負責戰備人員禮品兌換的承包商因系統出錯,導致400多人的電郵地址、住址和手機號碼等資料外泄,被個人資料保護委員會罰款4000元。
根據委員會上周四(6月6日)放上官方網站的裁決報告,遭罰款的是Option Gift私人有限公司。《聯合早報》去年6月報道,這家公司是國防部和內政部的承包商,負責維持用來兌換戰備人員國民服役優異獎和“慶賀禮品”的Uniqrewards線上平台。
委員會去年6月12日接到該公司的通知,可能有多達426人的個人資料意外曝光。委員會也在同一天和隔天,分別接到兩名受害者的投訴。
事源這個平台出了問題,導致427名戰備人員在去年5月22日至24日提交兌換申請後,沒收到系統發出的確認電郵。
公司在5月23日發現問題後,用了另一個新電腦程序,自動發送確認電郵給這些人。
豈知,這個程序也出了問題。系統在發出確認電郵給第一個收件人時,也會發出另外426人的確認電郵給他。電郵內有戰備人員登錄Uniqrewards平台的認證資料、電郵地址、接收禮品的地址,以及手機號碼。
第二個收件人會收到自己和公司要給其余425人的電郵,但不會收到第一個收件人的資料。以此類推,只有最後一個收件人沒收到其他人的資料,所以資料遭外泄者多達426人。
委員會副專員楊子健在裁決報告中指出,經調查,Option Gift確實違反個人資料保護令,因此指示業者在30天內繳付4000元罰款。
委員會指出,公司在發現問題後已立即采取行動,包括在6月12日就電郵向所有427名受害者道歉,並要求他們刪除不應該收到的電郵。業者也在當天通知委員會。
國防部和內政部也在隔天發出手機短信向受害者道歉並要求他們刪除多余電郵。Option Gift則在去年7月提供所有受害者各一份80元的購物券。
此外,它也改進了內部系統,包括在修改線上平台功能之前,在測試階段添加多一道安全檢查。委員會指出,Option Gift之前在測試新電腦編碼程序時,只用一個內部電郵作爲測試中的收件人,結果才沒發現這個問題。