文/楊琳彥
新加坡新保集團數據泄漏事件堪稱該國曆史上最爲嚴重的一例個人數據泄露案。受到這一事件的影響,新加坡修訂了《個人資料保護條例》,並于2019年9月1日起正式生效。新加坡《個人資料保護條例》不僅規定了商家等從業者不得任意扣押顧客身份證件或者收集、使用並公開個人身份信息,還引入了專門問責機制,凡是觸犯該規定,沒有做好個人數據保護的機構,將視情況處以最高100萬新加坡元(約合人民幣515萬元)及以下的罰款。
新加坡新《個人資料保護條例》問世的緣由
一直以來,新加坡都被譽爲是世界上最安全的國家之一。這一安全的界定,不僅涵蓋了個人的人身安全,更涉及互聯網時代下的“個人數據安全”。爲了防止個人數據的泄露,新加坡當局在2013年時就已出台了《個人資料保護條例》,用以保障個人數據的隱私性。
然而,即使有法案的規制,不法分子仍挖空心思來窺探公民的個人數據。2018年7月,新加坡保健集團(SingHealth)的健康數據遭到黑客攻擊,共有約150萬名患者的個人數據被竊取,16萬名患者的病曆、配藥記錄遭侵入。據世界銀行統計數據顯示,2018年新加坡總人口爲564萬人。這就意味著新加坡平均每四個人中,就有一人的醫療數據被泄露。
新加坡衛生部部長顔金勇(Gan Kim Yong)和通訊與新聞部部長易華仁(S. Iswaran)稱,這一事件堪稱該國曆史上最爲嚴重的一例個人數據泄露案。該案受害人中,甚至還有新加坡總理李顯龍(Lee Hsien Loong)和多名該國政府高官。李顯龍本人的就診信息、配藥記錄等也在該事件中遭遇外泄。
新加坡保健集團擁有4所醫院,5所國家專業中心及8所綜合性診所,是新加坡最大的醫療集團。黑客通過攻擊,非法複制並獲取了該集團旗下多家專科性門診和綜合性診所患者的姓名、性別、國籍、民族、住址、出生年月等非醫療數據。
據新加坡個人數據保護委員會(Personal Data Protection Commission,PDPC)表示,這一網絡黑客攻擊最初源于2017年下半年的一次對于工作站的入侵。在此之後,黑客通過病毒軟件的植入,取得了遠程控制的權限,並有針對性地攻擊、竊取了新加坡保健集團數據庫的個人具體資料。這些極爲敏感的個人數據一旦被外界所獲取,將會對當事人本人帶來諸多影響。
數據泄露案的消息一經曝出,新加坡社會一片嘩然 。很多民衆都擔心個人數據會被不法分子所利用,從而令自己的人身安全和財産安全受到威脅。在此期間,新加坡個人數據保護委員會(PDPC)也收到了民衆的大量投訴。新加坡衛生部部長顔金勇向遭到網絡攻擊的受害人作出了致歉。他表示:“作爲公共醫療保健單位,其職責不僅是爲患者提供良好的醫療服務,同時也應保證患者資料的私密性。我向受到影響的所有患者表示歉意。”
事件發生後,新加坡總理李顯龍要求網絡安全部門和衛生部門一同合作,以加強新加波的醫藥衛生系統防禦。李顯龍同時還表示,該網絡攻擊針對的目標就是他本人。這些黑客經過多次嘗試,竊取了李顯龍的門診病曆和配藥記錄,希望能從中發現某些國家機密或者能令李顯龍憂慮的數據信息。
新加坡網絡安全局局長許智賢(David Koh)證實,黑客的網絡攻擊是一起經過嚴密策劃,有預謀的數據竊取行爲,且並非業余黑客所實施。不過,並未有證據證明有任何患者的診療記錄被篡改,黑客也沒有對診斷和檢驗等記錄數據進行攻擊和破壞。此外,除新加坡保健集團數據庫外的其他公共醫療系統數據庫,並未受到該黑客攻擊的影響。
