跳至主要內容

觀察台灣租車公司資料外洩事件和國外的類似個案


一月底時,TechCrunch的報導讓大家注意到台灣的租車公司發生了資料外洩事件,從報導中可以得知,這次的資料外洩的範圍,部分信用卡號碼、客戶身份證明文件,以及租車者的相片、簽名和租車詳細資訊。由於是租車公司,主管機關大概是交通部公路總局,所以也看到台灣的後續報導是公路總局要求該公司限期改善,在 TechCrunch 的原報導中也提到他們有發信問數位發展部,已經通報 TWCERT/CC 協助處理,也已經無法自該資料庫下載資料。

這件事情讓我想到幾個美國的案件,我簡單的摘要並提供美國FTC的案件連結,有興趣的人可以再去網站上閱讀:

Equifax資料外洩案:

2017年時的Equifax資料外洩案十分有名,由於它是一家跨國消費者信用調查的公司,所以儲存了大量的美國、加拿大、英國人民的個人資料、財務與金流資訊,被評估會讓這些被資料外洩的受害者可能會遇上身分被竊取、詐欺等事件。

經過調查, 在這次的資料外洩案中有 1.47 億人的個人資料被外洩,在去年12月與美國FTC、消費者金融保護局、和一些美國地區達成和解,在和解協議中,需要支付4.25 億美元給受到資料外洩案影響的人,到2026年之前,美國的消費者透過特定的網站,每年可以取得7份免費的信用評估報告,另外,受害者也可以在特定期間內,針對因受到身分被竊取、詐欺的而影響,要求賠償需要恢復身分所花費的時數及費用,每小時賠償25美元,最多20小時。

對於常常接到電話詐騙、在公共場所大聲報出自己身分證號碼的台灣人來說,可能不覺得有什麼,但從2017年關注這個事情到現在,我想美國人對於因資料外洩而導致身分被竊取、詐騙,實在是謹慎且處理方式完整許多。

連結:Equifax Data Breach Settlement

Drizly 資料外洩案

資料外洩的案子常在網路上出現,看到後來我常常都麻木了。2018年還有萬豪酒店集團的資料外洩案、國泰航空的資料外洩案、四大會計公司輪流出包把客戶的財務資料存在雲端系統,還把帳號密碼未經加密就寫在某個公開的服務裡。

2018年對我來說幾乎是資料外洩案爆發的一年,但對長期服務於資安領域的人來說,這些都不是新案。

美國的 Drizly 是 UBER 所經營的一個販賣及運送含酒精飲料的網站,他們使用了Amazon的雲端服務,在上面儲存了消費者的電子郵件位置、郵務地址、電話號碼、單一裝置識別碼(Unique Device Identifier,UDID)、地理位置資訊和從第三方網站購買的資料。

2018年時,Drizly的工程師天才的把登入雲端服務的帳號和密碼放在 Github 裡,被有心人士取得帳號密碼後,登入雲端服務,並且用他們的服務來挖加密貨幣。Drizly知道後馬上更改登入的資訊,並發表公開聲明表示會有完善的保護措施。結果2020年,也就是2年後,又被駭客駭入其中一名員工的帳戶,並外洩250萬筆消費者的個資,並在暗網中的兩個網站被販售。

美國FTC最後的處罰命令是要求 Drizly 銷毀資料,並限制他們收集消費者的個資,要求這家公司指派專門的高階主管來處理資訊安全,並且設立不同等級的權限,而員工在登入資料庫、網站管理端時要採用多因素驗證(MFA)來認證身分。

讓我印象最深刻的則是對Drizly執行長個人的處罰:在FTC公布處罰命令的10年內,這位執行長如果離開Drizly而去其他任何一家收集超過 25,000 筆個資的公司任職,可能是擔任大股東、執行長或負有資安責任的主管時,FTC的執法命令都會跟著這位前執行長,他之後任職的公司都需要在180天提供完整的資訊安全計畫。

連結:FTC Finalizes Order with Online Alcohol Marketplace for Security Failures that Exposed Personal Data of 2.5 million People

我想很多人一聽到資料外洩都會想到個資法、資安法這些台灣既有的法律,更或是直接拿歐洲的GDPR來看這個事情,台灣最經典的案例是2007年博客來網站販售金馬獎票券卻發生消費者資料外洩的事件,雖然發起了集體訴訟,但最後的賠償金額並不高。

台灣人沒有興訟的文化,也喜歡以和為貴,在管制程序及政治文化上都不太一樣,所以後續大大小小的網路服務、網站出現資料外洩時,可能還要先找到對的主管機關才能投訴,或是一般民眾不熟悉、也不想了解投訴的流程,被資料外洩的人也是雙手一攤,要自己小心。

