Carousell 32萬香港用戶資料外洩 私隱專員公署：犯保安缺失須為此負責

私隱公署發表調查報告，指Carousell犯下多項缺失，並須為此負責。

網上買賣平台Carousell早前向個人資料私隱專員公署通報資料外洩事故，指一個網上論壇聲稱可出售260萬名Carousell用戶的個人資料，包括超過32萬個香港用戶帳號的個人資料外洩，Carousell表示，事故源於去年1月系統遷移過程中出現保安漏洞。私隱公署發表調查報告，指Carousell犯下多項缺失，並須為此負責。

Carousell網頁截圖

報告指，有關公司未有在系統遷移前進行私隱影響評估、不全面的編碼覆檢程序、與系統遷移有關的安全評估有缺失、欠缺與編碼覆檢程序相關的書面政策，而且欠缺有效的偵測措施；公司沒有確保已採取有效措施偵測異常活動，導致未能防止或偵測用戶的個人資料，從相關應用程式介面被擷取。

資料圖片(圖片來源:星島日報)

公署說，考慮到該平台廣泛的國際業務及服務的龐大活躍用戶數量，公眾會合理地期望集團投入足夠資源確保其資訊系統的穩健安全，相關資料外洩事件揭示平台在保障個人資料安全方面犯下根本性的失誤，令人非常失望，並對用戶帳號外洩表示遺憾，相關公司違反個人資料保安規定，私隱專員已向公司送達執行通知，指示作出糾正。

有新投資者宣布接手連鎖健身美容集團舒適堡的部分業務，並以新品牌「perFIT」經營，私隱專員公署繼早前就事件對舒適堡展開循規審查後，主動聯絡新投資者，了解客戶個人資料轉移的安排及索取相關文件，以便公署向新投資者提供適切的協助，確保有關安排符合《私隱條例》的相關規定。

舒適堡。資料圖片

公署表示，一般而言，在收集個人資料方面，資料使用者必須採取所有切實可行的步驟，在收集資料時或之前告知資料當事人所收集的資料將會用於甚麼目的、資料可能會轉移予甚麼類別的人士、資料當事人有責任或可自願提供該資料、資料當事人若不提供該資料便會承受的後果等。在使用個人資料方面，除非得到資料當事人自願及明確的同意，否則個人資料只限使用，包括披露或轉移相關資料於收集時述明的目的或直接相關的目的。

私隱專員公署

私隱專員公署呼籲受影響客戶若關注轉移個人資料的安排，可向新投資者或公署作出查詢。