X

香港和新加坡将在个人资料保护方面达成合作

香港个人资料私隐专员公署和新加坡个人资料保护委员会已签署谅解备忘录,双方将就保护个人资料达成合作。

根据该协定,两个委员会将就可能或正在发生的数据泄露问题交流信息,开展联合研究项目,并分享最佳做法和“经验”。

个人数据保护委员会(Personal Data ProtectionCommission)的 Tan Kiat How在一份声明中说:“我们需要与香港及其他司法管辖区的对口单位紧密合作,以加强个人资料保障,为数字经济作好准备。”

在过去的一年里,这两个司法管辖区都发生了重大的数据泄露事件。

就香港而言,国泰航空发去年十月布公告称,该公司发现大约有940万名乘客的资料曾被不当取览。涉及的个人信息包括乘客姓名、国籍、出生日期、电话号码、电邮及实际地址、护照号码、身份证号码、飞行常客计划会员号码、顾客服务备注及过往的飞行记录资料等。其中,86万个护照号码以及24.5万个香港身份证被不当取览。此外,有403张已逾期的信用卡号码以及27张无安全码的信用卡号码曾被不当取览。每位乘客被不当取览的程度有所不同。

该公司表示,已于去年3月在其网络上发现可疑活动,当即采取了“果断行动”,并在5月份证实了这一漏洞。

“自那时以来,对数据的分析一直在继续,以确定受影响的个人,并确定所涉数据是否可以重建”报告说。

就新加坡而言,其健康服务(SingHealth)已被处以25万新元罚款,而负责新加坡公共医疗保健行业的IT机构综合健康信息系统(IHIS)因未能采取足够的安全措施来保护个人数据而被罚款750,000新元。这一疏忽导致了去年7月的网络安全攻击,该攻击损害了150万SingHealth病人的个人信息,并违反了新加坡个人数据保护法案中规定的数据保护义务。

个人数据保护委员会(Personal Data ProtectionCommission)在1月份的罚款判决中表示:“处理安全事件的单卫生人员不熟悉事件反应过程,过于依赖综合卫生信息系统(IHIS),也未能理解和采取进一步措施,了解IHIS在发布罚款后所提供信息的重要性。”

“即使组织将工作委托给供应商,作为数据控制器的组织最终也必须对他们从客户那里收集到的个人数据负责。

委员会在其报告中指出,SingHealth的CISO(首席信息安全官)未能行使独立判断并遵守IT安全事件报告流程,质疑SingHealth是否采取了合理和适当的措施来防止未经授权的个人访问其数据库中包含的数据。

“更重要的是,它指出了组织内部更大的系统性问题。首先,各方应制定一份合同,规定数据中介机构的义务和责任,以保护组织的个人数据和各方的各自角色,保护个人数据的义务和责任,“PDPC说。

(Me.F)