國內-新冠肺炎 國內-政治

唐鳳疫苗預約平台無隱私 掌握「身分證+手機」個資全都露

  • 更新2021/08/20 15:19
  • 發布2021/08/20 11:22
  • 作者/ 李英婷

(新增:陳時中說法)

民眾黨立委邱臣遠今(8月20日)指出接獲民眾陳情,原來公司人資可以輕易進入「COVID-19(新冠肺炎)公費疫苗預約平台」,查詢員工意願登記動向。只要握有他人的身份證字號和手機號碼,就可直接登入疫苗預約平台「意願登記」欄中的「查詢欄」,無需雙重驗證,恐有個資外洩疑慮。邱臣遠要求相關單位立即增設加密機制。 

唐鳳設計的疫苗預約平台屢傳個資外洩疑慮。(圖/指揮中心提供)

對於立委質疑,疫苗預約申請系統有個資外洩的疑慮,中央指揮中心指揮官陳時中在下午例行記者會上表示,疫苗預約系統的相關資訊都屬於個資,如果有不當使用,將可以依《個人資料保護法》提告。

台灣新冠肺炎疫苗接種統一要透過行政院政務委員唐鳳設計的「COVID-19 公費疫苗預約」網站。目前進行第六輪國產高端疫苗的接種預約作業,卻被投訴有個資外洩疑慮。

邱臣遠今上午舉行記者會,指出接獲陳情,有民眾表示公司老闆時常明示、暗示員工應該要支持國產疫苗,還會逐一詢問個人登記意願狀況。由於疫苗預約平台在「查詢」個人登記狀況,只設置身分證字號和手機後三碼或出生年份等兩道個資登錄關卡,這些個資皆可輕易透過公司人資資料掌握到,引來民眾憂心遇到「政治狂熱的老闆」,會不會藉此查詢員工施打疫苗的紀錄及意願?

登入疫苗預約平台「查詢」,只要兩項個資即可查獲預約或施打狀況。(圖/截取)

邱臣遠指出疫苗預約平台恐有三大問題:一、預約平台中「意願登記」欄中的「查詢欄」,只要握有他人的身分證資料和手機號碼,都可以直接登入,無須雙重驗證。二、尚未施打疫苗的人,頁面會呈現預約的疫苗種類及施打地區。三、已經打過第一劑的人,頁面會曝露施打第一的種類、施打地區,以及第二劑的預約的疫苗和下一次可以施打的時間。

邱臣遠表示,疫苗預約平台在「登記/修改」或「預約」欄目都至少需要雙證件或一次性OTP認證才能登入,唯獨「意願登記」的「查詢欄」未設任何加密或一次性驗證,他呼籲相關單位應儘速檢討,加強個資保護機制,以落實個人資料保護法,避免人格權受到侵害。

留言