■公共免费无线网络(WiFi)特别不安全,链接这类无线网络时避免进行财务转账,同时使用VPN(虚拟私人网络)。VPN犹如一条加密通道,防范数据被盗窃

林树人:公众在隐私声明打钩之前,必须清楚了解公司和组织如何利用用户资料,以及自己的法律权益。

(新加坡法律义务办事处提供)

■若不愿接宣传短信或电话,可上网到“谢绝来电”登记处(Do Not Call Registry)登记手机号码

电子邮箱突然亮起,是某家超市来函通知他,赢得年度幸运抽奖的10万元奖金,陈伯兴致勃勃地填写了自己的手机号码和银行账号。

登记新账号时常看到的隐私声明,通常包括类似内容:“我们将使用您的个人资料为您提供服务,以及改进作业程序……”“我们须将交易相关信息交给第三方开发者……”

网络收藏大量的个人资料,这些资料比想象中更宝贵,也容易遭骇客掌握。陈伯显然犯下网络安全防范的多项错误,个人资料很可能被泄露和盗用。

他说:“我们普遍使用免费的网络服务或应用程序,但请记住——‘如果你不必为产品付费,那你就是公司的产品’。”

林树人解释,公司可能须要用户的个人资料以便为他们提供服务,或让产品个性化,也可能出售这些资料给其他机构赚利润。打钩之前,公众必须清楚了解隐私声明的细节,并且知道他们已给了公司的权限。如果不同意公司处理个人资料的方式,也可以调整选项,如不允许组织收对外透露资料,或向公司提出询问。

2022年4月至12月,本地有16个组织因资料外泄,以及安全措施不到位而面对委员会的处置。

网络风险日益加剧,而本地人的网络安全知识有待提升。一项调查显示,只有47%的新加坡人会查看和更改电子设备和应用程序的隐私设置;用密码保护所有电子设备的也仅有67%。

■只通过受认证和官方的来源下载应用程序

为了让公众容易理解声明的内容,林树人在研讨会中解释了声明的主要部分。多数隐私声明都会阐明公司收集、利用,以及向外透露使用用户的哪些资料、如何收集资料、为什么需要收集资料,以及向谁透露这些资料。

网络安全公司卡巴斯基政府事务与公共政策区域总监君怡讲解网络安全必知。

“对于我们消费者来说,这是好消息。”

本期《说法识法》整理了研讨会的内容,探讨如何在网络时代保护个人信息。

恶意软件无孔不入 手机近期备受攻击

■若实在想不出密码,也可使用密码管理软件(password manager),软件可为不同的账号设定各别密码,也可集中电子设备的所有密码

根据个人资料保护委员会(PDPC)网站,触犯者包括网络服务商MyRepublic、本地服装品牌Love, Bonito,以及电器商音响之家(Audio House)。这些业者因为采取的安全措施不足,导致客户资料外泄,被当局下令缴交罚款。

君怡认为,尽管网络威胁日益严峻,国人还没做足防范措施,对于网络安全的态度令人担忧。

(新加坡法律义务办事处提供)

卡巴斯基政府事务与公共政策区域总监君怡在研讨会上公开这些数据,并指出国人仍然没有做足网络防范措施,对于网络安全的态度,也令人担忧。

七招教你保护个人资料

 

陈伯登入网络银行户头查看储蓄,输入10年来未曾更改的密码。过后,他浏览招工网站,在网络表格填入名字、身份证号码、年龄等信息申请工作。

林树人说,每个组织应该安排一名资料保护官,负责管理和保护组织收集的用户资料,以及为可能发生的资料外泄事件做好准备,防患于未然。

■设置密码时千万别使用个人资料,如出生日期,也不要用纯数字组成或含有常见字的密码

非营利组织也必须履行这项责任。尤其身为收集敏感资料的机构,非营利组织必须更加注意手中的资料,如果须要帮忙,可以找新加坡法律义务办事处寻助。

新加坡法律义务办事处和五个社区发展理事会等组织,日前合作举办的法律意识周研讨会,邀请领欣律师事务所董事林树人、

林树人举例说,曾有一名当事人接到貌似某网购平台专人的电话,谎称他的账号遭侵入。当事人信以为真,将账号的掌控权交给对方,结果骗子不到20分钟便侵入银行户头,直接将款项转账出去。这名受害者后来报警,再找律师协助联系银行,最终追查到款项的下落。

■下载政府的防诈骗手机应用ScamShield,以屏蔽诈骗短信和电话

君怡强调,每家公司或组织都应该制定资料保护措施和程序,以及向每个级别的员工清楚沟通这些事项,并经常进行评估,确保员工遵守措施。

林树人说,个人资料保护法令(PDPA)2021年修改后,任何存有用户个人资料的组织,若碰到大规模或关乎敏感信息的资料外泄事件,必须在三天内向当局举报,并依照官方步骤处理。

近期有更多恶意软件特别攻击手机,因为手机内存有大量个人资料,都可以被利用来赚钱。

去年4月至12月 本地16组织因资料外泄被罚

根据君怡的观察,最常见的方式是钓鱼(phishing)骗术。骗子会冒充某人或某家知名机构,以各种借口如确认送货资料、银行账号出问题等,要求用户交出个人资料。他们接着利用资料操控用户的网络账号,也可冒充他们的身份对用户的联系人行骗。

组织的首要任务是先遏制外泄,再断定事件有多严重,若有需要,就须向当局禀报。组织事后得进行评估,了解事件如何发生,以及应该如何避免事件重演。

面对这些密密麻麻的文字,没有多少人会真正阅读或了解其中意义,而只是顾着在表格打钩了事。

防患于未然,两名演讲者在研讨会中提供了保护个人资料的贴士:

不法之徒通过恶意软件,可侵入电脑盗用、损坏和删除资料,其中包括个人的财务资料。这些带有“病毒”的软件无孔不入,点击恶意链接、打开电邮或信息的恶意附件,或下载恶意应用程序,都可能导致电子设备受感染。

了解各公司隐私声明 保障自身权益

根据网络安全公司卡巴斯基2021年收集的数据,使用公司软件的新加坡电脑用户,一年内共面对近700万次网络威胁,包括恶意软件和感染电脑病毒的网站。

除了防范藏在黑暗中行事的骇客,公众也必须了解各公司如何通过隐私声明(privacy notice)来使用客户的资料,也必须清楚知道相关的法律权益。

两名演讲者重申,保护个资非常重要,国人必须更严正看待这课题。君怡说:“人们不理会这个课题的普遍原因,主要是他们以为‘没人会要我的个人资料’‘我的个人资料也不值钱’‘我银行里没有那么多钱’,但事情没有想象那般简单,我们必须时刻保持警惕,不能把网络安全当理所当然。”

■转账时开启双重认证(two-factor authentication,简称2FA)功能,这就像为家中的大门加上第二个锁头,增加多一层保护