Timothy Pilgrim กรรมาธิการความเป็นส่วนตัวของออสเตรเลียได้รับการแต่งตั้งอีกครั้ง

George Brandis อัยการสูงสุดของออสเตรเลียประกาศว่า Timothy Pilgrim ได้รับการแต่งตั้งให้เป็นกรรมาธิการความเป็นส่วนตัวอีกครั้งต่อไปอีก 12 เดือน เริ่มตั้งแต่วันที่ 19 ตุลาคม

Pilgrim ดำรงตำแหน่งกรรมาธิการความเป็นส่วนตัวตั้งแต่เดือนกรกฎาคม 2553 ถึงกรกฎาคม 2558 และเพิ่มบทบาทรักษาการกรรมาธิการข้อมูลเป็นเวลาสามเดือนในแฟ้มผลงานของเขาเมื่อเดือนที่แล้ว ก่อนหน้านี้เขาเคยดำรงตำแหน่งรองกรรมาธิการด้านความเป็นส่วนตัวตั้งแต่ปี 1998 ถึง 2010

"ในฐานะกรรมาธิการด้านความเป็นส่วนตัว คุณพิลกริมได้พัฒนา [a] ความสัมพันธ์ในการทำงานที่ดีกับชุมชนธุรกิจ (sic) กลุ่มผู้บริโภค และหน่วยงานรัฐบาลออสเตรเลียในการสร้างความตระหนักรู้ถึงสิทธิความเป็นส่วนตัวและพันธกรณี” แบรนดิสกล่าวในแถลงการณ์เมื่อวันศุกร์ ตอนบ่าย.

"ตัวอย่างคือการปรึกษาหารืออย่างกว้างขวางกับกลุ่มอุตสาหกรรมและผู้บริโภคก่อนการแก้ไขเพิ่มเติมในปี 2014 พระราชบัญญัติความเป็นส่วนตัวเริ่มต้นขึ้น และหลังจากนั้นเขายังคงมุ่งเน้นไปที่การทำงานร่วมกับธุรกิจต่างๆ เพื่อดำเนินการเปลี่ยนแปลงกับ กระทำ."

Pilgrim ปกป้องความเป็นส่วนตัวและความปลอดภัยมานานหลายปีเมื่อเผชิญกับความเสี่ยงที่เพิ่มขึ้นในโลกดิจิทัล

ส่วนเรื่องที่เพิ่งผ่านไป กฎหมายบังคับการเก็บรักษาข้อมูล -- ซึ่งจะเห็นบันทึกการโทรของลูกค้าโทรคมนาคม ข้อมูลตำแหน่ง ที่อยู่ IP ข้อมูลการเรียกเก็บเงิน และอื่นๆ ข้อมูลที่เก็บไว้เป็นเวลาสองปี สามารถเข้าถึงได้โดยไม่ต้องมีการรับประกันจากหน่วยงานบังคับใช้กฎหมาย -- ผู้แสวงบุญต่อสู้เพื่อรวมข้อกำหนด โดยเหตุใด ต้องมีการแจ้งเตือนการละเมิดข้อมูล หากข้อมูลรั่วไหลเกิดขึ้น

“ด้วยการสร้างพื้นที่เก็บข้อมูลขนาดใหญ่ แผนการเก็บรักษาข้อมูลที่เสนอจะเพิ่มความเสี่ยงและผลที่ตามมาที่อาจเกิดขึ้นจากการละเมิดข้อมูล” Pilgrim กล่าวในเดือนมกราคม

“นี่เป็นเพราะความท้าทายในการรักษาความปลอดภัยข้อมูลนั้นอย่างมีประสิทธิผลจากการใช้ในทางที่ผิด การรบกวน และ การสูญเสียและจากการเข้าถึง ดัดแปลง หรือเปิดเผยโดยไม่ได้รับอนุญาตจะกลายเป็นเรื่องยากมากขึ้นตามเทคโนโลยี วิวัฒนาการ"

เขาชี้ให้เห็นว่าบริษัทโทรคมนาคมได้รับการร้องเรียนเป็นจำนวนมาก โดยมีการสอบสวนไปแล้ว 13 ครั้ง นับตั้งแต่เขาเข้ารับตำแหน่งในปี 2553 เช่น เมื่อ Telstra ทำให้รายละเอียดของลูกค้า 734,000 รายเข้าถึงได้ ออนไลน์ ในปี 2011.

