每天两块钱,实时获取全球数据合规风险预警
限期优惠中!
👇
来源:新加坡PDPC

整理:何渊,DPOHUB主理人
新加坡个人数据保护委员会(PDPC)对拓领物流等公司违反跨境传输限制义务的行为发出警告,因为拓领物流(亚洲)有限公司、拓领全球货运有限公司、拓领海洋石油服务有限公司和拓领(TZ)有限公司因违反《个人数据保护法》,将雇员的个人数据转移给爱尔兰的人力资源软件供应商。
新加坡个人数据保护委员会
[2022] SGPDPC 4
案件编号:DP-2008-B6707
(1) 拓领物流(亚洲)有限公司
(2) 拓领环球货运(新加坡)有限公司
(3) 拓领海洋石油服务有限公司
(4) 拓领(TZ)有限公司
处罚决定书
副专员Yeong Zee Kin
2022年3月14日
简介
1.拓领控股有限公司(“Toll Holdings”)是一家总部位于澳大利亚的综合物流服务提供商。拓领物流(亚洲)有限公司(“Toll Logistics”),拓领环球货运(新加坡)有限公司(“Toll Forwarding”),拓领海洋石油服务有限公司(“Toll Offshore”)和拓领(TZ)有限公司(“Toll TZ”)是在新加坡注册的实体(统称“组织”),属于以拓领控股为首的跨国公司集团的一部分(“集团”)。
2.2020年6月11日,拓领控股向个人数据保护委员会(“委员会”)通报了勒索软件攻击,该攻击影响了集团的IT系统,包括位于澳大利亚和新加坡的服务器,其中包含公司现员工和前员工的个人数据(“事件”)。
委员会随后收到 拓领物流的3名前雇员关于该事件的投诉。委员会开始进行调查,以确定与该事件有关的情况是否表明这些组织违反了《2012年个人数据保护法》("PDPA")。
本案的事实
3. 2013年7月,拓领控股与爱尔兰的一家供应商("人力资源供应商")签订了合同,作为集团使用人力资源供应商的人力资源软件平台("人力资源平台")。为了方便使用共同的人力资源平台,集团各实体(包括各组织)将其雇员的个人数据上传到人力资源平台。上传到人力资源平台的数据由人力资源供应商在欧洲经济区的数据中心托管。
4. 随后在2019年,一系列企业服务协议("CSA")和加入协议被执行,其效果是拓领控股承诺向所有组织提供财务、人力资源("HR")、信息技术、法律和其他企业服务。虽然企业服务协议是在2019年签署的,但它们追溯到2018年4月1日生效。
5.根据企业服务协议,拓领控股向各组织提供的服务包括:
(a) 开发和维护人力资源政策和程序。
(b) 开发和维护IT战略。
(c) 发展和维护IT政策和程序;及
(d) 提供信息技术支持服务。
6.根据企业服务协议的条款,拓领控股被允许委任分包商来完成部分或全部工作,但负责的程度与它自己执行服务的程度相同。
7.根据企业服务协议的条款,拓领控股提供的IT服务的范围明确排除了 "IT系统的开发或实施",这些责任应该由各组织承担。为此,各组织在新加坡保留了10台服务器,以支持其运作。其中三台服务器("新加坡服务器")由各组织的企业团队(即财务、法律、人力资源)在日常工作中使用
,并在电子邮件档案和其他工作文件中包含个人数据。

8.集团(包括各组织)已经为其IT系统实施了各种行业标准的安全解决方案,如端点保护软件、日志和监控软件和/或服务、防火墙和入侵防御软件、安全检测和响应软件、身份访问管理和控制软件和服务、漏洞扫描软件和服务以及修补软件。集团还聘请了一个安全管理服务提供商("MSSP"),为集团提供网络安全检测和事件响应服务。在MSSP和其他外部供应商的协助下,集团对其IT系统进行了定期的漏洞扫描和渗透测试。
传输个人数据到澳大利亚
9. 在事件发生前的某个时候,拓领控股的首席人力资源官从人力资源平台上提取了与1,748名组织的现雇员和前雇员有关的个人数据,并将它们传输到澳大利亚的一个服务器("澳大利亚服务器")。拓领控股表示,这些个人数据是为了根据企业服务协议为各组织提供服务而传输的。
10.拓领控股下载的个人数据包括每个雇员的以下信息:
(a) 姓名。
(b) 地址
(c) 年龄;及
(d) 工资。
11. 拓领物流的5名员工和拓领货运的2名员工也有其他数据集被披露,包括:
(a) 驾驶执照号码。
(b) 紧急联系信息。
(c) 国家身份证。
(d) 指纹。
(e) 医疗细节;和 
