保險公司以未經加密的電子郵件發送客戶的個人資料
投訴內容
投訴人投保了一份寵物保險。投訴人透過保險公司(「該保險公司」)的網上平台申請理賠時,按要求上傳了其銀行卡影像作收取賠償之用。隨後,投訴人收到該保險公司一名代表發送的電子郵件,發現電郵的正文部分顯示了其姓名及完整的銀行賬戶號碼。投訴人認為,電郵並非傳輸敏感資料的安全途徑,而該保險公司員工在發送電郵前未有對其個人銀行賬戶資料進行加密處置,遂向私隱專員公署作出投訴,投訴包括該保險公司沒有採取足夠的安全措施保障其個人資料。
結果
該保險公司回應指,其既定工作流程要求員工採取合理預防措施以確保資料安全,該保險公司承認本案源於涉事員工沒有遵守相關指引,未有局部遮蓋電郵中的敏感個人資料。
經私隱專員公署介入後,該保險公司已採取多項補救措施,包括為員工提供有關個人資料私隱方面的培訓、在公司電郵系統使用「個人身分識別資訊 (PII)」篩選器以攔截含有敏感資料的郵件,以及在向外發送的電郵時自動加入提醒訊息等,以避免同類事件再次發生。私隱專員公署在跟進後亦就事件向該保險公司發警告信。
借鑑
此案例揭示了人為錯誤對個人資料安全的潛在威脅。該保險公司承認,雖然內部已有既定程序,但員工的執行疏忽仍可能導致客戶資料外洩。保險公司在處理理賠申請時涉及大量敏感資訊,故必須時刻保持警覺。鑑於電子郵件在傳輸過程中存在被截取、竊讀或誤發的風險,任何電郵如涉及銀行賬戶及身分證號碼等敏感個人資料,均務必採取相關預防措施例如進行遮蓋或加密處理。事實證明,單有指引亦不足以完全杜絕外洩風險。故此,機構除了應為前線員工提供持續培訓,確保其在處理客戶個人資料時秉持審慎態度外,更應積極引入技術作支援。適當透過套用自動化功能(如本個案中的 PII 篩選器)來彌補人為疏忽,方能建立多重防禦機制以減少資料外洩,在數碼時代中構築起嚴密的資訊安全防護網。
上載日期:2026年3月