消費者協會。(圖:Ngau Kai Yan)
消費者協會因為沒有採取妥善措施保護消費者的個人資料,導致數據外泄,被個人資料保護委員會判處兩萬元罰金。
根據個資保委會在官網公布的判決書,消協分別在2022年10月和2023年6月發生兩起數據外泄事件。
在第一起事件中,有人入侵消協的電郵帳號,發送釣魚郵件給消費者,聲稱他們可以獲得賠償,並誘導他們提供銀行信息。結果,三名消費者上當受騙,總共損失超過21萬元。消協過後報警。據了解,共有2萬2500多個電郵地址外泄。
個資保委會在調查這起事件期間,又接到一名消費者投訴收到釣魚電郵,電郵還附上自己提交給消協的投訴詳情。消協過後發現共有28人受影響,但釣魚電郵並不是從消協的電郵帳號發出的。
個資保委會在判決書中表示,這些數據原本就保存在消協的系統中,因此合理推斷這些數據都是從消協的系統外泄的。共有1萬2千200多名消費者受影響,被外泄的資料包括:姓名、電郵地址、聯繫電話和投訴詳情,但沒有人蒙受財務損失。
有鑒於此,個資保委會判定消協違反了《個人資料保護令》。
消協回應時表示,完全接受個資保委會的判決,並承諾保障消費者的資料。消協也已經遵照指示,更新個人資料保護政策和修補安全漏洞。
