楊琳彥

2018年7月，新加坡曝出的新保集團(tuán)數(shù)據(jù)泄漏事件，堪稱該國歷史上最為嚴(yán)重的一例個人數(shù)據(jù)泄露案。受到這一事件的影響，新加坡修訂了《個人資料保護(hù)條例》，并于2019年9月1日起正式生效。新加坡《個人資料保護(hù)條例》不僅規(guī)定了商家等從業(yè)者不得任意扣押顧客身份證件或者收集、使用并公開個人身份信息，還引入了專門問責(zé)機(jī)制，凡是觸犯該規(guī)定，沒有做好個人數(shù)據(jù)保護(hù)的機(jī)構(gòu)，將視情況處以最高100萬新加坡元（約合人民幣515萬元）及以下的罰款。

新加坡新《個人資料保護(hù)條例》問世的緣由

一直以來，新加坡都被譽為是世界上最安全的國家之一。這一安全的界定，不僅涵蓋了個人的人身安全，更涉及互聯(lián)網(wǎng)時代下的“個人數(shù)據(jù)安全”。為了防止個人數(shù)據(jù)的泄露，新加坡當(dāng)局在2013年時就已出臺了《個人資料保護(hù)條例》，用以保障個人數(shù)據(jù)的隱私性。

然而，即使有法案的規(guī)制，不法分子仍挖空心思來窺探公民的個人數(shù)據(jù)。2018年7月，新加坡保健集團(tuán)（SingHealth）的健康數(shù)據(jù)遭到黑客攻擊，共有約150萬名患者的個人數(shù)據(jù)被竊取，16萬名患者的病歷、配藥記錄遭侵入。據(jù)世界銀行統(tǒng)計數(shù)據(jù)顯示，2018年新加坡總?cè)丝跒?64萬人。這就意味著新加坡平均每四個人中，就有一人的醫(yī)療數(shù)據(jù)被泄露。

新加坡衛(wèi)生部部長顏金勇（Gan Kim Yong）和通訊與新聞部部長易華仁（S. Iswaran）稱，這一事件堪稱該國歷史上最為嚴(yán)重的一例個人數(shù)據(jù)泄露案。該案受害人中，甚至還有新加坡總理李顯龍（Lee Hsien Loong）和多名該國政府高官。李顯龍本人的就診信息、配藥記錄等也在該事件中遭遇外泄。

新加坡保健集團(tuán)擁有4所醫(yī)院，5所國家專業(yè)中心及8所綜合性診所，是新加坡最大的醫(yī)療集團(tuán)。黑客通過攻擊，非法復(fù)制并獲取了該集團(tuán)旗下多家專科性門診和綜合性診所患者的姓名、性別、國籍、民族、住址、出生年月等非醫(yī)療數(shù)據(jù)。

據(jù)新加坡個人數(shù)據(jù)保護(hù)委員會（Personal Data Protection Commission，PDPC）表示，這一網(wǎng)絡(luò)黑客攻擊最初源于2017年下半年的一次對于工作站的入侵。在此之后，黑客通過病毒軟件的植入，取得了遠(yuǎn)程控制的權(quán)限，并有針對性地攻擊、竊取了新加坡保健集團(tuán)數(shù)據(jù)庫的個人具體資料。這些極為敏感的個人數(shù)據(jù)一旦被外界所獲取，將會對當(dāng)事人本人帶來諸多影響。

數(shù)據(jù)泄露案的消息一經(jīng)曝出，新加坡社會一片嘩然 。很多民眾都擔(dān)心個人數(shù)據(jù)會被不法分子所利用，從而令自己的人身安全和財產(chǎn)安全受到威脅。在此期間，新加坡個人數(shù)據(jù)保護(hù)委員會（PDPC）也收到了民眾的大量投訴。新加坡衛(wèi)生部部長顏金勇向遭到網(wǎng)絡(luò)攻擊的受害人作出了致歉。他表示：“作為公共醫(yī)療保健單位，其職責(zé)不僅是為患者提供良好的醫(yī)療服務(wù)，同時也應(yīng)保證患者資料的私密性。我向受到影響的所有患者表示歉意?！?/p>

事件發(fā)生后，新加坡總理李顯龍要求網(wǎng)絡(luò)安全部門和衛(wèi)生部門一同合作，以加強(qiáng)新加波的醫(yī)藥衛(wèi)生系統(tǒng)防御。李顯龍同時還表示，該網(wǎng)絡(luò)攻擊針對的目標(biāo)就是他本人。這些黑客經(jīng)過多次嘗試，竊取了李顯龍的門診病歷和配藥記錄，希望能從中發(fā)現(xiàn)某些國家機(jī)密或者能令李顯龍憂慮的數(shù)據(jù)信息。

新加坡網(wǎng)絡(luò)安全局局長許智賢（David Koh）證實，黑客的網(wǎng)絡(luò)攻擊是一起經(jīng)過嚴(yán)密策劃，有預(yù)謀的數(shù)據(jù)竊取行為，且并非業(yè)余黑客所實施。不過，并未有證據(jù)證明有任何患者的診療記錄被篡改，黑客也沒有對診斷和檢驗等記錄數(shù)據(jù)進(jìn)行攻擊和破壞。此外，除新加坡保健集團(tuán)數(shù)據(jù)庫外的其他公共醫(yī)療系統(tǒng)數(shù)據(jù)庫，并未受到該黑客攻擊的影響。

