(图片来自网络)
译者 |Eleanor  浙大 LL.B. 
一审 | 刘汉青  北京师范大学法硕
二审 | Kristing  北京交通大学本科
编辑 | wrj 中国政法大学硕士
责编 | 陈逸漩 中国人民大学本科
#1
简介
2020年2月2日,个人数据保护委员会(下文简称“委员会”)收到关于一条发表于2020年1月31日的推特帖子的反馈,该帖子显示www.pincstyle.com网站用户的个人数据已被泄漏。该推文包括一张包含数据的快照(下文简称“事件”)。此后,委员会开始对该事件进行调查。
#2
案件事实
网站www.pincstyle.com由PINC Interactive Pte. Ltd(下文简称“该组织”)创建和管理。调查显示,2019年10月,一个包含252,813条记录的数据库曾被访问,其中的数据也从该组织的中转服务器(下文简称“中转数据库”)中泄漏。该中转数据库是一个包含了3,916名实际用户个人数据的合成数据库,库中剩余的248,897条记录是基于真实数据仿制的假数据。该合成数据库被用于促进在中转服务器上进行的开发和测试。事件中暴露的3,916名实际用户的个人数据包括姓名、用户名、电子邮件地址、(某些用户的)联系电话和密码散列。为了完整起见,中转数据库中的3,916条用户记录相当于该组织总数据库中252,813条用户记录的1.6%。
调查揭示了两种引发该事件的可能。第一种可能是,开发人员是该组织的雇员,他们在自己的个人设备上保留了中转数据库的副本,当开发人员的电脑被入侵时,该数据库就泄漏了。该组织表示,虽然他们已指示开发人员使用强密码,但个人电脑安全设置由开发人员自主完成,且他们的个人电脑上只安装了杀毒软件。
第二种可能是,未经授权的访问在2019年5月至2019年10月期间就已发生,但当时该组织还未要求对测试中的应用程序接口进行认证。这一过程指向包含真实用户个人数据的中转数据库,而中转数据库本身也可通过互联网访问。该组织从2019年10月起才实施访问密钥认证。
补救措施
事件发生后,该组织采取了以下补救措施:
a. 用新的认证密钥更新了应用程序接口;
b. 限制认证密钥的访问,只允许高级开发人员访问;
c. 通过电子邮件为受影响的用户启动了密码重置;以及
d. 指示开发人员删除本地的中转数据库副本,并要求其扫描个人计算机以防恶意软件。
#3
调查结果和处罚决定依据
1. 该组织是否违反了保护义务
《2012年个人数据保护法》(下文简称“《个人数据保护法》”)第24条要求各组织实施合理的安全措施来保护其拥有或控制的个人数据,用以防范未经授权的访问、收集、使用、披露、复制、修改、处置数据的行为或类似风险(“保护义务”)。从以下方面可见,该组织未能实施合理的安全措施来保护中转数据库中的个人数据。
首先,该组织没有对个人数据提供足够的保护,其允许雇员(即开发人员)在个人设备中存储中转数据库的本地副本,而未采用任何额外的安全措施。允许雇员在个人设备中存储中转数据库构违反了保护义务,因为中转数据库不仅包含纯粹的合成数据,而且还包含真实用户的个人数据。
其次,该组织仅是指示其雇员不要在其个人设备上使用弱密码,而让每个雇员自主决定是否在个人设备上采取安全措施以保护个人数据,以及采取何种强度的安全措施。事实上,虽然开发人员们声称已在个人设备上安装了防病毒软件,但该组织并不能提供产品名称、版本或软件更新频率等信息。
在Learnaholic Pte. Ltd.一案中,该组织被认定违反了《个人数据保护法》第24条,因为案涉个人数据以未加密的形式被发送至该组织雇员的工作电子邮箱,并被储存。完成工作后,该雇员并未删除包含个人数据的电子邮件,而是保留了该邮件,以备将来的不时之需。因此,黑客一旦得以访问该电子邮箱账户,即可自由查阅、利用案涉个人数据。与本案情形相同,该组织允许其雇员在个人设备上保留中转数据库的副本,而未落实本应实施的安全措施来保护个人数据。
最后,虽然我们理解该组织希望测试中的应用程序端口能够复刻生产环境,但将合成数据与未经处理的真实用户个人数据相混合,并非合理的“保护”措施,因为这意味着中转数据库包含了真实用户的数据。该组织在中转数据库中使用了真实用户的个人数据,且未设置访问认证,故其违反了保护义务。若该组织无意对测试中的应用程序端口进行认证,则其应在中转数据库中只使用合成数据。在《如何防范常见的数据泄露类型》(下文简称“《手册》”)中,委员会指出了信息和通信技术系统管理和流程中最常见的5个漏洞,并在《手册》第11页指出:
“出于方便,许多组织在其测试环境中使用生产数据进行系统测试。但是,由于测试环境的安全性往往低得多,因此测试环境中存在着较高的数据泄漏的风险。”
委员会在《手册》中解释道,合成数据可以利用商业工具生成,也可通过匿名化处理生产数据得到。委员会建议,若各组织在非生产环境中进行开发、测试等活动,最好为此创建合成数据(即伪造的个人数据或经由匿名化处理真实数据得到的数据),而不是使用真实数据。
