(纳闻记者李文瑞报导)
联邦隐私监管机构表示,加拿大边境机构承包商的数据泄露涉及多达 138 万张车牌图像和相关信息。
在一份详细调查的报告中,隐私专员办公室引用了加拿大边境服务局管理车牌信息的方式不一致以及缺乏安全措施。
它强调缺乏足够的合同条款来确保边境机构的私营部门合作伙伴妥善保护信息。
该报告虽然于 5 月完成,但已于周四提交给议会,作为隐私专员 Philippe Dufresne 年度报告的一部分。
在 2019 年媒体报道加拿大边境机构及其美国同行都使用的美国第三方承包商遭受网络攻击后,监管机构发起了投诉并开始调查。
当时,加拿大边境机构告诉隐私专员,此次违规行为包括从安大略省康沃尔边境入境加拿大的旅客那里收集的大约 9,000 张车牌照片。
调查显示,在此次违规事件中被泄露的加拿大边境机构车牌图像文件的数量要高得多——高达 138 万份,包括重复文件。
该报告称,其中约有 11,000 条发布在暗网上——互联网的阴暗地下区域。
它还发现图像文件包括元数据,其中包含与车牌相关的相关省或州、拍摄图像的日期和时间,以及代表过境点的数字代码以及车道编号。
边境机构告诉专员,它不认为车牌图像是个人信息。 然而,报告称,该机构的评估没有考虑到相关元数据显示时间、日期和地点。
隐私监管机构发现,根据《隐私法》,这些文件确实属于某些个人的个人信息。
报告称,尽管一些个人信息——例如医疗记录和财务数据——几乎总是被认为是敏感的,但任何个人信息都可能是敏感的,具体取决于具体情况。
“这项调查凸显了项目、合同和隐私专家的价值,他们共同努力评估在交付项目和服务时收集的信息是否被视为个人信息,并制定具有适当隐私条款的合同来保护它。”
专员办公室最终得出结论,其自行发起的投诉是有根据的,因为边境机构违反了隐私法有关信息披露的规定。
该办公室建议边境机构审查其与服务提供商的合同,以明确车牌图像文件构成个人信息,因此需要“对存储、使用、访问和销毁采取适当的保护措施”。
专员说,此案的一个重要教训是,无论数据是由政府机构还是由代表其行事的签约第三方处理,隐私义务都适用。
专员认为投诉将根据边境机构对调查的回应和对建议的接受得到解决。
吉姆布朗斯基尔
