公司在5月23日发现问题后,用了另一个新电脑程序,自动发送确认电邮给这些人。

根据委员会上周四(6月6日)放上官方网站的裁决报告,遭罚款的是Option Gift私人有限公司。《联合早报》去年6月报道,这家公司是国防部和内政部的承包商,负责维持用来兑换战备人员国民服役优异奖和“庆贺礼品”的Uniqrewards线上平台。

国防部和内政部也在隔天发出手机短信向受害者道歉并要求他们删除多余电邮。Option Gift则在去年7月提供所有受害者各一份80元的购物券。

委员会指出,公司在发现问题后已立即采取行动,包括在6月12日就电邮向所有427名受害者道歉,并要求他们删除不应该收到的电邮。业者也在当天通知委员会。

事源这个平台出了问题,导致427名战备人员在去年5月22日至24日提交兑换申请后,没收到系统发出的确认电邮。

第二个收件人会收到自己和公司要给其余425人的电邮,但不会收到第一个收件人的资料。以此类推,只有最后一个收件人没收到其他人的资料,所以资料遭外泄者多达426人。

负责战备人员礼品兑换的承包商因系统出错,导致400多人的电邮地址、住址和手机号码等资料外泄,被个人资料保护委员会罚款4000元。

委员会副专员杨子健在裁决报告中指出,经调查,Option Gift确实违反个人资料保护令,因此指示业者在30天内缴付4000元罚款。

岂知,这个程序也出了问题。系统在发出确认电邮给第一个收件人时,也会发出另外426人的确认电邮给他。电邮内有战备人员登录Uniqrewards平台的认证资料、电邮地址、接收礼品的地址,以及手机号码。

委员会去年6月12日接到该公司的通知,可能有多达426人的个人资料意外曝光。委员会也在同一天和隔天,分别接到两名受害者的投诉。

此外,它也改进了内部系统,包括在修改线上平台功能之前,在测试阶段添加多一道安全检查。委员会指出,Option Gift之前在测试新电脑编码程序时,只用一个内部电邮作为测试中的收件人,结果才没发现这个问题。