泄露新电信一客户资料 新加坡科技供应商被罚一万

海外网4月18日电 据新加坡《联合早报》报道，新电信的资讯科技供应商在更新一名客户的资料时，意外地把他的资料取代了278万名客户的部分资料，其中2518人因而看到该名客户的身份证号码。供应商导致新电信客户的资料外泄，被个人资料保护委员会罚款1万新元。

一名男客户2016年2月26日通知新电信说，他无法登入户头。新电信于是把问题转交资讯科技供应商Tech Mahindra（新加坡），后者断定需要更新这名客户在资料库里的资料，并着手进行。

三天之后，新电信收到其他客户通知说，他们的个人资料被修改，取而代之的是上述男客户的户头号码、地址及服务项目。一些客户则说，他们户头里的身份证号码一栏，出现的是上述男客户的身份证号码。

个人资料保护委员会日前发表的裁决显示，278万名新电信客户的户头受影响，当中2518人通过新电信的应用（app），看到该名男客户的身份证号。新电信过后暂停应用以及网站的户头登入服务，并且通知个人资料遭泄露的男客户有关事件。

新电信调查发现，Tech Mahindra的职员疏忽，在更新上述男客户的资料时违反标准作业程序。Tech Mahindra在执行网页指令码（script）时，漏了关键的指令句，结果不只是男客户的档案获得更新，其他客户的资料也受影响。

新电信于事发前一年曾电邮Tech Mahindra，提醒它得在网页指令码中加入有关的重要指令句。

此外，Tech Mahindra也没遵守新电信设下的要求，在公开运行前先测试网页指令码。而且，它没遵守本身的内部保安措施，既没交由一名较资深的职员复查网页指令码，也没让其他职员在网页指令码公开运行后确查更新的资料无误。

委员会：

新电信作出合理保安安排

至于新电信，个人资料保护委员会认为，新电信有采取合理的措施保护客户的资料。新电信和Tech Mahindra之间的合约规定后者遵守新电信的指示、方针等，并确保职员都接受过资料保护法与保安措施方面的培训，才获准读取和控制新电信系统里的个人资料。

此外，新电信确查Tech Mahindra履行保护客户个人资料的职责，以及每年检讨Tech Mahindra的安全程序，并测试应用和客户登入网站平台。“基于此，委员会裁定新电信作出合理的保安安排，符合个人资料保护法令第24节条文的保护责任。”

个人资料保护委员会考虑到男客户遭泄露的是资料敏感的身份证号码、多达278万名客户的资料在过程中被擅自修改等因素，决定对Tech Mahindra施加1万新元罚款。（郑靖豫）

责编：关皓、朱剑宇