1月15日,新加坡个人资料保护委员会宣布,因数据保护不力致使约150万病人数据被盗,新加坡保健服务集团(SingHealth)和综合保健信息系统公司(IHiS)被罚款100万新币。
其中,IHiS因未采取足够的安全措施保障病患个人资料被罚75万新币,新保集团则是因负责处理安全事故的人员对事故应对程序不熟悉,且过度依赖IHiS等,被罚款25万新币。上述罚款,需在30天内支付。
15日,在北京大学“隐私保护与数据治理2019高峰论坛”上,新加坡个人资料保护委员会的相关负责人告诉南都记者,这是委员会有史以来开出的最高罚金。
新加坡总理李显龙的医疗数据也受波及
去年7月,南都记者曾报道,新保集团数据库遭遇严重网络攻击,致使2015年5月1日至2018年7月4日期间,150万名到该集团旗下医院、诊所就诊的病患个人资料,以及16万人门诊开药记录被盗,其中包括新加坡总理李显龙等多名政要。
15日,新加坡个人资料保护委员发布的通报提及,这是新加坡历史上最严重的个人数据泄露事件,期间接到了大量的公众投诉。此次网络攻击始于2017年8月一次对个人工作站的侵入,此后攻击者利用病毒软件获得了其他工作站的远程控制权限,并于2018年6月27至7月4日设法盗取了150万患者信息包括诊断报告、药物记录等。这些都是高度敏感的个人数据,一旦被外人所知,将对当事人产生不小的影响。
鉴于此,该委员会认为负责公共医疗机构资讯通信系统的IHiS有必要提供更高的保护标准。然而,在此次网络攻击事件中,IHiS的前技术人员曾在2014年发现一个关键系统漏洞,但上报后未能引起关注,漏洞被认为不重要而没有得到修复。事后IHiS承认,部分员工未遵守内部安全管理制度,在数据泄露时所采取的安全管理措施不足。
作为技术供应商,IHiS在此次数据泄露事件中有逃不掉的责任,罚款75万新币。而作为数据控制者,新保集团也必须承担患者数据系统所有者的责任,并对收集的客户数据负责,为此新保集团也被处罚25万新币。
据南都记者了解,新加坡于2013年1月2月成立个人资料保护委员会(PDPC:Personal Data Protection Commission),负责执行和监督2012年颁布的“个人资料保护法令”。
新加坡近期推出数据保护信任标志认证
“针对IHiS和SingHealth的处罚公告已于15日上午公布,两家涉事单位分别收到委员会有史以来开出的最高和第二高罚金。”1月15日,在北京大学举办的“隐私保护与数据治理2019高峰论坛”上,新加坡数据保护咨询委员会执行主席、新加坡资讯通信媒体发展局副局长、新加坡通信和新闻部国际战略部门高级顾问LEONG Keng Thai对南都记者表示。
LEONG Keng Thai认为,在收集掌握大量个人信息后,数据控制者需要承担法律责任,涉及到个人数据转移时,必须保证数据接收方有同等的保护水平。
在当天的论坛上,LEONG Keng Thai还介绍了新加坡数据保护实践。物联网时代,传统基于用户同意的数据收集模式已经发生了变化。比如传感器,用户一进入到其感知范围,个人数据可能就直接被收集上传了,但用户很难声明是否允许企业这样做。为此,新加坡转变了数据治理思路,从所谓的合规制转向问责制,以更好地创造一个值得信任的生态体系。
LEONG Keng Thai对南都记者透露,上周新加坡启动了数据保护Trustmark认证,目前已有几家企业获得认可,另有一些公司还在审核阶段。
据悉,该计划由新加坡资讯通信媒体发展管理局和个人数据保护委员会(PDPC)联合推出,旨在帮助企业提升数据保护政策和实际操作方面的竞争力,赢得消费者信任。
在他看来,只有在获取公众信任后,消费者才会更愿意参与到数字经济和生活中,使用新兴应用,而由此产生的大量业务将反过来带动企业技术创新,以及监管体制的成熟。在这种正向的激励循环机制下,才能进一步刺激数字经济的发展。
采写:南都记者李玲 蒋琳