该种情况下,该组织若不想对测试中的应用程序接口设置访问认证,则可只使用合成数据,或使用经过匿名化处理的真实个人数据。由此,我们也认为该组织违反了保护义务,因为其在中转数据库中使用了真实用户的个人数据,却未对此设置访问认证。
2.该组织是否违反了问责义务
《个人数据保护法》第12(a)条要求各组织制定必要的规则并付诸实践,以履行其在《个人数据保护法》下的义务(“问责义务”)。
该组织承认,他们没有针对能接触“公共用户数据”的“非技术性”雇员制定或实践任何数据保护规则。在其答复中,该组织区分了“技术性”和“非技术性”雇员,并指出对于“技术性”雇员,现有的数据保护规则由团队领导负责落实,该类规则包括在入职时向“技术性”雇员介绍系统,制定适用于分支创建的规则,确立代码标准。但是,该组织在“技术性”雇员入职时为其提供信息只是为了促进其履行核心职责,不能认定为制定或实施了数据保护规则。
事实上,该组织的答复反映了其对数据保护政策和程序所要实现和实施的内容缺乏了解。我们曾在Re Aviva Ltd.一案中强调,数据保护政策及其实践对于提高机构对《个人数据保护法》项下义务的认识、确保其履行相应职责至关重要。我们还在Re Singapore Cricket Association一案中解释说,数据保护政策及实践能够帮助雇员识别出涉及数据保护的问题,从而确保雇员更好地保护数据。
由该组织的答复可知,其事实上没有任何数据保护政策或程序指导其雇员在履行工作职责的同时遵守《个人数据保护法》。因此,该组织违反了问责义务。
#4
委员会的指示
在决定是否根据《个人数据保护法》第48J(1)条对该组织处以罚款以及罚款数额时,我们考虑了《个人数据保护法》第48(6)条所列的因素,以及以下加重和减轻处罚的因素:
加重处罚的因素
(a)   该组织允许其雇员在个人设备上保留中转数据库的本地副本,而未采取任何必要的安全措施来保护真实用户的个人数据。
减轻处罚的因素
(b)  该组织在调查过程中非常配合,并迅速回应了委员会提供信息的要求;以及
(c)   该事件发生后,该组织采取了补救措施。
在处罚决定形成过程中,该组织就罚款数额发表了陈述意见。该组织提出以下因素供委员会参考:
(a)   该组织已聘请了一家外部咨询公司,以确保其充分履行《个人数据保护法》项下的义务,并将定期进行审计、培训和风险评估;以及
(b)  该组织于2018年成立,仍为一家相对年轻的公司。自成立以来,它在运营中一直遭受重大损失。
在考虑了该组织的陈述意见以及本案的所有相关因素后,委员会决定对该组织处以12,500美元的减额罚款。罚款数额的调整和减少是考虑到该组织财务状况不佳,而委员会施加的罚款不应具有压迫性或为组织造成过度的困难。
考虑到所有相关事实和情况,委员会作出以下决定:
(a) 该组织应在本决定所附的相关通知发出之日起30天内支付12,500美元的罚款,否则应在全额支付罚款的基础上按《法院规则》中关于判决债务的规定利率计算超期利息;
(b) 指示该组织:
(i) 在本决定所附的相关指示发布后的60天内,制定内部数据保护政策并将之落实,以遵守《个人数据保护法》;
(ii) 在本决定所附的相关指示发布后的60天内,确保任何雇员(包括开发人员和高级开发人员)的个人电脑上都不再储存有数据库的本地副本;以及
(iii) 在完成本指示要求的行为后1周内通知委员会。
虽然委员会在本案中对该组织处以较低数额的罚款,但该种处罚结果是出于对该组织财务状况不佳的考虑,故该种判断标准应限于本案的具体事实。
#5
笔者评析
本案中,PINC Interactive Pte. Ltd涉嫌因开发人员私自存储中转数据库副本,且未完善个人电脑安全设置造成数据泄露,或因中转数据库直接使用真实用户个人数据且未设置访问认证造成数据泄露,而被个人数据保护委员会处以罚款。
由处罚决定书可见,监管机构认定某行为是否违反《个人数据保护法》规定的保护义务、问责义务时,重视实质甚于形式。监管机构并不认为组织必须采取某些特定的数据安全保护措施;相反,监管机构建议组织采用的措施大多也都具有可替代性。总的来说,只要数据控制者采取的措施足以保障用户数据安全即可。
另外,委员会因该组织财务情况不佳而降低罚款数额的决定具有一定的启示意义。该种做法使得处罚更易落实,也更能对数据控制者起到适当的惩戒、警示作用,不致过度影响数据主体的利益。此外,委员会在最终的决定书中明确提出“在完成本指示要求的行为后1周内通知委员会”,可见其密切关注惩罚措施的落实情况,努力推动实现数据保护的效果。
案号:[2022] SGPDPC 1
Case No. DP-2002-B5827
判决原文:https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Commissions-Decisions/Decision---PINC-Interactive-Pte-Ltd---04022022.ashx?la=en
继续阅读
阅读原文