繼衛生部,隸屬財政部的會計發展部也爆出個人數據外泄事件。(示意圖)
有句俗語是這麼說的,「事不過三」,告誡人們同樣的錯誤切勿一犯再犯。
衛生部9個月內三次泄露國人個人數據的糗事好不容易才暫告一段落,上次紅螞蟻報道衛生部又出包的新聞時曾說過「希望事不過三」。言猶在耳,隸屬於財政部的會計發展局(Singapore Accountancy Commission)馬上「破功」。
事已過三。
先深吸一口氣……
會計發展局今(22)日發出文告,透露當局在今年6月12日至10月22日期間,誤將6541人的個人資料夾帶為電子郵件附件,寄給隸屬22個機構的41名人員。
受影響人士包括過去和現今的新加坡特許會計資格應試者、認證培訓中心(Accredited Training Organisations)職員以及在2019年5月17日之前涉及新加坡特許會計資格計劃相關行政事務的人員。
被泄露的個人數據包括姓名、身份證號碼、出生日期、聯絡詳情、教育、工作資訊以及受影響人士參加新加坡特許會計師資格考試的成績。
蟻粉看到這裡或許會想問,為什麼要同時把電子郵件發給這麼多個機構。會計發展局給予的解釋是,該封附上6541人個人數據的電子郵件原本只是要通知上述22家機構一些有關行政的事務。
而這22個機構裡頭包含21家認證培訓中心和一家供應商。
會計發展局誤將6541人的個人數據外泄。(會計發展局)
當局直到採用新措施才發現個資外泄
上文有提到會計發展局不慎泄露個人資料的時間點介於今年6月12日至10月22日之間。
會計發展局直到採納公共機構數據安全檢討委員會(Public Sector Data Security Review Committee)建議,採用一套新的保護數據措施後,才在11月7日發現這起泄露個資事件。
當局發現「事情大條」後,趕緊聯繫收到相關附帶個人數據郵件的22家機構:
「會計發展局在2019年11月11日聯絡所有22家機構,要求他們刪除相關的數據檔案,並查清收件人是否有將相關數據檔案轉發給其他人。」
直到昨天(11月21日),所有22家機構才確認已經將相關數據檔案和轉發他人的檔案刪除完畢。
當局在22家機構都確認刪除相關資訊後,於隔天(22日)通知受影響的人士,並就是次外泄事件向個人數據保護委員會(Personal Data Protection Commission)作出呈報:
「會計發展局嚴正看待這起事件,同時對這項失誤深感遺憾。」
文告稱,會計發展局將成立一個調查委員會以檢討相關事件。該委員會將由會計發展局馬志強主持,其他成員將來自會計發展局董事會、智慧國及數碼政府署及公共服務署。
政府機構在個人數據保護方面該拴緊螺絲了
紅螞蟻發現,會計發展局的文告其實並沒有說明一份涉及6541人的個人數據檔案,為什麼會陰差陽錯地成為寄給22家機構的電子郵件附件?
而發現外泄事件的時間點是11月7日(周四),但卻是在11月11日(周一)才聯絡(或聯絡完)收到相關郵件的22家機構。扣去周末,尚有一天周五的工作天,如此重大的個資外泄事件,為什麼不是分秒必爭加以處置?
這一切,恐怕要等到調查委員會的報告出爐才會解答,估計這起事件應該會在下一次國會會期成為討論重點。只是之前因為一系列泄密事件而很頭大的衛生部長顏金勇這次不再會是焦點。
去年6月新保集團被網襲,月150萬名病人的個人資料被盜。今年1月底又爆出上萬個HIV帶原者機密信息被泄露。接著是衛生科學局誤把80萬名捐血者的個人資料上傳到不安全的網絡伺服器。
政府機構頻頻在個人數據保障方面掉螺絲,如果再不學乖,恐怕會如這位網友所言,「智慧國」願景淪為口號:
甚至給國人一種沒有任何人為錯誤負責的印象:
「又要等待『某人』出來給個藉口了。」
事已過三了,千萬別再有第五次。
