PCCM海外征信小组 2020-09-28
(益博睿南非)关于消费者和商业中个人信息的未经授权访问的公告
—–根据2013年4月《个人保护信息法》[1]第22条的规定
2020年7月22日,一起孤立事件引起益博睿的警觉,该事件涉及的第三方于2020年5月24日至27日获取了南非消费者和法人个人信息。
益博睿(Experian)跟进了这些可能被盗取身份信息的客户,并发现这些客户有期限为30天的贷款出现逾期并进入出售阶段的情况。随后,益博睿做了进一步检查,并确定这是一笔欺诈交易。益博睿公司旋即展开内部调查,并在不久后通知了相关监管部门以及银行。
该调查指出了犯罪嫌疑人,这使益博瑞能够考虑所有适当的法律诉讼,包括安东·皮勒(Anton Piller)[2]的申请。因此,益博瑞着手获取并执行安东·皮勒命令,以便扣押能够定位的硬件,并确保该硬件上与益博睿相关的数据得到保护和删除。申请安东·皮勒法令的目的是保护证据,如果占有该证据的人得知相关消息,该证据可能会被销毁。因此,在执行安东·皮勒命令之前,不能向公众披露。由于,该法令已于2020年8月18日星期二成功执行完成。所以,益博睿于2020年8月19日就开始通过官方网站和公共媒体发布声明以通知该事件。
数据泄露事件后果
表一概述了欺诈者提供给益博睿的信息以及益博睿提供给欺诈者的信息(11项)。
表一 数据事件中涉及消费者的个人信息
| 消费者信息 | 欺诈者向益博睿提供的信息 | 益博睿提供给欺诈者的信息 |
| 名字 | 是 | 否 |
| 姓 | 是 | 否 |
| RSA 身份证号 | 是 | 否 |
| 身份证号验证标志 | 如有即提供 | |
| 移动电话号码 | 如有即提供 | |
| 家庭电话号码 | 如有即提供 | |
| 其他电话号码 | 如有即提供 | |
| 工作电话号码 | 如有即提供 | |
| 电子邮箱地址 | 如有即提供 | |
| 地址 | 如有即提供 | |
| 工作、工作地址、职位和工作起始日期 | 如有即提供 |
表二 数据事件中涉及的公司法人数据
(共48项信息,部分缩写内容无法翻译,直接英文列示)
| 信息条目 | 由欺诈者提供的 | 由益博睿返还的 |
| Kim | 否 | 如有即提供 |
| Vat Matched Flag(匹配标志) | 否 | 如有即提供 |
| Debtor Name(债主姓名) | 否 | 如有即提供 |
| Legal Name(法人姓名) | 是 | 如有即提供 |
| Alt Name Type(名字类型) | 否 | 如有即提供 |
| Alt Name(姓名) | 否 | 如有即提供 |
| Name Change Type(姓名更改类型) | 否 | 如有即提供 |
| Changed Name(更改的姓名) | 否 | 如有即提供 |
| Entity(实体) | 否 | 如有即提供 |
| Company Status(公司状态) | 否 | 如有即提供 |
| Reg Number(登记号码) | 否 | 如有即提供 |
| Report Date(报告日期) | 否 | 如有即提供 |
| Enquiry Amount | 否 | 如有即提供 |
| Enquiry Terms | 否 | 如有即提供 |
| Bank Code(银行代码) | 否 | 如有即提供 |
| Bank Code Date(银行代码日期) | 否 | 如有即提供 |
| Sicc Source | 否 | 如有即提供 |
| Sicc | 否 | 如有即提供 |
| Sicc Description | 否 | 如有即提供 |
| Employees(雇佣人员) | 否 | 如有即提供 |
| Holding Company(控股公司) | 否 | 如有即提供 |
| Turnover Range | 否 | 如有即提供 |
| Import/Export(进出口) | 否 | 如有即提供 |
| Fleet | 否 | 如有即提供 |
| Score(分数) | 否 | 如有即提供 |
| Score Comment(分数) | 否 | 如有即提供 |
| Judgements (Yes/ No indicator) (法院判决) | 否 | 如有即提供 |
| R/D Cheque(支票) | 否 | 如有即提供 |
| Adverse Reference (Yes / No indicator)(负面参考) | 否 | 如有即提供 |
| Telephone(电话号码) | 否 | 如有即提供 |
| Postal Address(邮编) | 是 | 如有即提供 |
| Street Address(街道地址) | 是 | 如有即提供 |
| Province(省份) | 是 | 如有即提供 |
