因系统程序出错导致逾400名国家战备人员的个人数据外泄,承包商Option Gift私人有限公司被罚款4000元。
负责处理让战备人员网上兑换积分和礼品系统Uniqrewards的Option Gift私人有限公司,是国防部和内政部的承包商。有关的积分是透过战备人员日常在校培训或课程表现良好,或配合一些庆祝/奖励活动所累积的。
国防部和内政部于去年6月宣布,参与两个奖励计划兑换活动的427名备战人员个人资料,因为该承包商出现错误程序,导致在发送确认电子邮件时出错,战备人员相互收到其他战备人员的个人资料。
没进行足够测试
个人资料保护委员会(Personal Data Protection Commission,简称PDPC)于周四(6月6日)发布报告指出,Option Gift在部署程序之前,没有进行“足够测试”。“作为网站的管理员,该承包商全面拥有和控制在重要时段所收集到、使用、暴露和处理的个人资料。”
报告指出,因此该承包商对相关网站的安全性、任何变动,包括个人资料处理都需要全面负责。
报告显示,Option Gift员工在到期前,未能重置账户密码,导致战备人员无法受到在5月22日到24日之间提交兑换礼品请求的确认电子邮件。
为了解决这个问题,承包商就编写了重新生成程序,并发送确认电子邮件。
但是有关程序出现错误,导致首个收到确认邮件的战备人员收到了其他426个战备人员的详细资料,包括登录详情记录、收货地址、邮箱地址和电话号码。而第二个收到确认邮件的战备人员,则收到425个人的详细资料,依次模式持续到最后一个人。
报告指出,这项错误导致426战备人员资料外泄。
采取防范措施以减轻罚款
事发后,Option Gift立即透过电子邮件向受影响的战备人员致歉,并且要求他们删除与其无关的电子邮件。
该承包商也向PDPC通报,并向受影响的战备人员提供一张价值80元的礼券,作为道歉补偿。
此外,Option Gift也采取了防范类似事件重演的措施,包括未来对网站进行任何更改和增强审核时,进行二度调查。
后端系统也进行了改进,以便以便允许直接重新发送确认电子邮件,以及记录重发类似电子邮件的新标准操作程序。
源代码现在必须由负责人和另一名人士,以及用于检测错误和漏洞的应用程序进行审查。
由于未能保护所收集到的个人资料,该承包商有可能被罚款高达100万元。
但是,PDPC报告指出,考虑到Option Gift已自首违规情况,以及在调查过程中给予的全面合作,并且在当局还未给予任何指示的情况下,采取减少违规行为的措施,和解决系统漏洞影响的纠正措施,所以才把罚款减低。