ผู้แสวงบุญมีประวัติ ใช้สายแข็ง กับบริษัทที่ปกปิดการละเมิดข้อมูล โดยกล่าวในเดือนพฤศจิกายนปีที่แล้วว่าการปกปิดการละเมิดข้อมูล "จะไม่ได้รับการดูแลอย่างดีจากสำนักงานของเรา"

"ฉันรู้สึกผิดหวังเมื่อได้ยินความคิดเห็นว่ามีทัศนคติภายในองค์กรบางแห่งในการรอให้การละเมิด [ข้อมูล] เกิดขึ้น รอการร้องเรียนเกิดขึ้น และ ที่เกี่ยวข้องอย่างเท่าเทียมกัน โดยรอที่จะเห็นองค์กรถูกนำตัวขึ้นศาลเพื่อรับโทษทางแพ่ง - ก่อนที่จะดำเนินการตามขั้นตอนที่เหมาะสมในการจัดการและปกป้องข้อมูลส่วนบุคคลของพวกเขา การถือครอง โดยส่วนตัวแล้วฉันหวังว่านี่เป็นเพียงเรื่องซุบซิบ” ผู้แสวงบุญกล่าวเมื่อปีที่แล้ว

ก่อนที่จะผ่านไป ผู้แสวงบุญยังพยายามที่จะโต้แย้งว่าระยะเวลาการเก็บรักษาสองปีนั้นอยู่ภายใน พระราชบัญญัติโทรคมนาคม (การสกัดกั้นและการเข้าถึง) การแก้ไข (การเก็บรักษาข้อมูล) ปี 2015 ถูกประเมินต่อต้าน ความเสี่ยงต่อความเป็นส่วนตัว ของการจัดเก็บข้อมูลส่วนบุคคลจำนวนมากเช่นนี้ เขาชี้ให้เห็นว่า 90 เปอร์เซ็นต์ของการสืบสวนที่ใช้ข้อมูลที่เก็บไว้ใช้เฉพาะข้อมูลที่มีอายุน้อยกว่าหนึ่งปีเท่านั้น

“หากมีการตัดสินใจที่จะดำเนินโครงการเช่นนี้ซึ่งจะต้องเป็นไปตามที่ฉันกล่าวไว้ การถือครองหรือการรวบรวมและการเก็บรักษาปริมาณมหาศาลของ ข้อมูลและข้อมูลส่วนบุคคลเกี่ยวกับผู้คนมาเป็นเวลานาน เราต้องดูว่าเราสามารถใส่อะไรได้อีกบ้างเพื่อทำให้ดีที่สุดเพื่อรักษาความปลอดภัยนั้น ข้อมูล."

ความเสี่ยงดังกล่าวจะเพิ่มขึ้นเมื่อมีข้อมูลจำนวนมหาศาลที่ต้องจัดเก็บไว้ซึ่งทำหน้าที่เป็นตัวช่วยสำหรับผู้ที่จะเป็นแฮกเกอร์ ประกอบกับข้อเท็จจริงที่ว่าหน่วยงานความมั่นคงแห่งชาติจะเข้าถึงและแบ่งปันข้อมูลดังกล่าว ข้อมูลลูกค้า -- แม้ว่าองค์กรเหล่านี้จะมีประวัติการละเมิดความเป็นส่วนตัวมายาวนานก็ตาม ความประมาท

เมื่อเดือนกุมภาพันธ์ปีที่แล้วกรมตรวจคนเข้าเมือง เผยแพร่รายละเอียดผู้ขอลี้ภัยเกือบ 10,000 รายรวมถึงชื่อนามสกุล วันเกิด เพศ สัญชาติ ระยะเวลาที่กักขังคนเข้าเมือง สถานที่ ข้อมูลการมาถึงของเรือ และสาเหตุที่ผู้เข้าประกวดถูกจัดว่าเดินทางเข้าออสเตรเลีย "ผิดกฎหมาย".

