隱私專員批Equifax未履行對加人隱私義務
【明報專訊】聯邦隱私專員泰瑞恩(Daniel Therrien)周二表示,Equifax違反了加拿大的隱私法,並且在2017年全球資料泄露期間和之後未能履行對加拿大人的義務。全球超過1.43億人包括19,000名加拿大人,受到該公司系統被入侵的影響。
隱私專員辦公室(OPC)得出結論,該公司的缺陷包括安全保障不力,缺乏責任心以及提供的保護措施有限。OPC還認為Equifax保留資訊的時間太長。
泰瑞恩表示,Equifax Canada及其美國的母公司已同意改善其安全性,問責制和資料銷毀。
資料入侵發生在2017年5月13日,駭客通過該公司平台漏洞侵入其系統。Equifax在兩個月之前就已知漏洞存在,但一直未修復。
入侵操作長達77天都未被發現。Equifax Inc.於2017年7月29日檢測到攻擊並在第二天遏止了攻擊。
但是,Equifax Canada直到2017年9月7日美國母公司公開披露之後才被告知。
受影響的加拿大人在10月23日之後收到通知,但通知包含不準確的資訊,例如邀請他們使用無法從加拿大訪問的門戶網站。
在向隱私委員會投訴Equifax的19人中,有5人表示他們的個人資訊在入侵期間陷入危險。他們也對自己資訊存儲在美國感到驚訝。
Equifax Canada將加拿大人的信用檔案存儲在國內的伺服器上,並與Equifax Inc.的系統隔離。然而,加拿大人在購買Equifax Canada的產品和服務後,Equifax Inc.負責交付,因此19,000名加拿大人的資訊遭到入侵。
OPC表示,在客戶不知情的情況下向美國轉移資訊,與其有義務在向外國第三方廠商披露個人資訊之前需獲同意的義務矛盾。OPC表示已啟動跨境轉移諮詢,將澄清有關義務。書面提交日期為6月4日。
雖然Equifax Canada為入侵受害者提供至少四年的免費信用監控,但其它保護措施與母公司提供的保護措施不符,包括限制信用檔案獲取的信用凍結。泰瑞恩說﹕「Equifax Canada拒絕向受影響的加拿大人提供信用凍結選項。」