Carousell泄逾32万香港用户资料　私隐署称犯根本性失误令人失望

私隐专员公署今日（21日）发表两份调查报告。其中一份报告关于 Carousell 用户的个人资料遭未获准许的撷取，导致260万名Carousell 全球用户的个人资料，当中包括超过32万名香港用户的帐号遭到外泄。公署指，事故揭示该公司犯了根本性的失误，实令人非常失望。

事故源于2022年初系统迁移漏洞

私隐专员公署就Carousell Limited一宗资料外泄事故发表调查，Carousell Limnited早前向公署通报资料外泄事故，指一个网上论坛声称可出售260万名Carousell 用户的个人资料，包括32.4万个香港用户帐号的个人资料外泄。Carousell Limited 表示该资料外泄事故，源于2022年1月系统迁移过程中出现的一个保安漏洞。

私隐专员钟丽玲认为，事件是源于 Carousell 不同缺失导致，例如未有在系统迁移前进行私隐影响评估、不全面的编码覆检程序、与系统迁移有关的安全评估有缺失、欠缺与编码覆检程序相关的书面政策，以及欠缺有效的侦测措施。

私隐专员认为，Carousell Limited须为下列缺失负责，例如没有查核在相关系统迁移进行前有否进行私隐影响评估、没有查核在相关应用程式介面推出前有否进行全面的编码覆检程序、没有确保 Carousell 有否就相关系统迁移进行全面的安全评估、没有查核Carousell 有否制订与编码覆检程序相关的书面政策，以及没有确保 Carousell 已采取有效措施侦测异常活动，导致未能防止或侦测。

私隐署：若有风险评估措施可避免事故

公署指，事件揭示了 Carousell 在保障由其集团持有的个人资料的安全方面，犯了根本性的失误，实令人非常失望。私隐专员认为，若当时有实施一般风险及安全评估及措施，相关事件应可避免发生，对有关失误导致260万名Carousell 全球用户的个人资料及超过32万名香港用户的帐号遭到外泄表示遗憾。

私隐专员已向 Carousell Limited 送达执行通知，指示 Carousell Limited 纠正其违反事项，以及防止有关违规情况再次发生。

私隐专员亦就个人资料的资讯系统迁移向机构建议，进行私隐影响评估，特别是当系统或行事方式出现重大改变及引人新科技时进行有关评估；制订确保敷据安全的迁移计划；进行有效的漏洞评估；提供相关的员工培训；实施有效的检测机制侦测异常活动；及制订地区性政策及程序，确保遵从《私隐条例》的规定。

私隐署要求2月19日或以前提供文件

钟丽玲形容Carousell 个案非常不幸，“就算私人帐户嘅资料都系可以畀人撷取嘅，其实正正就话咗畀公众听啦，有时唔好谂住话我私人帐户嘅嘢系百分之一百冇事，呢个资料外泄事故个案试因为相关公司一个程式嘅错误，落漏咗落一个过滤器，令到私人账户资料都可以被黑客攞。”

对于市民在使用网上平台时如何保障个人资料，钟丽玲建议市民如无需要，不要随便在社交媒体提供或上载个人资料，“系唔系上载资料亦都系需要公诸于世呢？系咪要公开咁多资料呢？”她提醒市民留意启动双重密码认证及使用安全性比较强的密码。她亦建议市民网购时，应检视相关应用程式的私隐设定系，选择毋须需要提供过多资料的网购平台。

私隐专员已于昨日（20日）向 Carousell Limited 送达执行通知，包括聘请独立的数据安全专家检视网站和流动应用程式及制订本地政策及程序以进行私隐影响评估、漏洞扫描和安全评估的政策和程序、确保对用于侦测潜在恶意使用应用程式介面的安全措施足够及达至行业标准及定期检视等，纠正其违反事项，并须在明年2月19日或以前向专员提供文件。

Carousell：将投入大量资源强化网络安全

Carousell回复查询表示，尊重香港个人资料私隐专员公署的书面判决，该判决亦指出Carousell采取了快速的纠正措施。Carousell将会仔细评估香港个人资料私隐专员公署所提出的建议，并持续与隐私署保持紧密合作。为确保Carousell维持健全且有效的安全体系，将持续投入大量资源来强化安全设施和网络安全工作。