香港個人資料隱私專員公署和新加坡個人資料保護委員會已簽署諒解備忘錄,雙方將就保護個人資料達成合作。
根據該協定,兩個委員會將就可能或正在發生的數據泄露問題交流信息,開展聯合研究項目,並分享最佳做法和「經驗」。
個人數據保護委員會(Personal Data ProtectionCommission)的 Tan Kiat How在一份聲明中說:「我們需要與香港及其他司法管轄區的對口單位緊密合作,以加強個人資料保障,為數字經濟作好準備。」
在過去的一年裡,這兩個司法管轄區都發生了重大的數據泄露事件。
就香港而言,國泰航空發去年十月布公告稱,該公司發現大約有940萬名乘客的資料曾被不當取覽。涉及的個人信息包括乘客姓名、國籍、出生日期、電話號碼、電郵及實際地址、護照號碼、身份證號碼、飛行常客計劃會員號碼、顧客服務備註及過往的飛行記錄資料等。其中,86萬個護照號碼以及24.5萬個香港身份證被不當取覽。此外,有403張已逾期的信用卡號碼以及27張無安全碼的信用卡號碼曾被不當取覽。每位乘客被不當取覽的程度有所不同。
該公司表示,已於去年3月在其網絡上發現可疑活動,當即採取了「果斷行動」,並在5月份證實了這一漏洞。
「自那時以來,對數據的分析一直在繼續,以確定受影響的個人,並確定所涉數據是否可以重建」報告說。
就新加坡而言,其健康服務(SingHealth)已被處以25萬新元罰款,而負責新加坡公共醫療保健行業的IT機構綜合健康信息系統(IHIS)因未能採取足夠的安全措施來保護個人數據而被罰款750,000新元。這一疏忽導致了去年7月的網絡安全攻擊,該攻擊損害了150萬SingHealth病人的個人信息,並違反了新加坡個人數據保護法案中規定的數據保護義務。
個人數據保護委員會(Personal Data ProtectionCommission)在1月份的罰款判決中表示:「處理安全事件的單衛生人員不熟悉事件反應過程,過於依賴綜合衛生信息系統(IHIS),也未能理解和採取進一步措施,了解IHIS在發布罰款後所提供信息的重要性。」
「即使組織將工作委託給供應商,作為數據控制器的組織最終也必須對他們從客戶那裡收集到的個人數據負責。
委員會在其報告中指出,SingHealth的CISO(首席信息安全官)未能行使獨立判斷並遵守IT安全事件報告流程,質疑SingHealth是否採取了合理和適當的措施來防止未經授權的個人訪問其資料庫中包含的數據。
「更重要的是,它指出了組織內部更大的系統性問題。首先,各方應制定一份合同,規定數據中介機構的義務和責任,以保護組織的個人數據和各方的各自角色,保護個人數據的義務和責任,「PDPC說。
(Me.F)
