保险公司以未经加密的电子邮件发送客户的个人资料
投诉内容
投诉人投保了一份宠物保险。投诉人透过保险公司(“该保险公司”)的网上平台申请理赔时,按要求上传了其银行卡影像作收取赔偿之用。随后,投诉人收到该保险公司一名代表发送的电子邮件,发现电邮的正文部分显示了其姓名及完整的银行账户号码。投诉人认为,电邮并非传输敏感资料的安全途径,而该保险公司员工在发送电邮前未有对其个人银行账户资料进行加密处置,遂向私隐专员公署作出投诉,投诉包括该保险公司没有采取足够的安全措施保障其个人资料。
结果
该保险公司回应指,其既定工作流程要求员工采取合理预防措施以确保资料安全,该保险公司承认本案源于涉事员工没有遵守相关指引,未有局部遮盖电邮中的敏感个人资料。
经私隐专员公署介入后,该保险公司已采取多项补救措施,包括为员工提供有关个人资料私隐方面的培训、在公司电邮系统使用“个人身分识别资讯 (PII)”筛选器以拦截含有敏感资料的邮件,以及在向外发送的电邮时自动加入提醒讯息等,以避免同类事件再次发生。私隐专员公署在跟进后亦就事件向该保险公司发警告信。
借鉴
此案例揭示了人为错误对个人资料安全的潜在威胁。该保险公司承认,虽然内部已有既定程序,但员工的执行疏忽仍可能导致客户资料外泄。保险公司在处理理赔申请时涉及大量敏感资讯,故必须时刻保持警觉。鉴于电子邮件在传输过程中存在被截取、窃读或误发的风险,任何电邮如涉及银行账户及身分证号码等敏感个人资料,均务必采取相关预防措施例如进行遮盖或加密处理。事实证明,单有指引亦不足以完全杜绝外泄风险。故此,机构除了应为前线员工提供持续培训,确保其在处理客户个人资料时秉持审慎态度外,更应积极引入技术作支援。适当透过套用自动化功能(如本个案中的 PII 筛选器)来弥补人为疏忽,方能建立多重防御机制以减少资料外泄,在数码时代中构筑起严密的资讯安全防护网。
上载日期:2026年3月