個人資料保護委員會的判詞顯示,上載到博納産業系統的1765個謝絕來電者名單是供內部查閱,但由于保護措施不足夠,名單與相關個人資料在互聯網上搜索得到。
鄭靖豫 報道
一名女子和姐妹頻頻收到不同推銷者的來電和手機短信,經查問赫然發現她的個人資料在博納産業的謝絕來電者名單上,而該份名單上1765人的個人資料在互聯網上一搜就查得到。博納産業因違反個人資料保護法令,被罰款1萬元。
投訴人前年12月28日向個人資料保護委員會投訴,指房地産經紀公司博納産業(PropNex Realty)在網上泄露一份有1765名謝絕來電者的名單,當中包括她和姐妹的個人資料。投訴人因經常接到推銷電話和短信,包括來自放貸者的信息,于是向其中一名來電者了解,才知道她的名字和聯絡號碼可在網上獲取。
經她一查,發現她的全名、手機號碼、固線電話號碼和住址,都列在上述名單中。公衆能隨意查閱該名單,只要輸入投訴人的名字、博納産業或謝絕來電使用者文件爲關鍵詞。
個人資料保護委員會在本月25日發表的判詞顯示,上述名單上載到博納産業的系統,供旗下的房地産經紀和職員查閱。名單上所列的名字,有至少96%只有他們的電話號碼、住址或電郵地址,沒有其他能辨認他們身份的資料。委員會接到投訴的三天後,通知博納産業把名單從互聯網撤下。
博納産業雖然曾測試系統的安全性,也把名單收錄在一個限制使用的文件夾裏,並試圖讓名單文件在谷歌搜索引擎爬行器前遁形,可是名單因沒有鎖碼,結果被谷歌列入索引裏成了檢索得到的文件。
博納産業在委員會通知後才知道名單外泄,它不久後把名單從系統中刪除,也通知谷歌搜索引擎去除相關的檢索連結。
博納已加強系統與流程
委員會說,博納産業缺乏足夠的安全措施保護個人資料。這家公司的系統有一個顯著的弱點,就是不必確認使用者身份就能輕易查閱名單,確認制因名單格式而不適用。然而,它卻沒采取方法應付這個弱點,也對所實行的安全措施有不正確或不足的了解。
“僅把文件在互聯網上的連結隱藏起來,不是確保它不受未經許可而被使用的有效方法……若一個機構決定使用某種保護措施,它的責任是了解這種措施的任何弱點和限制,並就弱點和限制來設定保護措施。
此外,委員會考慮到博納産業在上載名單五個月後,在接到投訴才發現名單外泄,說明了它的系統不足以防止或發現這類事件。盡管這家公司過後把名單從有關系統刪除,但難保房地産經紀不會把含有個人資料的其他文件上載到系統,而這種文件的格式因不受身份確認制所保護,所以依舊有資料外泄的風險。
因此,委員會指示博納産業在兩方面加強保護。
博納産業的母公司P&N控股集團企業通訊和行銷助理總監吳婷婷,昨天回答《聯合早報》詢問時指出,博納産業在獲知資料外泄後即刻加強系統和流程。她說:“現在所有這類資料都受密碼和使用者身份確認制保護。”