接获罚单的有四家企业和机构,总共罚款7万5000元,其中罚款额最高的是卡拉OK连锁店K Box。前年9月,K Box31万7000个会员的姓名、电话号码和住址被人放上网,因未尽力保护会员资料被罚5万元。另外有六家公司和机构接获警告。
李蕙心 报道
hueyshin@sph.com.sg
个人资料保护委员会首次对触犯个人资料保护条例的机构采取行动,11家公司和机构因为没妥善保护顾客或会员的个人资料,导致资料外泄而被委员会罚款或警告。
接获罚单的有四家企业和机构,总共罚款7万5000元,其中罚款额最高的是卡拉OK连锁店K Box。
前年9月,K Box31万7000个会员的姓名、电话号码和住址被人放上网,委员会调查后发现该公司没有尽力保护会员资料,于是开罚5万元。
个人资料保护委员会昨天发表文告说,K Box没有委任一名职员负责落实个人资料保护措施,以致出现多项疏漏。例如,储存会员资料的电脑系统密码只有一个字母,安全性非常低。
公司也没有更新电脑系统的安全补丁,歹徒可利用恶意软件轻易窃取系统内的资料。
负责为K Box设立和管理电脑系统的科技公司Finantech Holdings也被罚款1万元。公司没有协助K Box更新安全补丁,修补安全漏洞。
此外,公司以“管理员”(administrator)的英文简写“admin”设定为K Box电脑系统管理员户头的密码,如此简单的密码容易被猜中,无法抵御黑客入侵。
新加坡工程师学会和惠华药行(Fei Fah Medical Manufacturing)也必须交付罚款。
新加坡工程师学会4000个会员的电话号码、网站登录名和密码被人在网上公开。委员会发现,学会没有妥善储存这些资料,也没有为会员密码加密,决定开罚1万元。
惠华药行没有保护好旗下“瑞一宝玛黛茶”网站的用户联络详情,以致900多名用户的资料外泄,必须缴付5000元的罚款。
根据条例,违法者每次违例将面对最高100万元的罚款。
以上四家公司和机构除了须缴交罚款之外,也必须按照委员会的个别指示加强个人资料保护措施,至今没有人提出上诉。
个人资料保护委员会主席梁景泰说:“我们采取行动不是要阻止企业使用个人资料,以保持竞争力。我们认同在当今经济使用数据创新科技是必要的,重点是负责任地使用这些资料,并采取适当措施保护它。”
另有一家旅行社世界旅游机构(Universal Travel Corporation),因为把一个旅行团的团员个人资料发送给其中四名团员,而受到调查。委员会发现旅行社根本没有保护顾客资料的意识,因此指示它设立个人资料保护机制并派员工接受相关培训。
另外有六家公司和机构接获警告。它们是:科技产品零售商挑战者(Challenger)、科技公司Xirlynx Innovations、富豪仕大众传播机构(Full House Communications)、美罗百货公司、新加坡电脑学会和YesTuition补习中心。
委员会指出,外包电脑系统管理工作给其他公司的机构,同承包商一样必须遵循个人资料保护法,双方必须密切沟通,确保系统的安全措施充足。
在个人资料保护工作方面,绝不能使用电脑系统原有的或简单的密码,同时也要定期检查系统的安全性,以及更新安全补丁。
个人资料保护法自2014年7月正式生效,个人资料保护委员会至今收到667起投诉,其中92%在委员会介入后,公司与投诉者取得和解。
赞
