消费者协会因为没有采取妥善措施保护消费者的个人资料,导致数据外泄,被个人资料保护委员会判处两万元罚金。
根据个资保委会在官网公布的判决书,消协分别在2022年10月和2023年6月发生两起数据外泄事件。
在第一起事件中,有人入侵消协的电邮账号,发送钓鱼邮件给消费者,声称他们可以获得赔偿,并诱导他们提供银行信息。结果,三名消费者上当受骗,总共损失超过21万元。消协过后报警。据了解,共有2万2500多个电邮地址外泄。
个资保委会在调查这起事件期间,又接到一名消费者投诉收到钓鱼电邮,电邮还附上自己提交给消协的投诉详情。消协过后发现共有28人受影响,但钓鱼电邮并不是从消协的电邮账号发出的。
个资保委会在判决书中表示,这些数据原本就保存在消协的系统中,因此合理推断这些数据都是从消协的系统外泄的。共有1万2千200多名消费者受影响,被外泄的资料包括:姓名、电邮地址、联系电话和投诉详情,但没有人蒙受财务损失。
有鉴于此,个资保委会判定消协违反了《个人资料保护令》。
消协回应时表示,完全接受个资保委会的判决,并承诺保障消费者的资料。消协也已经遵照指示,更新个人资料保护政策和修补安全漏洞。