經(jīng)過對于該事件的調(diào)查，2019年1月，新加坡個人數(shù)據(jù)保護(hù)委員會（PDPC）作出決定，認(rèn)定技術(shù)供應(yīng)商公共綜合保健信息系統(tǒng)公司（Integrated Health Information Systems，IHiS）和新加坡保健集團(tuán)對個人數(shù)據(jù)泄露事件負(fù)有主要責(zé)任。兩家公司總共被處以100萬新加坡元（約合人民幣515萬元）的罰款，并勒令其在30天時間內(nèi)繳納。其中，技術(shù)供應(yīng)商IHiS因未能采取必要的安全措施來保護(hù)個人數(shù)據(jù)，故而被罰款75萬新加坡元（約合人民幣386萬元）;新加坡保健集團(tuán)則因為過度依賴技術(shù)供應(yīng)商，且處理事故人員對安全事故應(yīng)對規(guī)程不熟悉，故而被罰款25萬新加坡元（約合人民幣129萬元）。

保障力度進(jìn)一步提升的新《個人資料保護(hù)條例》

新加坡于2013年出臺的《個人資料保護(hù)條例》，主要針對個人資料不被濫用的保護(hù)以及對推銷信息和電話進(jìn)行杜絕。但2018年的個人數(shù)據(jù)泄露事件，無形中推動著《個人資料保護(hù)條例》的修訂，并將問責(zé)機(jī)制引入新的《個人資料保護(hù)條例》中。

根據(jù)新修訂的新加坡《個人資料保護(hù)條例》規(guī)定，個人資料指的是包括姓名、指紋、身份證件、護(hù)照、外籍身份證件、出生證明、工作證件、移動電話號碼等在內(nèi)的能夠用以識別特定人員的任何信息。2019年9月1日，新加坡新《個人資料保護(hù)條例》正式生效后，商家等從業(yè)者不得再任意扣押顧客身份證件或者收集、使用并公開個人身份信息。唯有在法律明確規(guī)定或者有必要對身份進(jìn)行證明核實時，方可索取公眾的身份證件號碼。具體來說，新規(guī)允許的情形包括民眾訂購移動電話服務(wù)、購買煙草、房地產(chǎn)買賣、前往按摩機(jī)構(gòu)按摩、酒店賓館入住、前往學(xué)前教育機(jī)構(gòu)等。此外，商家等從業(yè)者須得到消費者的允許，才能夠收集并使用消費者的個人數(shù)據(jù)信息。同時，商家等從業(yè)者還需要向消費者解釋其收集并公開這些數(shù)據(jù)信息的緣由。

由于身份證件等文本上的個人姓名、照片、性別、年齡、住址等信息極為齊全，如果放任商家等從業(yè)者對個人數(shù)據(jù)信息的隨意收集和使用，不僅降低了犯罪人的違法門檻，更加劇了個人數(shù)據(jù)資料被竊取、濫用的風(fēng)險隱患。因此，新加坡新修訂的《個人資料保護(hù)條例》專門引入了問責(zé)機(jī)制，凡是擅自復(fù)制他人身份證件，或收集、使用和公開他人身份信息的，均構(gòu)成違法行為。對于觸犯新《個人資料保護(hù)條例》，沒有做好個人數(shù)據(jù)保護(hù)的機(jī)構(gòu)，將視情況處以最高100萬新加坡元（約合人民幣515萬元）及以下的罰款。

新加坡個人數(shù)據(jù)保護(hù)委員會（PDPC）副專員楊子?。╖ee Kin Yeong）指出，“越來越多的消費者將消費活動轉(zhuǎn)至網(wǎng)絡(luò)電商平臺，使得個人電子信息在迅速增長的同時，也復(fù)制到了各個地方，進(jìn)一步提升了個人數(shù)據(jù)被竊取的風(fēng)險”。相較于黑客攻擊侵入信息數(shù)據(jù)庫所需要的較強(qiáng)的技術(shù)手段和較高的專業(yè)門檻，諸如注冊會員賬號、領(lǐng)取網(wǎng)絡(luò)優(yōu)惠票券、參與抽獎活動、網(wǎng)上預(yù)約訂餐、網(wǎng)上購物，以及諸多大廈、公寓要求訪客登記等所要求提供的個人身份信息，往往更容易導(dǎo)致個人數(shù)據(jù)泄露。因此，民眾也不應(yīng)向商家等從業(yè)者提供身份證號碼、外國身份證號碼、護(hù)照號等完整信息。

考慮到商家等從業(yè)者的實際情況，新加坡當(dāng)局也推出了全新的身份識別技術(shù)指導(dǎo)原則。新加坡個人數(shù)據(jù)保護(hù)委員會（PDPC）鼓勵商家等從業(yè)者從其商業(yè)運營模式出發(fā)，選擇一定方式來對消費者身份進(jìn)行識別，以防止過度收集、獲取消費者的其他個人信息數(shù)據(jù)。商家等從業(yè)者可以改用身份證號碼、手機(jī)號碼、電子郵箱地址的最后三位號碼和字母，來對消費者的身份予以確認(rèn)。同時，為了實現(xiàn)數(shù)據(jù)保護(hù)和業(yè)務(wù)完善之間的兼容，新加坡個人數(shù)據(jù)保護(hù)委員會（PDPC）還專門推出了數(shù)據(jù)信息保護(hù)專員項目，用于培訓(xùn)相關(guān)人士能夠同時擁有數(shù)據(jù)保護(hù)和數(shù)據(jù)創(chuàng)新的能力，從而更好地幫助商家等從業(yè)者妥善收集和應(yīng)用數(shù)據(jù)信息。

編輯：黃靈 ?yeshzhwu@foxmail.com