申请澳洲签证竟导致个人资料外泄!移民局:承包商的锅(组图)
【今日澳洲8月16日讯】澳洲广播公司的一项调查披露,317名澳洲签证申请者的个人信息,被通过Gmail发给了一位未知网民。
(图片来源:澳洲广播电台)
由于输入错误,一张表格被误发到一个未知的个人邮箱地址,从而引发了这次安全事件。事情发生于2015年,在澳洲最大医疗保险公司Bupa和其分包商之一Sonic HealthPlus(SHP)的监管下发生。Bupa与内政部签有合同,负责评估申请澳洲签证和永居权的人的健康状况。
澳洲广播公司获得的文件显示,2015年8月,SHP的一名雇员意外将317人的姓名、出生日期和护照号以及“有关医疗检查结果的备注、总结和评论”发给了一个未知的Gmail地址。这个错误最终导致澳洲谷歌介入。
而在2014年,澳洲也发生过一起类似的隐私泄露事件。当时,移民局意外公开了澳洲移民羁留中心的1万名成人和儿童的姓名、性别和乘船抵达澳洲的日期。
(图片来源:澳洲广播电台)
Bupa以前也发生过数据安全问题。2017年,Bupa的一名英国员工被发现将客户信息放在暗网上销售,据估计约有2万澳洲人的信息被泄露。
堪培拉大学隐私和医疗法专家Bruce Baer Arnold表示,最近的隐私泄露事件“极度令人担忧”。
“关于这次事件,我简直无语。”他表示,“未被充分监管的分包商使用Gmail这样的系统来输送敏感的个人医疗信息,太令人震惊了。”
内政部在给澳广的一份声明中表示,他们已立即关注此事,正在进行全面调查。
“文件包含签证申请者的生物信息,但他们的个人医疗记录实际上没有泄露。”声明中表示。
内政部表示,Bupa及其所有分销商目前只使用符合政府数据安全协议的系统,对此他们感到满意。
承包商可能是安全漏洞
这次隐私泄露事件公开之后,当时的移民和边境保护局发现SHP正在从“授权的部门医疗系统”中转移签证申请者的数据,创建Excel格式的状态报告发送给Bupa。
信息被以这种方式在SHP和Bupa之间提取和分享,违反了该部门的政策,也没有得到该部门的允许。
这促使该部门的首席医疗官给Bupa的常务董事写信,告知他Bupa“没有遵守”合同中规定的隐私义务。
此事已被提交给澳洲信息专员办公室处理。
事情发生后,SHP和Bupa多次尝试召回这封邮件。Bupa甚至在事发五周后联系了澳洲谷歌公司想拿回邮件。谷歌同意在通知收件人后从他们的收件箱中将邮件删除。
此事发生70天后,即2015年10月16日,移民和边境保护部联系了信息可能被泄露的人。
“SHP的一名临时雇员将准备好的一份日常报告发给了SHP的一名临床医生进行检查。”该部门在发给受影响者的邮件中写到,这封邮件后来被贴到了Migration Alliance的网站上。
“这名SHP临床医生不小心打错了一个收件人的Gmail地址,结果报告被发给了另一个邮箱账户……那个邮箱账户的收件人的身份未知。”邮件中写到。
该部门指示Bupa立即审查与Bupa及其分销商处理的个人信息安全相关的所有规定和程序。
“Bupa承认分享文件的程序脱离了授权的部门医疗系统。”发言人表示,“我们知道负责任地管理隐私数据的重要性,事发后立即采取了行动。”
发言人表示,Bupa之后就提高了数据安全措施,并对处理签证医疗评估的雇员实施了强制的隐私培训制度,还推出了审计项目来评估分销商的安全措施。
需要更多的透明度
Baer Arnold表示,这种事件的发生会让澳洲人在个人信息方面很难相信政府。他说私人承包商接触的政府数据越来越多,但承包商或他们的分承包商在数据安全操作上的透明度却很低。
“我认为极有可能还有其他问题,只是我们没有听说。”他表示,“我们越来越依赖于私营代理来为政府工作,其中很多代理明显达不到要求。如果这些信息没有加密,如果他们被监管不力的分包商通过Gmail地址分享,我们就根本来不及阻止,我们需要做点什么。”
他表示,安全标准必须是政府合同中的重中之重,因为合同允许私人服务提供商获得敏感的个人信息。
根据与政府签证的合同,Bupa负责提供移民健康评估和医疗服务直到2021年。
“我们应合理期望政府对其承包商和分包商进行适当的监督。”Baer Arnold表示。
谁被影响了?
某些签证申请和申请永居权的人被要求进行移民医疗评估,由Bupa及其分包商进行,目的是保护澳洲社会免于遭受公共医疗风险,同时也为了评估申请人是否会给澳洲的公共医疗系统带来严重负担。
难民咨询和案件服务处首席律师Sarah Dale表示,澳洲要求签证申请人提供大量信息。
“人们在程序开始时就被要求与政府签订协议,承诺他们将提供全套的信息,并接受健康检查。”她表示,“但条件是移民部必须保证他们的信息安全。”
她说健康信息高度敏感,在某些情况下,这些信息被泄露会导致申请人或他们的家人在自己国家面临危险。虽然这种情况不太可能发生,但移民部仍违反了与签证申请人达成的协议。
“人们被告知要信任系统,要基于信息安全来参与系统。”Dale表示,“但最后:并不安全。”
SHP在一份声明中表示,2015年隐私泄露事件是一起独立的事件,并且他们迅速采取行动“纠正了问题,并通知了所有受影响方。”
澳广获得的文件还显示,2016年另一家政府承包商使用的三台笔记本电脑在瑙鲁共和国医院被盗。当时承包商在向难民、寻求庇护者和瑙鲁公民提供紧急医疗支持,他们没有用密码保护电脑。
发言人表示,移民局知道当时笔记本电脑里没有储存个人信息,分包商也进行了密码和安全审计。
(实习:Lucy)