新加坡消費者協會(CASE)近期遭遇了一次重大的數據保護失誤,導致其面臨高達2萬元的罰款。這一事件凸顯了組織在數據管理和隱私保護方面的疏漏,引起了公眾對於個人信息安全的廣泛關注。
根據新加坡個人資料保護委員會(PDPC)在官網公布的判決書,消協因未制定合理且妥善的安排來保護其所擁有的個人資料而被罰款。消協也未能實行必要措施,以履行《個人資料保護法》(PDPA)所明定的義務。
兩起數據外泄事件分別發生在2022年10月和2023年6月,涉及的電子郵件地址和消費者資料數量驚人,分別達到22542個和12218個。第一起事件中,有三名消費者因釣魚郵件上當受騙,損失超過21萬元。而第二起事件中,雖未造成財物損失,但1萬2218名消費者的個人信息遭到外流。

(圖:來源自網絡)
PDPC在判決書中指出,消協的密碼管理和電郵保安措施存在明顯不足,例如使用簡單密碼且長時間未更換,以及缺乏及時發現可疑活動的保安措施。此外,自2017年以後,消協未再為員工進行安全意識培訓,也未制定信息和通信技術政策,僅依賴電腦部門員工在必要時進行維護和更新。
個人資料保護委員會已要求消協檢討和更新有關個人資料保護的政策,並修補安全漏洞,以避免類似事件再次發生。
此事件提醒了所有組織,必須重視並採取有效措施來保護個人資料,以免因違規而面臨法律責任和信譽損失。在大數據和信息化時代,個人信息的安全問題已成為全球關注的焦點,如何有效保護個人隱私是每個組織必須面對的重要課題。