1月15日,新加坡個人資料保護委員會宣布,因數據保護不力致使約150萬病人數據被盜,新加坡保健服務集團(SingHealth)和綜合保健信息系統公司(IHiS)被罰款100萬新幣。
其中,IHiS因未采取足夠的安全措施保障病患個人資料被罰75萬新幣,新保集團則是因負責處理安全事故的人員對事故應對程序不熟悉,且過度依賴IHiS等,被罰款25萬新幣。上述罰款,需在30天內支付。
15日,在北京大學“隱私保護與數據治理2019高峰論壇”上,新加坡個人資料保護委員會的相關負責人告訴南都記者,這是委員會有史以來開出的最高罰金。
新加坡總理李顯龍的醫療數據也受波及
去年7月,南都記者曾報道,新保集團數據庫遭遇嚴重網絡攻擊,致使2015年5月1日至2018年7月4日期間,150萬名到該集團旗下醫院、診所就診的病患個人資料,以及16萬人門診開藥記錄被盜,其中包括新加坡總理李顯龍等多名政要。
新加坡個人資料保護委員會官網發布的信息。
15日,新加坡個人資料保護委員發布的通報提及,這是新加坡曆史上最嚴重的個人數據泄露事件,期間接到了大量的公衆投訴。此次網絡攻擊始于2017年8月一次對個人工作站的侵入,此後攻擊者利用病毒軟件獲得了其他工作站的遠程控制權限,並于2018年6月27至7月4日設法盜取了150萬患者信息包括診斷報告、藥物記錄等。這些都是高度敏感的個人數據,一旦被外人所知,將對當事人産生不小的影響。
鑒于此,該委員會認爲負責公共醫療機構資訊通信系統的IHiS有必要提供更高的保護標准。然而,在此次網絡攻擊事件中,IHiS的前技術人員曾在2014年發現一個關鍵系統漏洞,但上報後未能引起關注,漏洞被認爲不重要而沒有得到修複。事後IHiS承認,部分員工未遵守內部安全管理制度,在數據泄露時所采取的安全管理措施不足。
相關文件截圖。
作爲技術供應商,IHiS在此次數據泄露事件中有逃不掉的責任,罰款75萬新幣。而作爲數據控制者,新保集團也必須承擔患者數據系統所有者的責任,並對收集的客戶數據負責,爲此新保集團也被處罰25萬新幣。
據南都記者了解,新加坡于2013年1月2月成立個人資料保護委員會(PDPC:Personal Data Protection Commission),負責執行和監督2012年頒布的“個人資料保護法令”。
新加坡近期推出數據保護信任標志認證
“針對IHiS和SingHealth的處罰公告已于15日上午公布,兩家涉事單位分別收到委員會有史以來開出的最高和第二高罰金。”1月15日,在北京大學舉辦的“隱私保護與數據治理2019高峰論壇”上,新加坡數據保護咨詢委員會執行主席、新加坡資訊通信媒體發展局副局長、新加坡通信和新聞部國際戰略部門高級顧問LEONG Keng Thai對南都記者表示。
LEONG Keng Thai認爲,在收集掌握大量個人信息後,數據控制者需要承擔法律責任,涉及到個人數據轉移時,必須保證數據接收方有同等的保護水平。
在當天的論壇上,LEONG Keng Thai還介紹了新加坡數據保護實踐。物聯網時代,傳統基于用戶同意的數據收集模式已經發生了變化。比如傳感器,用戶一進入到其感知範圍,個人數據可能就直接被收集上傳了,但用戶很難聲明是否允許企業這樣做。爲此,新加坡轉變了數據治理思路,從所謂的合規制轉向問責制,以更好地創造一個值得信任的生態體系。
LEONG Keng Thai對南都記者透露,上周新加坡啓動了數據保護Trustmark認證,目前已有幾家企業獲得認可,另有一些公司還在審核階段。
據悉,該計劃由新加坡資訊通信媒體發展管理局和個人數據保護委員會(PDPC)聯合推出,旨在幫助企業提升數據保護政策和實際操作方面的競爭力,贏得消費者信任。
在他看來,只有在獲取公衆信任後,消費者才會更願意參與到數字經濟和生活中,使用新興應用,而由此産生的大量業務將反過來帶動企業技術創新,以及監管體制的成熟。在這種正向的激勵循環機制下,才能進一步刺激數字經濟的發展。
采寫:南都記者李玲 蔣琳