新加坡國立大學沒被罰款但被令在120天內,設計培訓課程來保護學生在任何大學批准或支持的活動中所收集與處理的個人資料,以及強制學生領袖接受培訓。國大之後得向個人資料保護委員會,提呈書面彙報說明培訓安排。
鄭靖豫 報道
新加坡國立大學一名學生向個人資料保護委員會投訴,143名學生義工的個人資料在連接谷歌試算表的網址公開並外泄。
去年,國大陳愛麗絲與彼德寄宿學院的學生領袖,創建了一份谷歌試算表(spreadsheet),收錄協助舉辦迎新會的學生義工的個人資料,包括全名、手機號碼、學生證號碼、生日、電郵地址及宿舍房號。
原先,這份試算表只供學生領袖共用,但設置去年5月被人由“只與指定人共用”改爲“通過網址共用”後,任何人只要知道網址,就能讀取143名學生義工的個人資料。
該名學生過後向個人資料保護委員會投訴,指學生義工並沒同意公開個人資料。個人資料保護委員會前天發表裁決,裁定國大違反個人資料保護法令,但沒有向這家教育機構施加罰款。
不過,國大被令在120天內,設計培訓課程來保護學生在任何大學批准或支持的活動中所收集與處理的個人資料,以及強制學生領袖接受培訓。國大之後得向個人資料保護委員會,提呈書面彙報說明培訓安排。
判詞指出,國大在個人資料外泄事件發生之前,提供個人資料保護培訓及准則,包括在2014年給可能擔任領袖的學生上課,讓他們了解在收集、使用以及公開個人資料方面的責任。
只安排學生虛擬學習
此外,所發出的准則有提醒學生在籌辦活動時注意個人資料的妥當使用,以免資料外泄。
不過,國大隔年卻沒有開班授課,只是安排所有學生在虛擬課室裏學習個人資料保護。
雖然國大設有方針及准則保護個人資料,但個人資料保護委員會認爲,它沒有正式的課程培訓學生,建立他們的意識、知識及技能來保護個人資料。
例如,國大提供虛擬課程,卻沒有強制舉辦迎新會的所有學生領袖上課。“而且,國大證實沒有學生領袖在去年迎新會之前接受網上培訓,盡管這些學生領袖接觸到其他學生的個人資料。”
此外,國大似乎在2014年只開班授課一次,並只讓某些學生接受培訓。雖然國大稱它打算常年開班授課,但在2016年迎新會時都沒實行。因此,學生領袖去年實際上沒有獲得保護個人資料方面的培訓。
個人資料保護委員會也認爲,只靠准則來保護個人資料是不足夠的,因爲學生領袖未必會實踐准則。
因此,個人資料保護委員會裁定國大抵觸個人資料保護法令,並指示它在有關方面加強學生領袖的培訓。