| Principles (Count) | 否 | 如有即提供 |
| Branch(分支机构) | 否 | 如有即提供 |
| Liquidations | 否 | 如有即提供 |
| Premises | 否 | 如有即提供 |
| Vat Number/ flag | 否 | 如有即提供 |
| Ultimate Holding Company | 否 | 如有即提供 |
| Last JU Date | 否 | 如有即提供 |
| Auditor(审计者) | 否 | 如有即提供 |
| Fax(传真) | 否 | 如有即提供 |
| Email(电子有项) | 否 | 如有即提供 |
| Bankers(银行) | 否 | 如有即提供 |
| Account# | 否 | 如有即提供 |
| Branch | 否 | 如有即提供 |
| BEE flag (Yes / No indicator) | 否 | 如有即提供 |
| NCA (Yes / No indicator) | 否 | 如有即提供 |
益博睿的调查表明盗用数据并未用于欺诈目的(例如身份盗用),并且嫌疑人似乎打算使用该数据来创建营销线索以提供保险和信贷相关服务。虽然个人数据通常不用于进行身份盗用,但益博睿建议消费者还是保持警惕,以确保不会成为社会工程或身份盗用的受害者。
减轻此次数据泄露不利影响的建议
益博睿建议个人保持警惕并定期查看信用状况。可每年从任一注册征信机构免费获取一次信用报告。 您可以通过访问www.mycreditcheck.co.za查看益博睿信用报告,并终身免费访问个人信用报告。通过“我的信用检查”或“我的信用专家”请求免费信用报告的消费者,2023年12月31日之前,对信用报告进行查询时,手机上也将自动收到免费短信通知。
您可以进一步考虑在南非反欺诈机构进行保护性注册。网址是(https://www.safps.org.za/Home/OurServices_ApplyProtectiveRegistration),这将为您的信用报告增加欺诈预警,从而告知债权人您的报告中可能发生的欺诈,并要求债权人在以您的名义建立任何账户之前联系您。有关保护自己免遭身份盗用的指导以及应对身份欺诈的方法,可以访问益博睿官方网站相关内容。果您是实际或可能的身份盗用受害者,请联系所在地执法部门。
益博睿为解决此事件所做工作
益博睿确认已经采取了适当的技术和措施,防止进一步个人信息数据泄露。这些措施包括通过采用其他验证和身份验证控制措施(包括与非公开的第三方来源验证信息)改善流程。益博睿还进行了风险评估以及合规性审查,并立即采取了逐步完善的补救措施。益博睿保证将通过独立的审计师来审计这些控制措施的有效性。
益博睿南非成功获准并执行了安东·皮勒的法令。安东·皮勒法令允许扣押益博睿能够找到的肇事者硬件,并保护和删除与此类硬件上特定的与益博睿关键字相关的数据。益博睿正在这方面继续走法律程序,包括与执法部门和有关当局进行协调。
益博睿保证,南非已提起刑事诉讼,此事目前已交由执法部门处理。益博睿将继续与执法部门合作,支持调查并根据要求向执法部门提供必要信息,以将嫌疑犯绳之以法。
自从益博睿在2020年7月22日意识到欺诈行为以来,其全球安全团队一直在监视各种平台(包括暗网),以确定是否出售了相关数据。益博睿还聘请了一位领先的数字法医方面的研究人员协助开展工作。迄今为止,益博睿的全球安全团队尚未观察到相关数据在互联网上出售,目前也没有迹象表明任何盗用的数据用于欺诈目的。
2020年9月1日,益博睿的调查定位了相关文件,随后找到了该事件中泄露的数据,媒体报道泄露的数据是8月19日通过受限文件共享网站出现在互联网上的。益博睿将此事通知了信息监管机构和国家信监管机构(National Credit Regulator,NCR),并发表了声明。
益博睿全球安全团队立即与该第三方网站进行了接触,并确认这些文件无法再通过私有文件共享网站进行访问。益博睿全球安全运营中心将继续在线调查数据集的任何其他来源,并继续监视互联网以进行进一步的行动。益博睿的全球安全团队已经确认,他们仍然尚未观察到在互联网上出售该数据,并且目前还没有迹象表明该数据已用于欺诈目的。
益博睿将继续与整个专家团队一起调查此事,并与执法机构和监管机构(例如信息监管机构和国家信贷监管机构)紧密合作。
数据盗用者身份
益博睿相信他已识别出犯罪嫌疑人,是位南非成年男性。犯罪嫌疑人在南非的直销服务行业从事经营活动。由于可能会对刑事案件造成影响,因此在执法机构认为适当的时候之前,益博睿不会透露嫌疑人的身份。
未收到此类通知的数据主体如何验证个人信息是否遭破坏
