150万病患资料被盗，新加坡隐私监管机构开出100万罚金

1月15日，新加坡个人资料保护委员会宣布，因数据保护不力致使约150万病人数据被盗，新加坡保健服务集团（SingHealth）和综合保健信息系统公司（IHiS）被罚款100万新币。

其中，IHiS因未采取足够的安全措施保障病患个人资料被罚75万新币，新保集团则是因负责处理安全事故的人员对事故应对程序不熟悉，且过度依赖IHiS等，被罚款25万新币。上述罚款，需在30天内支付。

15日，在北京大学“隐私保护与数据治理2019高峰论坛”上，新加坡个人资料保护委员会的相关负责人告诉南都记者，这是委员会有史以来开出的最高罚金。

新加坡总理李显龙的医疗数据也受波及

去年7月，南都记者曾报道，新保集团数据库遭遇严重网络攻击，致使2015年5月1日至2018年7月4日期间，150万名到该集团旗下医院、诊所就诊的病患个人资料，以及16万人门诊开药记录被盗，其中包括新加坡总理李显龙等多名政要。

新加坡个人资料保护委员会官网发布的信息。

15日，新加坡个人资料保护委员发布的通报提及，这是新加坡历史上最严重的个人数据泄露事件，期间接到了大量的公众投诉。此次网络攻击始于2017年8月一次对个人工作站的侵入，此后攻击者利用病毒软件获得了其他工作站的远程控制权限，并于2018年6月27至7月4日设法盗取了150万患者信息包括诊断报告、药物记录等。这些都是高度敏感的个人数据，一旦被外人所知，将对当事人产生不小的影响。

鉴于此，该委员会认为负责公共医疗机构资讯通信系统的IHiS有必要提供更高的保护标准。然而，在此次网络攻击事件中，IHiS的前技术人员曾在2014年发现一个关键系统漏洞，但上报后未能引起关注，漏洞被认为不重要而没有得到修复。事后IHiS承认，部分员工未遵守内部安全管理制度，在数据泄露时所采取的安全管理措施不足。

相关文件截图。

作为技术供应商，IHiS在此次数据泄露事件中有逃不掉的责任，罚款75万新币。而作为数据控制者，新保集团也必须承担患者数据系统所有者的责任，并对收集的客户数据负责，为此新保集团也被处罚25万新币。

据南都记者了解，新加坡于2013年1月2月成立个人资料保护委员会（PDPC：Personal Data Protection Commission），负责执行和监督2012年颁布的“个人资料保护法令”。

新加坡近期推出数据保护信任标志认证

“针对IHiS和SingHealth的处罚公告已于15日上午公布，两家涉事单位分别收到委员会有史以来开出的最高和第二高罚金。”1月15日，在北京大学举办的“隐私保护与数据治理2019高峰论坛”上，新加坡数据保护咨询委员会执行主席、新加坡资讯通信媒体发展局副局长、新加坡通信和新闻部国际战略部门高级顾问LEONG Keng Thai对南都记者表示。

LEONG Keng Thai认为，在收集掌握大量个人信息后，数据控制者需要承担法律责任，涉及到个人数据转移时，必须保证数据接收方有同等的保护水平。

在当天的论坛上，LEONG Keng Thai还介绍了新加坡数据保护实践。物联网时代，传统基于用户同意的数据收集模式已经发生了变化。比如传感器，用户一进入到其感知范围，个人数据可能就直接被收集上传了，但用户很难声明是否允许企业这样做。为此，新加坡转变了数据治理思路，从所谓的合规制转向问责制，以更好地创造一个值得信任的生态体系。

LEONG Keng Thai对南都记者透露，上周新加坡启动了数据保护Trustmark认证，目前已有几家企业获得认可，另有一些公司还在审核阶段。

据悉，该计划由新加坡资讯通信媒体发展管理局和个人数据保护委员会(PDPC)联合推出，旨在帮助企业提升数据保护政策和实际操作方面的竞争力，赢得消费者信任。

在他看来，只有在获取公众信任后，消费者才会更愿意参与到数字经济和生活中，使用新兴应用，而由此产生的大量业务将反过来带动企业技术创新，以及监管体制的成熟。在这种正向的激励循环机制下，才能进一步刺激数字经济的发展。

采写：南都记者李玲 蒋琳

声明：本文来自南方都市报，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。