文/杨琳彦
新加坡新保集团数据泄漏事件堪称该国历史上最为严重的一例个人数据泄露案。受到这一事件的影响,新加坡修订了《个人资料保护条例》,并于2019年9月1日起正式生效。新加坡《个人资料保护条例》不仅规定了商家等从业者不得任意扣押顾客身份证件或者收集、使用并公开个人身份信息,还引入了专门问责机制,凡是触犯该规定,没有做好个人数据保护的机构,将视情况处以最高100万新加坡元(约合人民币515万元)及以下的罚款。
新加坡新《个人资料保护条例》问世的缘由
一直以来,新加坡都被誉为是世界上最安全的国家之一。这一安全的界定,不仅涵盖了个人的人身安全,更涉及互联网时代下的“个人数据安全”。为了防止个人数据的泄露,新加坡当局在2013年时就已出台了《个人资料保护条例》,用以保障个人数据的隐私性。
然而,即使有法案的规制,不法分子仍挖空心思来窥探公民的个人数据。2018年7月,新加坡保健集团(SingHealth)的健康数据遭到黑客攻击,共有约150万名患者的个人数据被窃取,16万名患者的病历、配药记录遭侵入。据世界银行统计数据显示,2018年新加坡总人口为564万人。这就意味着新加坡平均每四个人中,就有一人的医疗数据被泄露。
新加坡卫生部部长颜金勇(Gan Kim Yong)和通讯与新闻部部长易华仁(S. Iswaran)称,这一事件堪称该国历史上最为严重的一例个人数据泄露案。该案受害人中,甚至还有新加坡总理李显龙(Lee Hsien Loong)和多名该国政府高官。李显龙本人的就诊信息、配药记录等也在该事件中遭遇外泄。
新加坡保健集团拥有4所医院,5所国家专业中心及8所综合性诊所,是新加坡最大的医疗集团。黑客通过攻击,非法复制并获取了该集团旗下多家专科性门诊和综合性诊所患者的姓名、性别、国籍、民族、住址、出生年月等非医疗数据。
据新加坡个人数据保护委员会(Personal Data Protection Commission,PDPC)表示,这一网络黑客攻击最初源于2017年下半年的一次对于工作站的入侵。在此之后,黑客通过病毒软件的植入,取得了远程控制的权限,并有针对性地攻击、窃取了新加坡保健集团数据库的个人具体资料。这些极为敏感的个人数据一旦被外界所获取,将会对当事人本人带来诸多影响。
数据泄露案的消息一经曝出,新加坡社会一片哗然 。很多民众都担心个人数据会被不法分子所利用,从而令自己的人身安全和财产安全受到威胁。在此期间,新加坡个人数据保护委员会(PDPC)也收到了民众的大量投诉。新加坡卫生部部长颜金勇向遭到网络攻击的受害人作出了致歉。他表示:“作为公共医疗保健单位,其职责不仅是为患者提供良好的医疗服务,同时也应保证患者资料的私密性。我向受到影响的所有患者表示歉意。”
事件发生后,新加坡总理李显龙要求网络安全部门和卫生部门一同合作,以加强新加波的医药卫生系统防御。李显龙同时还表示,该网络攻击针对的目标就是他本人。这些黑客经过多次尝试,窃取了李显龙的门诊病历和配药记录,希望能从中发现某些国家机密或者能令李显龙忧虑的数据信息。
新加坡网络安全局局长许智贤(David Koh)证实,黑客的网络攻击是一起经过严密策划,有预谋的数据窃取行为,且并非业余黑客所实施。不过,并未有证据证明有任何患者的诊疗记录被篡改,黑客也没有对诊断和检验等记录数据进行攻击和破坏。此外,除新加坡保健集团数据库外的其他公共医疗系统数据库,并未受到该黑客攻击的影响。
经过对于该事件的调查,2019年1月,新加坡个人数据保护委员会(PDPC)作出决定,认定技术供应商公共综合保健信息系统公司(Integrated Health Information Systems,IHiS)和新加坡保健集团对个人数据泄露事件负有主要责任。两家公司总共被处以100万新加坡元(约合人民币515万元)的罚款,并勒令其在30天时间内缴纳。其中,技术供应商IHiS因未能采取必要的安全措施来保护个人数据,故而被罚款75万新加坡元(约合人民币386万元);新加坡保健集团则因为过度依赖技术供应商,且处理事故人员对安全事故应对规程不熟悉,故而被罚款25万新加坡元(约合人民币129万元)。
保障力度进一步提升的新《个人资料保护条例》
新加坡于2013年出台的《个人资料保护条例》,主要针对个人资料不被滥用的保护以及对推销信息和电话进行杜绝。但2018年的个人数据泄露事件,无形中推动着《个人资料保护条例》的修订,并将问责机制引入新的《个人资料保护条例》中。
根据新修订的新加坡《个人资料保护条例》规定,个人资料指的是包括姓名、指纹、身份证件、护照、外籍身份证件、出生证明、工作证件、移动电话号码等在内的能够用以识别特定人员的任何信息。2019年9月1日,新加坡新《个人资料保护条例》正式生效后,商家等从业者不得再任意扣押顾客身份证件或者收集、使用并公开个人身份信息。唯有在法律明确规定或者有必要对身份进行证明核实时,方可索取公众的身份证件号码。具体来说,新规允许的情形包括民众订购移动电话服务、购买烟草、房地产买卖、前往按摩机构按摩、酒店宾馆入住、前往学前教育机构等。此外,商家等从业者须得到消费者的允许,才能够收集并使用消费者的个人数据信息。同时,商家等从业者还需要向消费者解释其收集并公开这些数据信息的缘由。
由于身份证件等文本上的个人姓名、照片、性别、年龄、住址等信息极为齐全,如果放任商家等从业者对个人数据信息的随意收集和使用,不仅降低了犯罪人的违法门槛,更加剧了个人数据资料被窃取、滥用的风险隐患。因此,新加坡新修订的《个人资料保护条例》专门引入了问责机制,凡是擅自复制他人身份证件,或收集、使用和公开他人身份信息的,均构成违法行为。对于触犯新《个人资料保护条例》,没有做好个人数据保护的机构,将视情况处以最高100万新加坡元(约合人民币515万元)及以下的罚款。
新加坡个人数据保护委员会(PDPC)副专员杨子健(Zee Kin Yeong)指出,“越来越多的消费者将消费活动转至网络电商平台,使得个人电子信息在迅速增长的同时,也复制到了各个地方,进一步提升了个人数据被窃取的风险”。相较于黑客攻击侵入信息数据库所需要的较强的技术手段和较高的专业门槛,诸如注册会员账号、领取网络优惠票券、参与抽奖活动、网上预约订餐、网上购物,以及诸多大厦、公寓要求访客登记等所要求提供的个人身份信息,往往更容易导致个人数据泄露。因此,民众也不应向商家等从业者提供身份证号码、外国身份证号码、护照号等完整信息。
考虑到商家等从业者的实际情况,新加坡当局也推出了全新的身份识别技术指导原则。新加坡个人数据保护委员会(PDPC)鼓励商家等从业者从其商业运营模式出发,选择一定方式来对消费者身份进行识别,以防止过度收集、获取消费者的其他个人信息数据。商家等从业者可以改用身份证号码、手机号码、电子邮箱地址的最后三位号码和字母,来对消费者的身份予以确认。同时,为了实现数据保护和业务完善之间的兼容,新加坡个人数据保护委员会(PDPC)还专门推出了数据信息保护专员项目,用于培训相关人士能够同时拥有数据保护和数据创新的能力,从而更好地帮助商家等从业者妥善收集和应用数据信息。