新加坡消费者协会(CASE)近期遭遇了一次重大的数据保护失误,导致其面临高达2万元的罚款。这一事件凸显了组织在数据管理和隐私保护方面的疏漏,引起了公众对于个人信息安全的广泛关注。
根据新加坡个人资料保护委员会(PDPC)在官网公布的判决书,消协因未制定合理且妥善的安排来保护其所拥有的个人资料而被罚款。消协也未能实行必要措施,以履行《个人资料保护法》(PDPA)所明定的义务。
两起数据外泄事件分别发生在2022年10月和2023年6月,涉及的电子邮件地址和消费者资料数量惊人,分别达到22542个和12218个。第一起事件中,有三名消费者因钓鱼邮件上当受骗,损失超过21万元。而第二起事件中,虽未造成财物损失,但1万2218名消费者的个人信息遭到外流。

(图:来源自网络)
PDPC在判决书中指出,消协的密码管理和电邮保安措施存在明显不足,例如使用简单密码且长时间未更换,以及缺乏及时发现可疑活动的保安措施。此外,自2017年以后,消协未再为员工进行安全意识培训,也未制定信息和通信技术政策,仅依赖电脑部门员工在必要时进行维护和更新。
个人资料保护委员会已要求消协检讨和更新有关个人资料保护的政策,并修补安全漏洞,以避免类似事件再次发生。
此事件提醒了所有组织,必须重视并采取有效措施来保护个人资料,以免因违规而面临法律责任和信誉损失。在大数据和信息化时代,个人信息的安全问题已成为全球关注的焦点,如何有效保护个人隐私是每个组织必须面对的重要课题。