Grab bị chính phủ Singapore xử phạt khi để rò rỉ thông tin khách hàng qua email

Công ty công nghệ có trụ sở tại Singapore đặt mục tiêu trở thành một "siêu ứng dụng" và cho phép người dùng đặt mọi thứ từ các chuyến đi hay giao đồ ăn cho đến làm đẹp tại nhà và thanh toán hàng hóa.

Vụ việc diễn ra vào tháng 12 năm 2017, khi GrabCar gửi 399.751 email quảng cáo tới các khách hàng nhưng 120.747 email này đã chia sẻ tên và số điện thoại di động của các khách hàng khác.

Ví dụ: một email được gửi cho người dùng A, nhưng cả tên và số điện thoại di động của người dùng B lại được đính kèm trong nội dung thư.

Grab tuyên bố sự cố này là do sai sót trong việc ghép thông tin khách hàng từ các cơ sở dữ liệu khác nhau và cho biết họ đã báo cáo vi phạm lên Ủy ban bảo vệ dữ liệu cá nhân Singapore (PDPC) ngay lập tức.

"Grab coi trọng việc bảo vệ dữ liệu và thông tin cá nhân của người dùng, chúng tôi rất tiếc khi sự cố này xảy ra", một phát ngôn viên của Grab nói.

"Để ngăn chặn sự tái diễn, chúng tôi đã ngay lập tức tiến hành kiểm tra và xác thực dữ liệu nghiêm ngặt hơn, bao gồm các quy trình mới yêu cầu một bên thứ ba thực hiện quá trình kiểm tra dữ liệu cũng như không để lộ số điện thoại trong tất cả các chiến dịch tiếp thị. Grab cam kết tuân thủ Đạo luật bảo vệ dữ liệu cá nhân (PDPA) và rất tiếc trước bất kỳ sự quan ngại nào", đại diện công ty cho biết.

Tuy nhiên, bất chấp các hành động của Grab, PDPC cho rằng công ty công nghệ này đã vi phạm nghĩa vụ của mình theo PDPA bởi thông tin bị rò rỉ được coi là dữ liệu cá nhân.

PDPC đã chỉ trích Grab vì đã không áp dụng các biện pháp thích hợp để phát hiện ra những sai sót khi công ty thay đổi hệ thống lưu trữ dữ liệu gây ra sự cố rò rỉ thông tin khách hàng.

Tuy nhiên, các nhà chức trách Singapore cho biết mức phạt là công bằng khi Grab đã hành động ngay lập tức sau khi vi phạm và chủ động thông báo cho các khách hàng của mình.

Trong một sự cố khác, PDPC cũng khiển trách Grab vì đã không bảo vệ được dữ liệu của khách hàng đối với nền tảng GrabHitch. GrabHitch là dịch vụ chia sẻ chuyến xe đối với các hành khách có cùng chung tuyến đường.

Hai tài xế GrabHitch trước đó bị cáo buộc đã sử dụng dữ liệu cá nhân của hành khách cho các mục đích khác. Grab từ chối cung cấp mô tả chi tiết về các sự cố này.

Phía công ty cho biết thật không may khi hai "đối tác" của mình - thuật ngữ dành cho các tài xế Grab, đã bỏ qua quy tắc ứng xử và từ đó công ty đã giới thiệu tính năng che giấu số điện thoại cho dịch vụ GrabHitch của mình để ngăn chặn việc lạm dụng dữ liệu cá nhân khách hàng đối với các tài xế.

"Grab đã nói rõ trong quy tắc ứng xử của mình với tất cả các đối tác tài xế GrabHitch rằng họ không được sử dụng dữ liệu cá nhân của hành khách cho bất kỳ mục đích nào khác, ngoài việc hoàn thành hành trình đã đặt trước", đại diện công ty khẳng định.

PDPC trước đây đã giới thiệu 3 sáng kiến mới nhằm thúc đẩy đổi mới thông qua sự tin tưởng bằng cách khiến cho các doanh nghiệp chịu trách nhiệm về cách họ thu thập dữ liệu cá nhân của người tiêu dùng.