3万会员资料 餐饮集团没加密 品牌包括Jack's Place

餐饮集团JP Pepperdine在2013年为了招募新会员而设立网站,这个记录了约3万名会员资料的网站在接下来两年多里未设任何防护措施,公众可随意从中获取餐馆会员的大量个人资料。

JP Pepperdine

被罚款1万元

JP Pepperdine因违反个人资料保护法令被判罚款1万元,集团属下的品牌包括著名西餐馆Jack's Place和Eatzi Gourmet等。个人资料保护委员会前天(25日)就此事件发表裁决。

集团在2013年上半年举办一次过的促销活动,以吸引新会员加入和鼓励现有会员更新个人资料。集团为此雇用行销公司为活动设立网站,并把缩短的网址印在传单上,公众可通过缩短网址连接到存有会员资料的网站。

个人资料保护委员会2015年12月展开调查时,该网站记录了约3万名会员的身份证号码、住址、联络号码、生日和电邮地址等,但集团却没有为网站设置任何防护措施。

每名会员会获得一组由七个数字组成的会员号码,这些号码都按顺序排列。公众只要到网站输入会员号码,系统就会调出相关会员的个人资料;公众若是在搜索栏留空的情况下点击搜寻键,系统则会随意调出任何一名会员的资料。

会员资料网上“晾”两年

集团在2013年的促销活动结束后并未立即撤下网站,而是直至2015年10月个人资料保护委员会接获投诉后才那么做。

集团解释称,网站原本只是供职员内部使用,方便他们从资料库中调阅顾客资料,不打算对外开放。集团称传单上列出的缩短网址本应把公众带到另一个公开的会员网站,而非这个内部使用的网站,这是一个失误。

个人资料保护委员会不接受这样的说法,委员会认为,一个处事谨慎的机构在发布任何网址前,最起码应该检查它是否正常运作。如果集团事前有采取一些简单的防范步骤,就不会犯下这样的错误。

此外,委员会也指出,JP Pepperdine应该在个人资料保护法令2014年7月生效后,决定是否要把这个会员资料系统留在网上或是存在公司的内部网络里,之后再检讨公司系统找出漏洞,但它却没有那么做。

集团没确保会员的资料获得妥善保护。

JP Pepperdine事后已为网站加设了密码保护,同时从旗下餐馆收回有问题的传单。

LIKE我们的官方面簿网页以获取更多新信息

1