個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0018/2015/IP

標題: 網站未有採取適當的安全措施

立案原因: 舉報

個案簡介:

    有市民質疑A公司用於收集個人資料的網站未有採取適當的安全措施,要求本辦公室作出跟進。

分析:

    據悉,A公司透過網站收集的個人資料包括姓名、身份證編號、出生日期、手機號碼及電郵地址等資料。根據《個人資料保護法》第4條第1款(一)項的規定,有關資料可確定自然人的身份,屬個人資料。根據同一法律第3條第1款的規定,有關資料的處理受《個人資料保護法》規範。
  A公司表示,甚公司的網有採取以下安全措施:(1) 網站架設於經多重防火牆、路由器保護之架構下,具有防病毒過濾、入侵檢測防護措施;(2) 防火牆同時設有實時更新漏洞庫,有效防護最新威脅;(3) 收集之個人資料儲存在獨立的後端數據庫內,與網站伺服器完全分離,只允許通過指定的內部網路端口存取,同時受到防火牆保護;(4) 數據庫中所有資料以加密方式保存。另外,經本辦公室跟進後,該公司已採取改善措施,向全球權威網站證書機關申請證書,採用SSL伺服器憑證機制進行資料加密後才傳送資料。
  然而,A公司在採取改善措施前未有對網絡傳送的資料進行加密,有個人資料外洩的潛在風險,違反《個人資料保護法》第15條的規定。

處理結果:

    考慮到現時未有證據顯示資料外洩,且違反《個人資料保護法》第15條並不構成行政違法,故在A公司作出改善後,本辦公室已將個案歸檔。

註:
參考《個人資料保護法》第3,4,15條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116