为了确定您的个人信息是否遭到破坏,请发送电子邮件至za.consumercare@experian.com。对于此事件引起的未经授权的披露,益博睿再次表示歉意。益博睿的首要任务仍然是为南非的消费者和企业提供支持。益博睿更新了Experian South Africa网站的常见问题文档,以供您参考https://www.experian.co.za/fraudulent-data-incident/faqs(参考后续第(6)部分内容)
联系益博睿
如果您有任何直接疑问,请发送电子邮件至za.consumercare@experian.com或在周一至周五的08:00 – 17:00之间致电0861 51 41 31与?联系,或访问https://www.experian.co.za/fraudulent-data-incident以获取更多信息。
如果您需要与信用信息有关的进一步帮助,请与南非国家信贷监管机构[3]联系:
网址:http://www.ncr.org.za
邮政地址:P O Box 209, Halfway House, 1685
街道地址:127-15th Road, Randjespark, Midrand, JOHANNESBURG, 1685
电话:011 554 2600或086 062 7627
如果您需要任何进一步的帮助,请联系南非信息监管机构[4]:
注明:Adv Kelaotswe
实际地址: 33 Hoofd Street; Forum III 3rd Floor Braampark, Braamfontein, Johannesburg
邮寄地址:P.O Box 31533, Braamfontein, Johannesburg, 2017
电话:+27(0)10 023 5200,
电子邮件:commissions.IR@justice.gov.za
网站:https://www.justice.gov.za/inforeg/
PCCM评论:
- 南非个人征信既有专门的征信监管部门:国家信贷监管局(NCR,成立于2005),也有专注个人信息保护的监管机构:信息监管局(The Information Regulator,2013年)。南非信息监管局成立已经7年,直接隶属南非政府,作为专门的个人信息监管部门,体现了南非在个人信息立法和监管落地方面走在全球前沿。
- 此次数据泄漏事件的个人数据不仅仅只是征信机构的信息,也有欺诈交易方的数据,而且还有征信机构验证后的信息。当然这些信息都是属于消费者的基本个人信息。
- 本文内容是益博睿南非根据南非的《个人信息保护法》的要求而进行的事件信息披露,主要用来弥补消费者个人信息在未经授权情况下遭到访问的潜在后果。及时向公众披露数据泄漏事件是保护消费者个人信息的重要举措。
- 本文中包含了两大类个人信息(Personal Data),一种是消费者的个人信息;一种是公司法人信息。该类信息往往被忽略掉,但是在南非的《个人信息保护法》中公司法人信息和消费者个人信息同等重要。可以看出益博睿对公司法人信息和个人信息均有提供,达48项之多。
- 从信息泄露事件所披露的程度来看,益博睿的披露表格一和二,如实、细致且具体地展示了数据盗与守双方信息交换的内容和方向。这样详实的披露形式,给消费者自主防范后续身份盗用和其他可能产生的不良后果提供了可参考依据。
- 益博睿全球安全团队作为该公司数据泄露事件发生后的安全守护者,利用先进的技术和经验,在全球互联网平台上对已经泄露的客户信息进行监控并及时报告维权的做法,具有借鉴意义。
注: 感谢清华大学五道口金融学院郭小佳老师对本文的校正
欢迎转载,请注明“PCCM-国际征信观察”
[1] The Protection of Personal Information Act (POPIA)
[2]在英语和英语衍生的法律体系中,安东·皮勒命令(常常是拼写错误的安东·皮勒命令)是一项法院命令,提供在不事先警告的情况下搜查房屋和没收证据的权利。目的是防止破坏相关证据,尤其是在涉嫌商标,版权或专利侵权的情况下。参考资料:“Noticeboard”. International Journal of Evidence & Proof. 11 (1): 57–68. 2007.
[3]国家信贷监管机构(NCR)是根据2005年第34号国家信贷法(该法)设立的监管机构,负责监管南非信贷行业,也是征信行业的监管者。它的任务是进行教育,研究,政策制定,行业参与者的注册,投诉调查以及确保该法的执行。该法案要求监管机构促进无障碍信贷市场的发展,尤其是要满足历史上处于不利地位的人,低收入者以及偏远,孤立或低密度社区的需求。NCR还负责信贷提供者,征信局和债务顾问的注册,并强制执行信贷法案。
[4] 信息监管机构(南非)是根据2013年颁布的《个人信息保护法》的第39条建立的独立机构。它仅受法律和宪法管辖,并且由国家议会负责。信息监管者除其他外,被要求监督和强制公共和私人机构遵守2000年颁布的《促进获取信息法》(2000年第2号法案)和2013年颁布的《个人信息法》(第 2013年4月4日)。