郑靖豫 报道
peckgek@sph.com.sg
顾客的个人资料泄露,有关机构未必自动就抵触个人资料保护法令;机构避免泄露个人资料的责任并非绝对,个人也得为保护自己的资料负起责任。
百货公司BHG Singapore的一名女顾客通过手机应用登入账户,她输入手机号码为账号以及会员证号码为密码,因密码不对而重新设定。然而,当她登入账户时,看到的却是另一名会员的个人资料,包括他的出生日期、收入范围及住址。
女顾客向个人资料保护委员会投诉BHG,但这个执法单位认为,BHG有采取足够的安全措施保护顾客的个人资料,并没抵触相关法令。
调查结果显示,资料被泄露的男会员和上述女顾客去年12月26日同一时候,在裕廊坊的BHG分店申请为会员。女顾客通过平板电脑提出申请时,系统出现故障,她屡试不成,于是改以填写申请表格。
至于男顾客,他当时使用另一台平板电脑,因该电脑不能操作而转用女顾客的那一台。虽然BHG的系统会自动消除前一名顾客已输入的资料,但电脑当天故障而在手机号码和电邮地址两个栏目里保留了女顾客的资料。
顾客填写疏忽是泄露关键
然而,男顾客输入自己的资料时,没有更改手机号码和电邮地址栏目的资料。结果,成功注册成为会员时,他的账号和重设密码方法都是女客户的手机号码和电邮地址。
因此,当女顾客用她的手机号码登入账号及用她的电邮地址重新设定密码时,她所见到的是男顾客的个人资料。
委员会在星期三发布的判词中提醒说,机构并非在顾客的资料泄露时就自动违反了个人资料保护法令,因为有关责任并非绝对的。委员会指出,男顾客的疏忽是资料泄露的关键。
“每个人对自己的个人资料应承担一定的责任,即使所提供的是已广泛流传的联络资料。”
不知有个资保护法令
不能成为抗辩理由
另一方面,尽管个人资料保护法令已生效超过三年,却仍有机构完全不知道这项法令的存在。
委员会也发表了判词,裁定搬运公司M Stars Movers & Logistics Specialist(简称M Stars),在社交媒体面簿上公开一名顾客的住址,抵触了个人资料保护法令。委员会因此下令它在60天内制定保护顾客个人资料的方针和指导原则,以及在30天内委任一名资料保护负责人员。
相关女顾客去年12月委托M Stars搬运,但对服务不满而在公司面簿页面留下负面评语,并要求退还100元订金。M Stars在面簿上公开回应时,以顾客的姓氏和洋名称呼她,也公开她的住址,并通知她一旦退还搬运纸箱就能取回订金。
女顾客过后以面簿私讯要求M Stars即刻删除她的住址,但对方在个人资料保护委员会介入后才配合。
M Stars在接受调查时,坦承它不知道有个人资料保护法令。它辩解说,于面簿上公开女顾客的姓名和住址是要确定她的身份。委员会拒绝接受它的辩词,因为对法律无知并非合理的抗辩理由。