个案简述

订购食物纪录经互联网外泄，涉及62,539名客户 — 保障资料第4原则 — 个人资料的保安

背景

私隐公署接获市民通知，一间专门提供食物外送服务的公司的客户资料经互联网外泄，公众人士可透过互联网开启该公司伺服器内的超文本预处理器（即 Hypertext Preprocessor）查阅该公司客户的订购食物纪录及所提供的个人资料。涉及的个人资料包括62,539名客户的名称、地址、电话号码及电邮地址。

该公司解释，事件是源于其伺服器内相关资料夹的存取权限出现错误，以致无关人士可透过互联网查阅客户的个人资料。该公司在事发后立即更正有关资料夹的存取权限，并将有关的系统程式档案重新命名及增设密码，以防止无关人士透过该超连结再次开启伺服器内的超文本预处理器。

补救措施

该公司亦采取了下述补救行动，防止日后再发生类似事件：

1. 委托系统开发公司定期检查伺服器以确保有关的资料夹的存取权限正确；
2. 将网上订购纪录的保存期限缩短为送货完成日起计一天，并已编写了相关程式以确保资料会被准时删除；及
3. 切换现有的电脑系统，在新系统中加入认证功能，以确保只有获授权的网际网路协定位址或电脑才可以读取新系统内的客户个人资料。

上载日期：2022年7月