2019年1月22日,新加坡个人资料保护委员会发布了 决定依据 针对新加坡的消费电子和家具零售商COURTS(Singapore)Pte Ltd(Courts)。

该案的事实如下:

  • 某人提起投诉,当他在法院网站的访客登录页面上输入其姓名和电子邮件地址并在其网站上进行购买时,发现其联系电话和地址在自动打开的网页中被披露。
  • 该委员会的调查显示,当客户以访客用户身份签出并输入他们的姓名和电子邮件地址时,他们的联系电话和住所地址也将显示在网站的访客结帐页面上。
  • 截至2017年7月9日,法院确认其数据库中总共存储了14104个个人数据集。

该委员会的调查结果如下:

  • 毫无疑问,法院拥有和/或控制了其数据库中存储的个人数据集。因此,根据《个人数据保护法》(PDPA)第24条的规定,必须保护此类个人数据。
  • 虽然法院曾聘请一家IT供应商来开发和维护其网站上的访客登录页面和访客结帐页面,但该供应商没有登录法院数据库的登录凭据,并且这种关系的性质更类似于软件开发,而不是供应商对数据库中的个人数据进行操作或执行处理活动。因此,委员会发现IT供应商不是法院的数据中介。
  • 法院没有履行PDPA第24条所要求的保护个人数据的义务。使用电子邮件地址作为唯一的登录凭据,未达到保护未经授权的访问所需的保护标准。网站的访客结账系统在“充分考虑数据保护”方面存在“明显的失败”,因为法院没有审查其系统设计或流程。此外,自网站启动以来,没有进行渗透测试或维护,并且在事件发生前的12个月未进行安全扫描。
  • 该委员会进一步指出,法院的员工培训措施在处理其网站上的系统设计和流程不足方面是无效的,并且不能构成保护个人数据免遭未经授权的披露所必需的安全措施。
  • 由于法院违反了《个人资料保护法》规定的保护义务,因此将被罚款15,000新元。

 

励德史密斯律师事务所(Reed Smith LLP)被许可在新加坡从事外国法律业务,名称和样式为励德史密斯私人有限公司(以下简称“励德史密斯私人有限公司”),“Reed Smith”). Where advice 上 Singapore law is required, we will refer the matter to and work with 技术与法度’必要时,新加坡正式法律联盟的合伙人Resource 法 LLC。