喜歡以和為貴，在管制程序及政治文化上都不太一樣，所以後續大大小小的網路服務、網站出現資料外洩時，可能還要先找到對的主管機關才能投訴，或是一般民眾不熟悉、也不想了解投訴的流程，被資料外洩的人也是雙手一攤，要自己小心。

台灣這次的資料外洩事件在網路上流傳開來，有人建議要換信用卡、換身分證。由於台灣要更換身分證號碼的條件嚴謹，涉及的公共服務層面非常廣，也沒有任何法規依據讓台灣人民在遇到身分被竊取時的後續處理方法，相信不會因為這個事件讓受害者去更換身分證號碼，所以換身分證應該是很難成功，但應該是可以剪卡，避免信用卡被盜用。

這件事可以從兩個方向來思考：

1. 外洩資料的公司要做哪些補救措施？有沒有可以協調的空間？我不建議一下就用法規去處罰，這只會讓受害的公司更不願意即時公開資訊及討論補救措施。
2. 建立對被外洩資料的消費者、網站使用者、資料主體的補救措施。像是如何建立報案的管道、如何認定報案者是因為這個事件而被竊取身分或遭受詐欺？如何讓受害人證明自己的身分？重建身分需要哪些主管機關、單位配合？有沒有讓消費者、資料主體主動控制自己資料留存在哪些網站或服務、單位的方式或工具？如果消費者受到損害，決定要進行訴訟時，有哪些管道？有沒有相關的依據？這些都是可以去思考的。

台灣未來能否面對個人身分資料外洩時，協助企業訂出保護措施、保護消費者避免遭到身分被竊的風險，也許要看相關的主管機關 (哪個部會？)的處理意願吧？

當然獨立自強的台灣人也不妨想想，當自己的「身分」被竊取時，要如何證明「我是我自己」，當所有的「身分」、「頭銜」都喪失時，我又是誰？

Image by Mohamed Hassan from Pixabay