(f) 护照详情。
事件的发生
12. 2020年4月26日,一个恶意行为者利用从第三方供应商处窃取的凭证进入了拓领控股在澳大利亚的IT环境。第三方供应商被授权管理拓领控股的IT环境中的两个服务器,以便为一个软件解决方案提供支持服务。
13. 在进入集团的IT环境后,该恶意行为者使用高级恶意软件和一系列黑客工具在集团的网络中访问,进行侦察,并提升账户权限。恶意行为者还做出各种努力,将澳大利亚服务器的数据进行捆绑和压缩,并将其转移。
14 集团部署的威胁监测软件在事件中检测到与恶意行为者的账户接管和特权升级有关的事件,并向安全管理服务提供商("MSSP")发出警报。然而,据拓领控股称,没有提请其注意任何警报。2020年5月3日,该恶意行为者使用基于网络的文件共享服务,转移了存储在澳大利亚服务器上的不到2%的数据。然后,该恶意行为者运行脚本,禁用了整个集团的各种端点保护,并执行了一个勒索软件攻击。该勒索软件攻击加密了集团一些服务器上的文件,包括澳大利亚服务器和新加坡服务器。
15. 在随后提出赎金要求时,该恶意行为者向拓领控股提供了一份从澳大利亚服务器渗出的文件摘要,并最终将部分渗出的文件上传到暗网上。根据(i)恶意行为者提供的摘要,(ii)集团对澳大利亚服务器的现有日志和记录的审查,以及(iii)对恶意行为者最终在黑暗网络上发布的文件的审查。各组织的结论是,没有证据表明其现任或前任雇员的个人数据从澳大利亚服务器上被泄露。
16.组织还得出结论,除澳大利亚服务器外,没有证据表明新加坡服务器或事件中集团IT环境中的任何其他服务器存在数据泄露。组织能够从安全存储的备份中恢复新加坡服务器中的加密数据。
补救行动
17. 事件发生后,拓领控股在集团范围内采取了以下补救措施:
(a) 暂时切断与互联网的连接,并对IT系统进行滚动关闭,以减少任何感染的传播。
(b) 隔离所有受影响的服务器,并实施网络限制,以防止勒索软件在集团的网络中传播。
(c) 聘请第三方专家协助进行事件响应,包括调查和补救。
(d) 升级了用户访问系统,重新设置了所有管理员密码。
(e) 阻止了事件中使用的恶意软件。
(f) 删除了恶意行为者获得的访问权限。
(g) 在集团的IT系统中实施了额外的漏洞扫描,以加强集团的网络边界。
(h) 加强了集团的活动目录基础设施。
(i) 实施额外的端点保护、取证工具和监测工具 
(j) 引入了一个影子安全操作中心,并开始向一个新的MSSP过渡。
(k) 启动了资产生命周期审查计划,以确定遗留的关键业务应用程序和应对网络风险所需的处理。
(l) 开始记录、监测和警报提升,以审查现有的政策和标准。
(m) 完成了对所有远程访问的多因素认证的推广工作。
(n) 更新组织措施,如事件响应计划、政策和游戏手册;以及
(o) 推出网络意识计划,其中包括对员工的培训和任务。
调查结果和确定依据
18.根据事件的情况,委员会的调查集中在:
(a) 组织是否违反了各自的义务
根据PDPA第26条,不得将任何个人数据传输至新加坡境外的国家或地区,除非符合PDPA规定的要求(“传输限制义务”);和
(b) 组织是否违反了各自的义务
根据《个人数据保护法》第24条,通过作出合理的安全安排,防止未经授权的访问、收集、使用、披露、复制、修改、处置或类似风险,保护其拥有或控制的个人数据(“保护义务”)。
各组织是否违反了跨境传输限制的义务
19.人力资源平台是在2013年7月左右在集团范围内实施的。各组织在此时开始将其员工的个人数据上传到人力资源平台,并储存在欧洲经济区的人力资源供应商的服务器中,而且作为人力资源职能的正常过程(例如,当新员工加入时),会继续这样做。2014年7月2日之后,各组织将个人数据传输到新加坡以外的地方,将受到跨境传输限制义务和2014年《个人数据保护条例》("PDPR 2014")第三部分规定的要求的限制。对于2021年2月1日之后发生在新加坡境外的个人数据传输,这种传输将受到2021年《个人数据保护条例》("PDPR 2021")第三部分的要求。
20. 2014年PDPR第9(1)(b)条和2021年PDPR第10(1)条要求将个人数据转移到新加坡境外的组织采取适当步骤,确保个人数据的接收方受法律上可执行的义务约束,为被转移的个人数据提供至少与PDPA规定的保护标准相当的保护。根据2014年PDPR第10条和2021年PDPR第11(1)条,这种可依法强制执行的义务可以强加给接收方。根据(a)任何法律;(b)双方之间的任何合同;(c)具有约束力的公司规则;或(d)任何其他具有法律约束力的文书,可以向接收组织施加这种可依法执行的义务。