ข้อมูลดังกล่าวปรากฏอยู่ในเว็บไซต์ของกระทรวงเป็นเวลากว่าแปดวัน และยังคงอยู่ใน Archive.org เป็นเวลา 16 วัน และถูกลบออกจากทั้งสองไซต์เพียงครั้งเดียว เดอะการ์เดียน ได้แจ้งให้กรมทราบเรื่องการละเมิดแล้ว

“เหตุการณ์นี้น่ากังวลอย่างยิ่งเนื่องจากความอ่อนแอของผู้ที่เกี่ยวข้อง” ผู้แสวงบุญกล่าวในเดือนพฤศจิกายน

การละเมิดเกิดขึ้นเนื่องจากพนักงานคนหนึ่งได้คัดลอกและวางจากแผนภูมิ Microsoft Excel ลงใน เอกสาร Word ซึ่งมีข้อมูลพื้นฐานแสดงแผนภูมิใน Excel แล้วฝังอยู่ในเอกสาร Word

“ผู้บัญชาการพบว่ามี DIBP ฝึกอบรมเจ้าหน้าที่แผนกที่เกี่ยวข้องอย่างเหมาะสมในการสร้างรายงานการควบคุมตัวเพื่อให้เข้าใจถึง ความเสี่ยงของข้อมูลที่ฝังอยู่และความเสี่ยงที่อาจเกิดขึ้น และการคัดลอกและวางกราฟเป็นรูปภาพ เจ้าหน้าที่อาจหลีกเลี่ยงไม่ให้ ข้อผิดพลาด," รายงาน [PDF] พูดว่า.

เคพีเอ็มจี การสอบสวนการละเมิด [PDF] เมื่อเดือนมิถุนายนพบว่าเอกสารดังกล่าวได้รับแล้ว เข้าถึง 123 ครั้งจาก 104 ที่อยู่ IP ก่อนที่จะถูกดึงลงมา โดยมีรายงานจากสำนักงานกรรมาธิการข้อมูลออสเตรเลีย (OAIC) ​​เมื่อเดือนพฤศจิกายน พบว่า ถือเป็นการละเมิดพระราชบัญญัติความเป็นส่วนตัว.

ในลักษณะเดียวกันโดยเจ้าหน้าที่กรมตรวจคนเข้าเมือง หมายเลขหนังสือเดินทาง วันเกิด และข้อมูลวีซ่าของผู้นำโลก เข้าร่วมการประชุมสุดยอด G20 เมื่อปีที่แล้วที่บริสเบน รวมทั้งประธานาธิบดีบารัค โอบามาของสหรัฐฯ และประธานาธิบดีวลาดิมีร์ ปูติน แห่งรัสเซียด้วย คือ ส่งอีเมลโดยไม่ตั้งใจ ให้เป็นสมาชิกของคณะกรรมการจัดงานท้องถิ่นแห่งเอเชียนคัพ

อย่างไรก็ตาม แผนกฯ ขณะนั้นไม่เห็นจำเป็นต้องแจ้งให้ผู้ที่เกี่ยวข้องทราบ ความเป็นส่วนตัวของพวกเขาถูกละเมิด - แม้ว่าจะมีกฎหมายแจ้งเตือนการละเมิดข้อมูลบังคับของผู้ที่เกี่ยวข้องบางส่วนก็ตาม

“เนื่องจากความเสี่ยงของการละเมิดถือว่าต่ำมากและการดำเนินการที่ได้ดำเนินการเพื่อจำกัดต่อไป การแจกจ่ายอีเมล ฉันไม่ถือว่าจำเป็นต้องแจ้งให้ลูกค้าทราบถึงการละเมิด" เจ้าหน้าที่รายงาน เขียน.

หน่วยงานต่อไป ได้จัดตั้งคณะทำงานเฉพาะกิจ ไปสู่ความรับผิดชอบและแนวปฏิบัติในการจัดการข้อมูลของตนเอง

ที่ นโยบายการดำเนินการด้านกฎระเบียบด้านความเป็นส่วนตัวซึ่งให้รายละเอียดเกี่ยวกับอำนาจของคณะกรรมาธิการด้านความเป็นส่วนตัวและแนวทางการดำเนินการเกี่ยวกับการละเมิดข้อมูลและความล้มเหลวในการเปิดเผยข้อมูล ได้รับการเผยแพร่เมื่อปีที่แล้ว

นอกจากนี้ OAIC ยังได้จัดทำ "แนวทางการดำเนินการด้านกฎระเบียบด้านความเป็นส่วนตัว" ซึ่งจะอธิบายอำนาจของสำนักงานเพิ่มเติมด้วย ร่างการเปิดเผย ได้รับการปล่อยตัวเพื่อตรวจสอบและยื่นคำร้อง