Carousell早前向公署通報去年1月系統遷移過程中出現保安漏洞,致資料外洩。當時一個網上論壇聲稱可出售260萬名Carousell用戶的個人資料,包括超過32萬個香港用戶。私隱公署今日發表調查報告,指Carousell犯下多項缺失,並須為此負責。
報告指出,外洩的資料包括用戶姓名、個人頭像、電郵地址、電話號碼和出生日期等,事故源於Carousell的缺失,包括未有在系統遷移前進行私隱影響評估、不全面的編碼覆檢程序、與系統遷移有關的安全評估缺失、欠缺與編碼覆檢程序相關的書面政策,而且欠缺有效的偵測措施;公司沒有確保已採取有效措施偵測異常活動,導致未能防止或偵測用戶的個人資料,從相關應用程式介面被擷取。
私隱專員鍾麗玲表示,考慮到該平台廣泛的國際業務及龐大活躍用戶數量,公眾會合理期望集團投入足夠資源確保其資訊系統安全,但事件揭示平台在保障個人資料安全方面犯下根本性的失誤,令人非常失望,並對失誤導致大量用戶帳號外洩表示遺憾。
鍾麗玲認為,香港Carousell Limited未有採取所有切實可行的步驟,保障用戶的個人資料,違反《私隱條例》規定,已指示平台採取多個步驟糾正,以及防止有關違規情況再次發生,私隱專員已向該公司送達執行通知。
另外,公署亦接獲四宗人力資源管理的投訴,當中包括醫管局轄下廣華醫院及Christian Louboutin Asia Limited(Christian Louboutin),有員工在即時通訊軟件群組中不當披露個人資料;星娛樂(環宇)有限公司在前僱員離職後,仍繼續使用其個人資料作公司網上銀行帳戶的使用者;雁月中醫綜合中心使用前僱員的舊住址填寫及郵寄報稅表。公署調查後,發現四宗投訴成立,並已向四間機構發出執行通知,指示該些機構糾正其違反事項,以及防止同類違反的行為再發生。@
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