21 简而言之,各组织被要求采取适当的步骤,以确保在进行任何此类转移之前,通过人力资源平台从新加坡转移到欧洲经济区存储的个人数据将受到与《个人数据保护法》等同的保护标准。
22 .没有证据表明这些组织采取了任何此类步骤。虽然拓领控股和人力资源供应商之间的合同包括对人力资源供应商的数据保护义务,但各组织不是该协议的一方。企业服务协议也没有包含任何有关保护个人数据的条款,也没有规定拓领控股有义务保护其他组织的个人数据,以便根据修正案承担集中的企业职能。因此,各组织被确定为违反了与上传至人力资源平台的个人数据有关的传输限制义务。
23.在调查过程中,拓领控股表示,它已经审查了修正案下的数据传输安排,各组织和拓领控股现在已经签署了一份 "新加坡数据输出协议",以管理集团内部从各组织向拓领控股(以及随后可能成为协议一方的集团其他成员)传输的个人数据,以确保为任何传输的个人数据提供与《个人数据保护法》相当的保护标准。
各组织是否违反了保护义务
24.正如Everlast Projects Pte Ltd and others [2020] SGPDPC 20一案中所认定的,公司集团的成员可以通过依靠具有约束力的集团层面的书面政策或集团内部合同来履行保护义务,这些政策或合同规定了集团成员各自的数据保护义务。在本案中,虽然各组织签订了企业服务协议,将各种企业职能集中到拓领控股,但企业服务协议并没有涉及数据保护义务。在这种情况下,保护义务仍然属于各组织,各组织不能依靠企业服务协议说它的某些数据保护业务已经在集团层面上集中到拓领控股。
25 尽管如此,根据企业服务协议,拓领控股已承诺向各组织提供IT支持服务。在WTS Automotive Services Pte Ltd [2018] SGPDPC 26一案中,人们认为组织可以依靠其服务提供商的技术专长来履行保护义务(取决于明确的指示或业务需求)。如果一个公司集团的成员向集团内的其他公司提供技术支持服务,最好明确说明他们各自的角色和责任。
26 在本案中,企业服务协议的目的是履行这一职责。拓领控股负责信息技术支持服务,而各组织仍然负责信息技术系统的开发和实施:见上文[7]。作为所提供的IT支持服务的一部分,拓领引入并实施了集团层面的IT安全标准。这些标准通过集团的内部网络传达,并由拓领控股在全集团范围内实施,作为其提供的IT支持服务的一部分。
他们提供的IT支持服务的一部分。根据这些标准,在事件发生之前,一些行业标准的技术解决方案和工具已经实施,以保护新加坡服务器中的个人数据:见上文[8]。
27.在考虑了这些安全安排后,我们对组织没有违反其保护义务感到满意,因为事件发生之前和发生时为保护新加坡服务器中的个人数据而制定的安全安排是合理的,并且符合现有行业标准。在做出这一决定时,我们还认为,使恶意行为人能够克服组织在事件中的端点保护的安全失效和特权升级在国外发生,原因是拓领控股供应商的凭证被盗,超出了组织的控制范围。
副专员的决定
28 在决定根据《个人数据保护法》第 48I 条应向各组织发出何种指示(如有)时,副专员考虑了以下因素:
(a) 各组织对委员会调查的合作。
(b) 对所转移的个人数据的访问仅限于同一企业集团内的实体。
(c) 没有证据表明各组织违反了转移限制义务而造成任何损失或损害;以及
(d) 集团已经实施了集团内部的合同安排,以管理各组织机构未来向拓领控股传输个人数据的行为。
29. 在考虑了上述所有减轻处罚的因素后,对这些组织违反转让限制义务的行为给予警告。鉴于各组织已经采取了补救措施,没有必要再做出其他指示。
杨子健
副专员
个人数据保护专员
DPOHUB年度会员,扫码加入!
权益1:一年内畅听DPOHUB数据合规研究院全站几乎所有的录播课、直播课(除了超级会员专享的DPOHUB线上线下沙龙以及CDPO认证专用培训课程),权益期内新增的在线课程同样免费听。
权益2:一年的鹅圈子“数据合规俱乐部”,第一时间获取或下载全球最前沿数据法资讯、案例、报告、论文、指南以及全球数据合规头条、中国数据合规周刊。
继续阅读
阅读原文