近來,個人資料外洩已成為我國最棘手的問題之一。媒體上越來越常出現關於哈薩克斯坦數位安全事件頻傳的報導。
當局正與以詐騙手段竊取哈薩克斯坦公民機密資料的駭客和網路罪犯搏鬥之際,政府機構本身卻在與供應商簽訂合約時,自行公佈了其員工的個人資訊。
日前,FBKC匿名機器人收到一份資料,聲稱東哈薩克斯坦州的一所學校簽訂了一份關於員工健康檢查服務的政府採購合約,並在技術規格書中公佈了該校教師與職員的個人資料。FBKC編輯部審閱了該招標案的細節。
事實證明,該合約早在四月便已簽訂。得標者是一名當地企業家,其專長領域為餐飲供應,這點本身就頗為奇怪。但更令人質疑的是上傳到「技術規格書」區塊的文件。
在這類政府採購中,這份文件通常是對供應商的要求,說明需要為多少名員工安排哪些科別醫師的健康檢查。然而,在這起採購案中,身為訂購方的政府機構,竟然直接附上了該機構的全體員工名單,上面詳列了他們的完整個人資料。
如果說教師們在個資散布方面還算稍微幸運一點(名單上僅列出他們的姓名、出生日期、學歷和工作年資),那麼包括實驗室技術員、管理員、警衛、司機等在內的職員,則處於特別高風險的境地。除了專業背景之外,文件中還列出了他們的個人身份識別碼(ИИН)、手機號碼以及完整居住地址。
基於顯而易見的原因,我們無權透露該校名稱及合約其他細節。但FBKC編輯部已就此向東哈薩克斯坦州教育局發出正式函詢,要求對當前情況進行詳細調查並加以處理。
我們也注意到,該文件中並無標準的健康檢查要求。這份文件很可能是誤傳作為技術規格書。儘管如此,我們認為政府機構的此類疏忽是不可接受的,導致個人資料外洩的責任人必須依法受到懲處。
未完待續…