有句俗语是这么说的,“事不过三”,告诫人们同样的错误切勿一犯再犯。
卫生部9个月内三次泄露国人个人数据的糗事好不容易才暂告一段落,上次红蚂蚁报道卫生部又出包的新闻时曾说过“希望事不过三”。言犹在耳,隶属于财政部的会计发展局(Singapore Accountancy Commission)马上“破功”。
事已过三。
先深吸一口气……
会计发展局今(22)日发出文告,透露当局在今年6月12日至10月22日期间,误将6541人的个人资料夹带为电子邮件附件,寄给隶属22个机构的41名人员。
受影响人士包括过去和现今的新加坡特许会计资格应试者、认证培训中心(Accredited Training Organisations)职员以及在2019年5月17日之前涉及新加坡特许会计资格计划相关行政事务的人员。
被泄露的个人数据包括姓名、身份证号码、出生日期、联络详情、教育、工作资讯以及受影响人士参加新加坡特许会计师资格考试的成绩。
蚁粉看到这里或许会想问,为什么要同时把电子邮件发给这么多个机构。会计发展局给予的解释是,该封附上6541人个人数据的电子邮件原本只是要通知上述22家机构一些有关行政的事务。
而这22个机构里头包含21家认证培训中心和一家供应商。
会计发展局误将6541人的个人数据外泄。(会计发展局)
当局直到采用新措施才发现个资外泄
上文有提到会计发展局不慎泄露个人资料的时间点介于今年6月12日至10月22日之间。
会计发展局直到采纳公共机构数据安全检讨委员会(Public Sector Data Security Review Committee)建议,采用一套新的保护数据措施后,才在11月7日发现这起泄露个资事件。
当局发现“事情大条”后,赶紧联系收到相关附带个人数据邮件的22家机构:
“会计发展局在2019年11月11日联络所有22家机构,要求他们删除相关的数据档案,并查清收件人是否有将相关数据档案转发给其他人。”
直到昨天(11月21日),所有22家机构才确认已经将相关数据档案和转发他人的档案删除完毕。
当局在22家机构都确认删除相关资讯后,于隔天(22日)通知受影响的人士,并就是次外泄事件向个人数据保护委员会(Personal Data Protection Commission)作出呈报:
“会计发展局严正看待这起事件,同时对这项失误深感遗憾。”
文告称,会计发展局将成立一个调查委员会以检讨相关事件。该委员会将由会计发展局马志强主持,其他成员将来自会计发展局董事会、智慧国及数码政府署及公共服务署。
政府机构在个人数据保护方面该拴紧螺丝了
红蚂蚁发现,会计发展局的文告其实并没有说明一份涉及6541人的个人数据档案,为什么会阴差阳错地成为寄给22家机构的电子邮件附件?
而发现外泄事件的时间点是11月7日(周四),但却是在11月11日(周一)才联络(或联络完)收到相关邮件的22家机构。扣去周末,尚有一天周五的工作天,如此重大的个资外泄事件,为什么不是分秒必争加以处置?
这一切,恐怕要等到调查委员会的报告出炉才会解答,估计这起事件应该会在下一次国会会期成为讨论重点。只是之前因为一系列泄密事件而很头大的卫生部长颜金勇这次不再会是焦点。
去年6月新保集团被网袭,月150万名病人的个人资料被盗。今年1月底又爆出上万个HIV带原者机密信息被泄露。接着是卫生科学局误把80万名捐血者的个人资料上传到不安全的网络服务器。
政府机构频频在个人数据保障方面掉螺丝,如果再不学乖,恐怕会如这位网友所言,“智慧国”愿景沦为口号:
甚至给国人一种没有任何人为错误负责的印象:
“又要等待‘某人’出来给个借口了。”
事已过三了,千万别再有第五次。