滨海湾金沙进行大规模软件更换作业时,未采取足够措施保护客户的个人资料,导致超过66万名客户的数据外泄,在暗网上兜售。滨海湾金沙因抵触《个人资料保护法令》,被个人资料保护委员会罚31万5000元。
这是我国首起涉及综合度假胜地业者的资料外泄事件,罚金是个人资料保护委员会历来开出的第二高。
综合保健信息系统公司(IHiS,新联科技Synapxe前身)过去因疏失,导致约150万名病人的个人资料被盗,2019年被重罚75万元。
个人资料保护委员会(简称个资委)星期二(10月28日)发文告说,2023年10月,66万5495名金沙客户的个人资料,包括姓名和联系资料遭不明黑客非法登入并外泄。这些资料后来被发现在暗网上兜售。
文告说:“相关资料一旦落入不法分子手中,可能被用于钓鱼诈骗或身份盗用。”
个资委指出,金沙承认违反义务,没有采取合理的保安措施,保护所持有的个人资料。
事件源于金沙在2023年3月一次大规模软件更换工作。文告说,更换过程中,公司须确保妥善落实所有保安措施,包括资料存取权限的转换。
不过,在当时的作业中,滨海湾金沙艺术科学博物馆“艺术科学之友”(ArtScience Friends)网页的其中一个识别码被遗漏,导致黑客得以入侵,并外泄金沙客户资料。
个资委说,尽管清楚知道这类软件更换作业的风险,金沙却只靠一名职员,人工整理须纳入新软件的应用程序编程接口(API)设定,也未设置第二层复核机制。
金沙一直到六个月后才发现和纠正错误。这期间,客户资料未得到所需保护。
个资委:金沙作为大企业 有足够资源保护客户个资
个资委指出,金沙没有为这么重要的保安政策制定好应有的流程,属于疏忽,违反了保护义务。“作为新加坡一家规模庞大、营业额可观的企业,金沙其实有足够的资源,好好保护客户的个人资料。”
根据完整报告,金沙称,由于技术上的限制,更换软件时无法采用自动化程序,只能以人工操作。此外,公司也强调,相关任务是交由能力最强的员工负责。
个资委虽接受金沙提出的技术限制理由,但仍认定公司因疏忽而违反保护个人资料的义务。
个资委在报告中指出,金沙承认这是公司首次进行这类软件更换作业。鉴于这一点,再加上过程涉及大量个人资料,金沙理应更加谨慎,落实完善的保安措施,并在每个关键阶段进行第二层检查,尤其当作业需要人工处理时。
个资委原本将罚金定在45万元,但在考虑到金沙发现问题后,即刻采取补救措施,包括在同一天重启网页的保安设置,以及及时且主动通知受影响客户等,最后决定将罚金减至31万5000元。
个资委强调,所有企业须履行个人资料保护法令的义务。个资委会对违例者采取适当行动。
根据修订后的个人资料保护法令,一旦发生涉及至少500人的个资外泄事件,涉事机构除了得通知政府和受影响用户,还可被处以更高的罚金,相当于在本地高达10%的年度营业额或100万元,以较高者为准。
针对个资外泄事件的细节,包括是否对涉事职员采取纪律处分,以及对个资委裁决的看法,金沙受询时不愿置评。
