個案簡述

訂購食物紀錄經互聯網外洩，涉及62,539名客戶 — 保障資料第4原則 — 個人資料的保安

背景

私隱公署接獲市民通知，一間專門提供食物外送服務的公司的客戶資料經互聯網外洩，公眾人士可透過互聯網開啟該公司伺服器內的超文本預處理器（即 Hypertext Preprocessor）查閱該公司客戶的訂購食物紀錄及所提供的個人資料。涉及的個人資料包括62,539名客戶的名稱、地址、電話號碼及電郵地址。

該公司解釋，事件是源於其伺服器內相關資料夾的存取權限出現錯誤，以致無關人士可透過互聯網查閱客戶的個人資料。該公司在事發後立即更正有關資料夾的存取權限，並將有關的系統程式檔案重新命名及增設密碼，以防止無關人士透過該超連結再次開啟伺服器內的超文本預處理器。

補救措施

該公司亦採取了下述補救行動，防止日後再發生類似事件：

1. 委託系統開發公司定期檢查伺服器以確保有關的資料夾的存取權限正確；
2. 將網上訂購紀錄的保存期限縮短為送貨完成日起計一天，並已編寫了相關程式以確保資料會被準時刪除；及
3. 切換現有的電腦系統，在新系統中加入認證功能，以確保只有獲授權的網際網路協定位址或電腦才可以讀取新系統內的客戶個人資料。

上載日期：2022年7月