台灣這次的資料外洩事件在網路上流傳開來,有人建議要換信用卡、換身分證。由於台灣要更換身分證號碼的條件嚴謹,涉及的公共服務層面非常廣,也沒有任何法規依據讓台灣人民在遇到身分被竊取時的後續處理方法,相信不會因為這個事件讓受害者去更換身分證號碼,所以換身分證應該是很難成功,但應該是可以剪卡,避免信用卡被盜用。

這件事可以從兩個方向來思考:

  1. 外洩資料的公司要做哪些補救措施?有沒有可以協調的空間?我不建議一下就用法規去處罰,這只會讓受害的公司更不願意即時公開資訊及討論補救措施。
  2. 建立對被外洩資料的消費者、網站使用者、資料主體的補救措施。像是如何建立報案的管道、如何認定報案者是因為這個事件而被竊取身分或遭受詐欺?如何讓受害人證明自己的身分?重建身分需要哪些主管機關、單位配合?有沒有讓消費者、資料主體主動控制自己資料留存在哪些網站或服務、單位的方式或工具?如果消費者受到損害,決定要進行訴訟時,有哪些管道?有沒有相關的依據?這些都是可以去思考的。

台灣未來能否面對個人身分資料外洩時,協助企業訂出保護措施、保護消費者避免遭到身分被竊的風險,也許要看相關的主管機關 (哪個部會?)的處理意願吧?

當然獨立自強的台灣人也不妨想想,當自己的「身分」被竊取時,要如何證明「我是我自己」,當所有的「身分」、「頭銜」都喪失時,我又是誰?


Image by Mohamed Hassan from Pixabay

留言

此網誌的熱門文章

各國政府在談資料跨境傳輸時,台灣需要什麼?

保護個人資料可能是各行各業的一個重要議題,不止增加了企業的資安相關成本也增加了法遵成本。尤其是需要跨國傳輸(個人)資料的企業,除了要配合各國的資料保護法(規範、規則)外,也要擔心資料外洩事件後續的成本,還有許多額外的行政手續。許多國家已經感受到資料流動的重要性,也紛紛的透過數位經濟協議、各種雙邊或多邊協議,來減輕企業跨境傳輸資料時的相關成本,以促進(數位)經濟發展,例如2018年時,美國、墨西哥、加拿大已簽署「美國-墨西哥-加拿大協定」(United States, Mexico, and Canada Agreement),讓這三個國家的企業可以在忠北美境內自由傳輸資料。 2019年由日本前首安倍晉三在世界經濟論壇和2019年的G20大阪峰會中提出提出「Data Free Flow with Trust」(簡稱DFFT),其核心概念是「基於信任的資料流通」。這樣的概念主要是建立彼此信任的跨境資料傳輸,促進資料自由流動,同時確保對隱私、安全和智慧財產權之信任。 在2019年G20大阪峰會時就已談出了DFFT的發展概念,2021年時已擬定發展的藍圖。當時也討論了所謂的資料在地化、資料主權等議題,並且也有著「資料的連結與使用是可提升生產力的重要因素,限制跨境資料流動,會是國際貿易體系的沉重成本之一,且資料在地化的要求可能會提高企業的生產與法遵成本」之共識。 到了2023年,因當時聯合國網路治理論壇(UN IGF)在日本京都舉辦、及G7日本廣島峰會的緣故,DFFT的概念再次被提出,且被熱烈討論著。G7廣島峰會裡則是建立了夥伴關係機制 (Institutional Arrangement for Partnership,IAP),並由OECD擔任協調的單位,來建立所謂的IAP;日本的JICA(Japan International Cooperation Agency)也在UN IGF 中提出執行 DFFT 之相關倡議。 如果有興趣進一步了解DFFT,可以閱讀: Digital Agency, Data Free Flow with Trust (DFFT) , World Economist Forum, Data Free Flow with Trust (DFFT): Paths towards Free and Trusted Data Flows 網路上的資料很多