經過對于該事件的調查,2019年1月,新加坡個人數據保護委員會(PDPC)作出決定,認定技術供應商公共綜合保健信息系統公司(Integrated Health Information Systems,IHiS)和新加坡保健集團對個人數據泄露事件負有主要責任。兩家公司總共被處以100萬新加坡元(約合人民幣515萬元)的罰款,並勒令其在30天時間內繳納。其中,技術供應商IHiS因未能采取必要的安全措施來保護個人數據,故而被罰款75萬新加坡元(約合人民幣386萬元);新加坡保健集團則因爲過度依賴技術供應商,且處理事故人員對安全事故應對規程不熟悉,故而被罰款25萬新加坡元(約合人民幣129萬元)。
保障力度進一步提升的新《個人資料保護條例》
新加坡于2013年出台的《個人資料保護條例》,主要針對個人資料不被濫用的保護以及對推銷信息和電話進行杜絕。但2018年的個人數據泄露事件,無形中推動著《個人資料保護條例》的修訂,並將問責機制引入新的《個人資料保護條例》中。
根據新修訂的新加坡《個人資料保護條例》規定,個人資料指的是包括姓名、指紋、身份證件、護照、外籍身份證件、出生證明、工作證件、移動電話號碼等在內的能夠用以識別特定人員的任何信息。2019年9月1日,新加坡新《個人資料保護條例》正式生效後,商家等從業者不得再任意扣押顧客身份證件或者收集、使用並公開個人身份信息。唯有在法律明確規定或者有必要對身份進行證明核實時,方可索取公衆的身份證件號碼。具體來說,新規允許的情形包括民衆訂購移動電話服務、購買煙草、房地産買賣、前往按摩機構按摩、酒店賓館入住、前往學前教育機構等。此外,商家等從業者須得到消費者的允許,才能夠收集並使用消費者的個人數據信息。同時,商家等從業者還需要向消費者解釋其收集並公開這些數據信息的緣由。
由于身份證件等文本上的個人姓名、照片、性別、年齡、住址等信息極爲齊全,如果放任商家等從業者對個人數據信息的隨意收集和使用,不僅降低了犯罪人的違法門檻,更加劇了個人數據資料被竊取、濫用的風險隱患。因此,新加坡新修訂的《個人資料保護條例》專門引入了問責機制,凡是擅自複制他人身份證件,或收集、使用和公開他人身份信息的,均構成違法行爲。對于觸犯新《個人資料保護條例》,沒有做好個人數據保護的機構,將視情況處以最高100萬新加坡元(約合人民幣515萬元)及以下的罰款。
新加坡個人數據保護委員會(PDPC)副專員楊子健(Zee Kin Yeong)指出,“越來越多的消費者將消費活動轉至網絡電商平台,使得個人電子信息在迅速增長的同時,也複制到了各個地方,進一步提升了個人數據被竊取的風險”。相較于黑客攻擊侵入信息數據庫所需要的較強的技術手段和較高的專業門檻,諸如注冊會員賬號、領取網絡優惠票券、參與抽獎活動、網上預約訂餐、網上購物,以及諸多大廈、公寓要求訪客登記等所要求提供的個人身份信息,往往更容易導致個人數據泄露。因此,民衆也不應向商家等從業者提供身份證號碼、外國身份證號碼、護照號等完整信息。
考慮到商家等從業者的實際情況,新加坡當局也推出了全新的身份識別技術指導原則。新加坡個人數據保護委員會(PDPC)鼓勵商家等從業者從其商業運營模式出發,選擇一定方式來對消費者身份進行識別,以防止過度收集、獲取消費者的其他個人信息數據。商家等從業者可以改用身份證號碼、手機號碼、電子郵箱地址的最後三位號碼和字母,來對消費者的身份予以確認。同時,爲了實現數據保護和業務完善之間的兼容,新加坡個人數據保護委員會(PDPC)還專門推出了數據信息保護專員項目,用于培訓相關人士能夠同時擁有數據保護和數據創新的能力,從而更好地幫助商家等從業者妥善收集和應用數據信息。