這菲律賓國家隱私委員會(NPC)裁定選舉委員會(COMELEC)根據去年3月的選民數據庫的數據洩露應承擔的責任。EGOV創新。
作為NPC決定的一部分,Comelec主席J. Andres D. Bautista將面臨疏忽指控。
在2016年12月28日簽署的一項裁決中,NPC強調了包蒂斯塔(Bautista)對數據保護不僅僅是實施安全措施的觀點的“缺乏讚賞”。
NPC在其決定中寫道:“數據隱私不僅僅是技術安全的部署;它還包括實施物理和組織措施,以及定期審查,評估和更新Comelec的隱私政策以及安全策略和實踐。”
該黑客於去年3月發生的黑客洩露了Comelec的整個數據庫,並揭露了5500萬菲律賓選民的數據,使其容易受到欺詐和其他風險的影響。
但是,該機構一直輕描淡寫了黑客攻擊,但安全公司強調了事件的嚴重性。
調查潮流趨勢微觀發現數據轉儲包括130萬海外菲律賓選民的記錄,包括他們的護照號碼和到期日期。
Trend Micro表示,自2010年大選以來,數據庫還擁有1580萬指紋記錄和選舉候選人的清單。
NPC稱這起事件為世界上政府擁有的個人數據庫中最嚴重的違反行為,並揭示了Comelec違反了第10173條第11、20和21條,以該機構為“個人信息控制者”。
NPC表示,漏洞中的個人數據存儲在網站上保存的幾個數據庫中,包括Protinct Finder Web應用程序中的選民數據庫,其中包含7530萬個記錄; Post Finder Web應用程序中的選民數據庫,其中包含130萬條記錄; IREHISTRO註冊數據庫,有139,301個記錄;槍支禁令數據庫,其中包含896,992個個人數據記錄和20,485個槍支序列號記錄;以及Comelec人員數據庫,其中包含1,267名Comelec人員的記錄。
NPC的決定還提供了妥協敏感的個人信息類型的完整概述,其中包括Comelec的兩個基於網絡的應用程序,其中包括選民的全名,出生日期,性別,性別,民事狀況,地址,地址,區域,殘障人士,殘障人士,投票人員識別號,投票人員登記編號,取消/延期的理由,Deabion/Deaectivation,註冊日期,並進行了更新日期。
作為回應,NPC呼籲Comelec和包蒂斯塔在收到決定後的一個月內命名數據保護官。
NPC還下令在兩個月內進行機構範圍內的隱私影響評估,並在三個月內建立隱私管理計劃和違反管理程序。
在接下來的六個月中,COMELEC應採取符合《數據隱私法》的實施規則和法規的組織,物理和技術安全措施,以及NPC通告第16-01號的規定,涉及政府機構的個人數據安全。
NPC還要求司法部長根據《網絡犯罪預防法》進行“進一步調查可能起訴”,此前發現Comelec數據洩露中使用的一台計算機已在國家調查局(NBI)註冊了IP地址(NBI(NBI)
