個人資料私隱專員公署發表調查報告,揭發網上拍賣平台Carousell去年進行系統遷移期間出保安漏洞,導致260萬名全球用戶的個人資料外洩,當中包括32萬名香港用戶的電郵地址、個人頭像、電話及出生日期等資料。公署認為Carousell在處理和保障個人資料安全方面「根本性失誤」,事故應可以避免,對事件感失望,更要求Carusell於明年2月19日或之前,採取一系列包括制訂安全評估政策及程序,以確保用戶數據安全,若未能在限期前處理,會構成刑事罪行。
報告指出,Carousell於2022年1月就系統遷移過程中出現保安漏洞,遺漏了一個過濾器,令用戶的非公開個人資料亦一併顯示。Carousell直至8個月後,發現有網上論壇聲稱可出售260萬名Carousell 用戶的個人資料始知保安問題,及後已修復有關漏洞。
公署指Carousell犯下多項缺失,裁定Carousell違反保障資料原則有關個人資料保安的規定,已向Carousell送達執行通知及要求糾正,於明年2月19日或之前採取一系列措施,包括訂定政策及程序,確保香港用戶的數據安全,引入重大系統前要先進行私隱影響及安全評估,亦要聘請獨立資料安全專家,以檢視網站及程式是否涉及其他保安漏洞,若未能在限期前糾正,會構成刑事罪行。
公署提醒市民,在互聯網或社交媒體,不要隨便提供個人資料,要留意網頁的私隱設定;今次個案亦反映,黑客亦能擷取私人帳戶資料,故提醒市民開設私人帳戶時應只提供最基本資料,不應以為私人帳戶便百分百安全。