個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

调查个案摘要
Print

编号: 0018/2015/IP

标题: 网站未有采取适当的安全措施

立案原因: 举报

个案简介:

    有市民质疑A公司用于收集个人资料的网站未有采取适当的安全措施,要求本办公室作出跟进。

分析:

    据悉,A公司透过网站收集的个人资料包括姓名、身份证编号、出生日期、手机号码及电邮地址等资料。根据《个人资料保护法》第4条第1款(一)项的规定,有关资料可确定自然人的身份,属个人资料。根据同一法律第3条第1款的规定,有关资料的处理受《个人资料保护法》规范。
  A公司表示,甚公司的网有采取以下安全措施:(1) 网站架设于经多重防火墙、路由器保护之架构下,具有防病毒过滤、入侵检测防护措施;(2) 防火墙同时设有实时更新漏洞库,有效防护最新威胁;(3) 收集之个人资料储存在独立的后端数据库内,与网站伺服器完全分离,只允许通过指定的内部网路端口存取,同时受到防火墙保护;(4) 数据库中所有资料以加密方式保存。另外,经本办公室跟进后,该公司已采取改善措施,向全球权威网站证书机关申请证书,采用SSL伺服器凭证机制进行资料加密后才传送资料。
  然而,A公司在采取改善措施前未有对网络传送的资料进行加密,有个人资料外泄的潜在风险,违反《个人资料保护法》第15条的规定。

处理结果:

    考虑到现时未有证据显示资料外泄,且违反《个人资料保护法》第15条并不构成行政违法,故在A公司作出改善后,本办公室已将个案归档。

注:
参考《个人资料保护法》第3,4,15条。

返回

澳门南湾大马路804号中华广场17楼  电话:(853) 2871 6006  传真:(853) 2871 6116