未能保護消費者個人資料 消協被罰款2萬元 | 聯合早報

未採取妥善措施保護個人信息，新加坡消費者協會因違反個人資料保護法令，被罰款2萬元。

根據個人資料保護委員會（Personal Data Protection Commission，簡稱PDPC）星期三（8月28日）在官網公佈的判決書，消協因未制定合理且妥善的安排，保護消協所擁有的個人資料而被罰款。消協也沒有制定和實行必要措施，履行個人資料保護法令所明定的義務。

消協所涉及的兩起數據外泄事件，分別發生在2022年10月和2023年6月。兩起事件中，共有多達2萬2542個電子郵件地址，以及1萬2218名消費者的資料外泄。

第一起事件中，有人入侵消協的電郵賬號，發送釣魚郵件，聲稱消費者可以獲得賠償，並誘導他們提供銀行信息。結果三名消費者上當受騙，損失超過21萬元。消協過後向警方報案。

2023年6月22日，當個人資料保護委員會正在調查第一起事件時，又再次發生類似事件，共有28人收到具有針對性的釣魚電郵。不過，這些釣魚電郵並非從消協的電郵賬號發出。

延伸閲讀

[安全措施不足導致資料外泄 兩組織被罰款

](https://www.bdggg.com/2024/zaobao/news_2024_08_08_699602) 個人資料保護委員會在判決書中指出，由於這些數據原本都保存在消協的系統中，因此合理推斷，這些數據都是從消協的系統外泄的。

第二起事件中，共有1萬2218名消費者的個人信息外流。這些信息包括姓名、電郵地址和聯繫電話，以及他們的投訴詳情。不過，沒有人損失財物。

消協密碼管理和電郵保安措施有不足

個人資料保護委員會説，消協的密碼管理明顯不足，例如有個重要賬號使用不符合標準的簡單密碼，且四年從未更換。至於電郵的保安措施也存在不足，導致消協無法及時發現可疑活動或未經授權的使用。

消協坦承，自2017年以後，就沒有再為員工進行過安全意識培訓，也未制定任何信息和通信技術政策，僅依賴電腦部門的員工在必要時進行維護和更新。

個人資料保護委員會已要求消協檢討和更新有關個人資料保護的政策，並修補安全漏洞。