边境服务局承包商数据外泄 隐私专员指涉138万张车牌图像(图)
发布 : 2022-9-30 来源 : 明报新闻网 用微信扫描二维码,分享至好友和朋友圈 | 加关注  明声网温哥华 微信公众号 |
一名加拿大边境服务局官员2020年3月20日在卑诗省素里关口查看入境车辆。(加新社)
报告指,原因是边境服务局管理车牌信息的方式不一致,以及缺乏安全措施,此外,合同内未有列明条款足以确保该局的私营部门合作伙伴妥善保护有关信息。该报告早在5月已完成,但包含在隐私专员杜弗雷斯(Philippe Dufresne)年度报告中,周四才呈交国会。
2019年媒体报道边境服务局及其美国同侪使用的第三方承包商遭到网络攻击,该监管机构随即启动投诉并著手调查。边境服务局当时向隐私专员表示,该次事故涉及从安省康和(Cornwall)边境关卡入境旅客处收集的为数约9,000张车牌照片。
有关调查却发现,在是次事故中外泄的车牌图像档案数量多达138万张,包括复制档案。
该报告指,其中约1.1万张被上载到暗网,即只有通过专门的网络浏览器才能接触的隐藏网站。它还发现图像档案包括元数据,当中包含跟车牌有关的相关省或州当局、拍摄日期和时间、以及代表边境关卡的数字代码和车道编号。
边境服务局向专员表示,局方不认为车牌图像属于个人信息,但有关报告却称,该局的评估没有顾及相关元数据显示时间、地点和日期。专员办公室亦指,根据《隐私法》(Privacy Act),该等档案属于涉事个人的私人信息,尽管诸如医疗纪录和财务数据等一些个人信息,几乎总是被视为具敏感性,但任何个人信息都可能属于敏感资料,这取决具体情况。
隐私专员办公室最终得出结论,其发起的投诉是有根据的,因为边境服务局违反隐私法关于信息披露的规定。它建议边境服务局重新审查该局跟服务供应商的合约,以明确表明车牌图像档案属个人信息,因此需要「对储存、使用、接触和销毁采取适当的保护措施」。
专员说,此案是一个重要教训,即无论数据是由政府机构还是由代表其行事的合约第三方处理,私隐义务均适用。基于边境服务局对调查的回应及接纳有关建议,专员认为投诉已圆满解决。