去年,Carousell 向個人資料私隱專員公署作出資料外洩事故通報,表示公司在一個網上論壇發現一則銷售訊息,聲稱可出售 260 萬名 Carousell 用戶的個人資料,並於 2022 年 10 月 21 日發現有 324,232 個香港用戶的帳號受到影響。
據 Carousell 所述,該資料外洩事件源於 2022 年 1 月系統遷移過程中出現的一個保安漏洞。經循規審查後,私隱專員鍾麗玲認為事件源於 Carousell 在系統遷移前評估不足、編碼覆檢程序不全面,同時欠缺相關的書面政策及有效的偵測措施。雖然 Carousell 使用集團中央化模式下的資訊系統及資料庫,然而相關資料外洩事件,揭示 Carousell 在保障個人資料安全方面犯了「根本性的失誤」。
私隱專員認為 Carousell 沒有採取所有切實可行的步驟,確保涉事的個人資料受到保障,而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。故此,私隱專員已向 Carousell 送達執行通知,指示糾正其違反事項,以及防止有關違規情況再次發生。
私隱專員亦希望藉此報告,就個人資料的資訊系統遷移,向機構作出以下建議,以加強數據安全:
- 進行私隱影響評估,特別是當系統或行事方式出現重大改變及引入新科技時,進行有關評估;
- 制訂確保數據安全的遷移計劃;
- 進行有效的漏洞評估;
- 提供相關的員工培訓;
- 實施有效的檢測機制偵測異常活動;
- 制訂地區性政策及程序,確保遵從《私隱條例》的規定。
此外,由於 Carousell 集團的總部位於新加坡,私隱專員公署已根據與新加坡個人資料保護委員會簽訂的諒解備忘錄,向新加坡個人資料保護委員會提供了是次調查的報告。