消基會於2025/1/7召開記者會,指出iRent(和雲行動服務股份有限公司)租車條款蒐集個資過多,且要求消費者同意將個資分享對象包括關係企業,涉有違反個人資料保護法。經租車服務的主管機關公路局由台北市區監理所派員前往辦理行政檢查,認為該等條款合理性及必要性並不明確,要求iRent進行改善,和運公司也將集團內共同行銷資料系統功能關閉。這其實是過往許多大的企業希望一次蒐集資料就能夠提供予全部「關係企業」應用的不合理期待,在沒有適切的企業資料治理架構下,從服務的規劃到資料管理的架構都出現違反個資法的常見狀況。以下先來看聯合報對本次事件的初步報導:
iRent共享個資給關係企業 公路局:合理及必要性不明確
2025-01-08 20:02 聯合報/ 記者周湘芸/台北即時報導iRent
消基會昨指出,和運公司iRent租車條款蒐集的個資過多,且分享及利用對象包含關係企業及未來合作對象,恐涉違法。公路局台北市區監理所今派員至和運公司辦理行政檢查,認為分享資料雖有經當事人同意,但其合理性與必要性並不明確,為避免爭議,和運公司承諾立即將集團內共同行銷資料系統功能關閉。
消基會昨天表示,消費者租用iRent汽車,就必須接受和運公司片面的霸王條款,將個資交給多個關係企業分享,質疑此一行為不僅霸道、且有違法之嫌,呼籲主管機關交通部應正視企業廣搜消費者個人資料的灰色地帶,維護消費者權益。
公路局台北市區監理所今上午聯合資訊、政風及委外資訊廠商達文西個資暨高科技法律事務所等相關人員對和運公司進行行政檢查,針對和運公司將消費者個人資料分享給關係企業使用部分,雖有經當事人同意,惟其合理性與必要性並不明確,為避免爭議,和運公司承諾立即將消費者個人資料上傳至其集團內共同行銷資料系統功能關閉。
明明是經過當事人同意,甚至是書面同意,為什麼還會有違反個人資料保護法的問題?沒有錯,依據個資法第19條規定,「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:……五、經當事人同意。」理論上,雖然和運公司旗下各關係企業與iRent租車服務的消費者之間,並沒有契約或類似契約關係,但確實「經當事人同意」是一個合法取得個人資料的方式。但我們首先需要注意到,除了經當事人同意之外,第19條還有一個要件,就是「應有特定目的」,如果租車服務是由和雲行動服務股份有限公司提供,那麼,其他和運公司的關係企業取得租車服務消費者個人資料的「特定目的」是什麼?如果依新聞報導和運公司是關閉共同行銷系統,那麼,這個特定目的應該就是「行銷」。如果和雲行動服務股份有限公司在iRent消費者租車服務條款也寫清楚了,是不是就符合法律規範的要件了呢?
當然並不是如此。個人資料保護法第5條規定,「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」也就是說,即令看起來形式上是符合個資法第19條的要件,這個「行銷」的特定目的,還必須具有正當合理之關聯。和雲行動服務股份有限公司提供iRent服務,與和運集團的關係企業要進行共同行銷,有沒有正當合理的關聯?正常人都可以合理判斷沒有正當合理的關聯性,這其實就是標準的超出原先蒐集的目的為使用,甚至消費者還可以依據民法第247條之1,主張這類的定型化契約條款造成消費者重大不利益,顯失公平而無效。更不用說過度的蒐集同樣也未「尊重當事人之權益」,未依「誠實及信用方法為之」。違反個資法第5條規定同樣也會構成違法蒐集、處理及利用個人資料。另外,若是在消費者申請使用iRent服務時,要求填寫過多的個人資料,也可能會因為不具正當合理關聯性,而違反個資法第5條。
為什麼這樣明顯違反個人資料保護法的行為,會出現在像和運公司這麼具知名度的企業?基本上,就是缺乏企業資料治理的架構。舉例來說,出現這則新聞事件的違反個人資料保護法的事件,應該是哪一個單位或長官需要負責?如果以和雲行動服務股份有限公司來看的話,和雲行動公司負責服務條款設計的人員,一定覺得這是整個集團共同的期待,我只是配合在iRent租車服務條款加入這類雖然對消費者不是很公平,但消費者為了租車還是會同意的條款,這有什麼不對呢?和運集團將關係企業各項服務的個資全部蒐集,甚至放在同一個資料庫作為共同行銷使用,行銷部門為了獲取更多的第一手個人資料,也是為了集團所屬關係企業全體的利益,也不能讓行銷部分的長官負責吧!那當初到底是誰拍板決定的呢?可能根本沒有。因為大家都覺得有需要,就自然而然這樣做了。那現在該由誰來負責呢?
企業資料治理架構,很重要的就是權責的分配,有權即有責,而這個權責也應該相應地提供足夠的資源。傳統上在進行個人資料的管理時,會強調PDCA的管理循環,就管理層面而言,可能相關的單位也會由規劃開始執行。但並不是每個單位都具有足夠的個資教育訓練,而個別的服務單位進行個資蒐集、處理、利用的規劃時,又是直接套入集團的整體利益思維,就缺乏了一個具有跨部門針對企業資料從蒐集就開始必須「合法」這個基本法規遵循要求進行判斷的機制。資料經濟時代,資料是很重要的企業營運的「資源」,但同時也是企業重要的風險所在,必須納入公司治理層級進行考量,因為個資法的違反,同樣也是公司治理不彰的表現。
事實上,透過「iRent」+「個資」作為關鍵字進行Google檢索,iRent在2023年即發生過高達40萬筆個資外洩而遭公路總局開罰的事件,甚至查出iRent當時並無完整的個人資料檔案安全維護計畫。可參下述中央社新聞報導:
iRent個資外洩40萬筆屆期未改善 公路總局開罰20萬
2023/2/9 10:01(2/24 19:27 更新)
(中央社記者余曉涵台北9日電)和泰汽車旗下iRent爆出個資外洩,交通部公路總局今天說,清查發現iRent外洩多達40萬筆,情節重大,開罰新台幣20萬元,並要求業者落實個人資料保護法規定,若未改善將可按次處以罰鍰。
外國科技媒體TechCrunch在1月31日報導,1名安全研究員在和泰汽車雲端伺服器上,發現1個資料庫沒有密碼保護,iRent的客戶名字、手機號碼、電子信箱、家庭住址、駕照照片與經特殊處理的卡片支付等,任何人只要知道IP位址都可以查看這些個資。
若和運公司有合理的資料治理架構,就有機會發現各種新聞事件,都只是缺乏企業資料治理的冰山一角。回到這則新聞事件,目前該做的事不僅是這個新聞的個案爭議要和何平息,而是應該整體地檢視和運公司及各關係企業,是否還有這類違反個資法的行為?接著應該要針對過去已經蒐集來的資料,判斷能否自來源進行區隔(有時混同之後就很難再分開來)?如果可以區隔的話,應該要立刻停止違法處理及利用行為?如果沒有辦法區隔的話,該怎麼處理這些合法、違法混同在一起的資料?有沒有合宜的補救方式等。因為就和運租車公司關係企業,甚至整個和泰集團而言,不可能只有iRent租車服務有這個問題,而其他關係企業的服務都沒有這個問題,只要曾經共同行銷的主體,都需要重新檢視資料利用的合法性。而和運公司及其關係企業其他服務的主管機關,或是個人資料保護委員會(籌備處)是否會有進一步的行動,讓我們拭目以待。
