西元(下同)2018年8月,新加坡個人資料保護委員會(Personal Data Protection Commission,PDPC)公布了一個行政裁罰案件,判斷Dimsum Property公司違反新加坡2012年個人資料保護法(Personal Data Protection Act,PDPA)第24條之規定。該規定要求組織採取合理的安全措施來保護其擁有或控制的個人資料,以防止未經授權的訪問、蒐集、使用、揭露、複製、修改、處置或類似風險。Dimsum Property公司係網站平台www. snappyhouse.com.sg的經營者,該平台讓房屋所有權人得以直接出售或是出租房子給他人。Dimsum Property公司透過該平台蒐集和儲存許多用戶的資料,包括註冊用戶上傳該網站以作為他們個人資料頭像的照片(除了個人照片之外,還包括一張用戶護照的照片);以及註冊用戶上傳以進行驗證的身份證件照片。這些照片儲存在平台網頁上,並且可以在網路上公開造訪,亦即公眾可以查閱網頁上的護照照片和身份證明文件照片,所揭露的個資包括個人姓名、照片、地址、護照號碼、身份證號碼、指紋、出生日期、出生地、性別、國籍、護照簽發日期/到期日等。經投訴後,新加坡個人資料保護委員會(PDPC)啟動調查,並做成決定,確認Dimsum Property公司並未實施合理的安全措施,例如訪問控制(access controls)來限制網頁上的個人資料受到未經授權之訪問,因此違反PDPA第24條。
(本著作為經濟部科技專案研發成果) |
本站僅提供期刊文獻檢索。
