魏瑜嶙 報道
餐飲集團JP Pepperdine在2013年爲了招募新會員而設立網站,這個記錄了約3萬名會員資料的網站在接下來兩年多裏未設任何防護措施,公衆可隨意從中獲取餐館會員的大量個人資料。
JP Pepperdine
被罰款1萬元
JP Pepperdine因違反個人資料保護法令被判罰款1萬元,集團屬下的品牌包括著名西餐館Jack’s Place和Eatzi Gourmet等。個人資料保護委員會前天(25日)就此事件發表裁決。
集團在2013年上半年舉辦一次過的促銷活動,以吸引新會員加入和鼓勵現有會員更新個人資料。集團爲此雇用行銷公司爲活動設立網站,並把縮短的網址印在傳單上,公衆可通過縮短網址連接到存有會員資料的網站。
個人資料保護委員會2015年12月展開調查時,該網站記錄了約3萬名會員的身份證號碼、住址、聯絡號碼、生日和電郵地址等,但集團卻沒有爲網站設置任何防護措施。
每名會員會獲得一組由七個數字組成的會員號碼,這些號碼都按順序排列。公衆只要到網站輸入會員號碼,系統就會調出相關會員的個人資料;公衆若是在搜索欄留空的情況下點擊搜尋鍵,系統則會隨意調出任何一名會員的資料。
會員資料網上“晾”兩年
集團在2013年的促銷活動結束後並未立即撤下網站,而是直至2015年10月個人資料保護委員會接獲投訴後才那麽做。
集團解釋稱,網站原本只是供職員內部使用,方便他們從資料庫中調閱顧客資料,不打算對外開放。集團稱傳單上列出的縮短網址本應把公衆帶到另一個公開的會員網站,而非這個內部使用的網站,這是一個失誤。
個人資料保護委員會不接受這樣的說法,委員會認爲,一個處事謹慎的機構在發布任何網址前,最起碼應該檢查它是否正常運作。如果集團事前有采取一些簡單的防範步驟,就不會犯下這樣的錯誤。
此外,委員會也指出,JP Pepperdine應該在個人資料保護法令2014年7月生效後,決定是否要把這個會員資料系統留在網上或是存在公司的內部網絡裏,之後再檢討公司系統找出漏洞,但它卻沒有那麽做。
集團沒確保會員的資料獲得妥善保護。
JP Pepperdine事後已爲網站加設了密碼保護,同時從旗下餐館收回有問題的傳單。