聊聊台灣的人工智慧政策發展進度-歐美國家

明天 (520)是台灣第 16 任總統上任的日子。我們在上個星期五,也就是 5 月17 日的晚上,曾經經歷過2014年 318 學運的人,幾乎又有同樣的感受覺,彷彿又回到10年前,國民黨準備通過與中國不明不白的服務貿易協定。台灣人在接下來要面對的,是一個朝小野大的治理體系,唯一慶幸的是,我們可以全民監督政府,可以線上關注立法院又在上演什麼戲碼。 在 18 日下午幫觀音蓮換盆後,有個感觸:「大家都有生活要過,如果不是國會失能,誰想再走上街頭?」如果我們這一代都被教育為溫良謙恭儉讓,那怎麼立法院還能打成這樣? 回到新總統宣布內閣成員的那天,出現所謂「行動創新的AI內閣」,我始終無法理解這表示內閣自動化還是內閣AI化?我在媒體的報導裡,只能理解將延續智慧政府的願景,人工智慧 (AI) ,似乎是提升搜尋引擎關鍵字用的流行用字。 簡單查詢一下,台灣近期關於人工智慧的相關法規、規範、指引、辦法、原則,除 2018 年提出所謂的「 AI小國大戰略 」、 2019年時有立委提出應擬「 人工智慧發展基本法 」、2023年8月由國科會所擬的「 使用生成式AI參考指引(草案) 」,國內腳步最快的監管機關應該是金融管理委員會,在2023年10月公布「 金融業運用人工智慧(AI)之核心原則及政策 」,有相關的指引和配套措施。 當其他國家為避免發展人工智慧傷害人民而陸續建立事前管制的法規時,我有點擔心,台灣的法規進度在哪裡?如果從0到10,10是歐盟AI Act的程度,那台灣會在哪裡?台灣所謂的 AI內閣,有什麼 AI 操作或監管指引嗎? 關於全球 AI政策發展的觀察站 有興趣的人可以多閱讀 OECD 的 OECD.AI ,這裡面收集相對完整的全球立法資訊,自我 2019 年開始看這個網站到現在,這幾年網站內的內容增加非常多。 年初時一場線上研討會,參與者建議除了原有的功能外,也可以再提供一些政策研析,畢竟 OECD裡有許多的專家,不僅僅是討論及觀測經濟發展而已,這個意見很快被採納,但寫文章需要時間,所以他們也利用一些AI功能可以搜集收章,讓網站出現大量的文章。今年除了新增文章外,也看到有他們正在全球觀測所謂的 AI Incidents ,使用者可以透過網站了解全球因為開發或使用人工智慧系統所出現的實際危害事件,也 定義AI Incidents和 AI Hazard的不同 。免費,每個人都可以

聽死神說故事--偷書賊

書名:偷書賊(THE Book Thief) 作者:Markus Zusak ISBN:9789866973420 作者網站: Markus Zusak 譯者:呂玉嬋 出版:木馬文化 封面取自博客來網路書局。 購買於小小書房。 這個夏天讀《偷書賊》和《失物之書》,會在兩本不同的故事裡看到同一個時空背景所發生的故事,同樣是發生在孩子身上的事,同樣在說文字的力量,但《偷書賊》的節奏比《失物之書》緩慢一些。我盡量不要比較這兩本書,因為這是很無聊的事,但在閱讀的過程裡總驚訝這兩個故事有那麼多巧合之處,不是情節上的相似,而是在人物角色和背景總是有相似或是對立的情況出現。 《偷書賊》的女主角是被德國夫妻領養的莉賽爾,原本也要一同被領養的莉賽爾的弟弟卻死於火車上,莉賽爾在遭受與父母分離及弟弟的死亡後,在精神上受了極大的創傷,幸運的是領養她的父母是故事書中最仁慈的角色,給了莉賽爾完整的愛,不同於此時期裡其他的孩子可能瀕臨餓死或是送入集中營或是在街頭流浪被流彈波及,莉賽爾因為養父母的照顧和周遭的朋友、躲在地下室的猶太人…還有偏愛她的死神。 這個故事的特別處之一,敘述者不是主角或是任何一個書中的角色,而是沒有時空限制,總是旁觀的第三者,特別是在二戰的年代,無所不在的死神,戰場、集中營、巷弄裡,特別的是,這個死神總是想要表現祂冷酷無情和輕蔑人類的一面,但實際上我們從書中讀到的,是祂憐憫人類、輕視、無奈、驚訝人類的個性,也像人類一樣會抱怨工作、具有詩意、幽默感,也就是具有人性的一面: 人類只有在一天的開始與結束時,才會觀察顏色的變化。 但是對我而言,一天當中,每個短暫片刻都呈現出不同的色度與調性。 光是一個小時的時間,就包含了幾千種不同的顏色:蜜蠟黃、柔絲藍、陰鬱黑。 我是做這行的,當然特別注意顏色的變化。 …她貫徹始終,只要經過三十三號的門口,從沒有忘記吐痰,還會外加一句「死豬」。我發現德國人有個特點:他們真的很愛豬。 這個具有人性的死神成了說書者,祂說著在戰時會發生在任何一個角落的故事,然而我們透過祂的眼睛,看到一個帶著色彩、煙硝味濃厚、心驚膽跳與眼淚的故事,祂不儘是旁觀者,同時也是貫穿整個故事的主要角色之一。 整個故事讀起來有對納粹主義的不滿也有對當時情況的無奈。裡面對於創傷後壓力症候群( PTSD )的描寫也很貼切,莉賽爾和猶太人麥克斯分別經歷了不同程度的打擊,也產生了同樣的症狀,