調查發現,新電信的資訊科技供應商Tech Mahindra的職員疏忽,在更新一名男客戶的資料時違反標准作業程序,導致他的資料外泄。
鄭靖豫 報道
新電信的資訊科技供應商在更新一名客戶的資料時,意外地把他的資料取代了278萬名客戶的部分資料,其中2518人因而看到該名客戶的身份證號碼。供應商導致新電信客戶的資料外泄,被個人資料保護委員會罰款1萬元。
一名男客戶去年2月26日通知新電信說,他無法登入戶頭。新電信于是把問題轉交資訊科技供應商Tech Mahindra(新加坡),後者斷定需要更新這名客戶在資料庫裏的資料,並著手進行。
三天之後,新電信收到其他客戶通知說,他們的個人資料被修改,取而代之的是上述男客戶的戶頭號碼、地址及服務項目。一些客戶則說,他們戶頭裏的身份證號碼一欄,出現的是上述男客戶的身份證號碼。
個人資料保護委員會日前發表的裁決顯示,278萬名新電信客戶的戶頭受影響,當中2518人通過新電信的應用(app),看到該名男客戶的身份證號。新電信過後暫停應用以及網站的戶頭登入服務,並且通知個人資料遭泄露的男客戶有關事件。
新電信調查發現,Tech Mahindra的職員疏忽,在更新上述男客戶的資料時違反標准作業程序。Tech Mahindra在執行網頁指令碼(script)時,漏了關鍵的指令句,結果不只是男客戶的檔案獲得更新,其他客戶的資料也受影響。
新電信于事發前一年曾電郵Tech Mahindra,提醒它得在網頁指令碼中加入有關的重要指令句。
此外,Tech Mahindra也沒遵守新電信設下的要求,在公開運行前先測試網頁指令碼。而且,它沒遵守本身的內部保安措施,既沒交由一名較資深的職員複查網頁指令碼,也沒讓其他職員在網頁指令碼公開運行後確查更新的資料無誤。
委員會:
新電信作出合理保安安排
至于新電信,個人資料保護委員會認爲,新電信有采取合理的措施保護客戶的資料。新電信和Tech Mahindra之間的合約規定後者遵守新電信的指示、方針等,並確保職員都接受過資料保護法與保安措施方面的培訓,才獲准讀取和控制新電信系統裏的個人資料。
此外,新電信確查Tech Mahindra履行保護客戶個人資料的職責,以及每年檢討Tech Mahindra的安全程序,並測試應用和客戶登入網站平台。“基于此,委員會裁定新電信作出合理的保安安排,符合個人資料保護法令第24節條文的保護責任。”
個人資料保護委員會考慮到男客戶遭泄露的是資料敏感的身份證號碼、多達278萬名客戶的資料在過程中被擅自修改等因素,決定對Tech Mahindra施加1萬元罰款。