大陸安全漏洞監測平台日前表示,由於民眾發現在名為查開房的網頁上,輸入姓名或身分證字號,可以查到曾經在知名連鎖酒店的開房紀錄,內容包括個人資料等,經查訪後了解,因開房紀錄被無線上網認證管理系統供應商所儲存,但系統存有漏洞而有外露個資的危險。
該系統供應商說明,公司確實存在雲端網路安全漏洞的問題,但已經修復,並未造成開房記錄等旅客個人資料外洩。但有大陸報導指出,在修復前經實測,確實可在查開房的網頁上,只需輸入姓名或身分證字號,便可查詢到姓名、身分證字號、生日、地址、手機、電子信箱、公司、登記日期等多達十一項的內容,其中大多來自大陸知名連鎖酒店入住紀錄或是辦理會員卡的會員資料。
在臺灣,依據個人資料保護法第12條規定,非公務機關因違反該法所定規範,而導致個人資料洩漏、竊取或竄改,應查明後再以適當方式通知被洩漏的當事人。又同法第27條規定,保有個人資料檔案的非公務機關,為防止個人資料,被竊取、竄改、毀損、滅失或洩漏,應採行適當之安全措施。如果非公務機關違反規定,致個人資料遭不法蒐集、處理、利用或侵害其他權利,依照同法第29條第1項本文規定,須負損害賠償責任。
另外,參照法務部100年12月14日法律字第1000029469號函的說明,非公務機關對個人資料蒐集或處理,須有特定目的並符合個人資料保護法第19條第1項各款所法定情形,否則不得為之;又非公務機關欲利用其個人資料,依同法第20條第1項本文規定,在蒐集特定目的必要範圍內為其利用,如為特定目的外利用,須有同項但書各款所法定情形,才得以利用。