個人資料私隱專員公署發表兩份調查報告，其中一份涉及網上拍賣平台Carousell的保安漏洞，導致260萬名全球用戶個人資料外洩，當中包括32萬名香港用戶的電郵地址、電話及出生日期等資料。公署認為，事故可以避免，對事件感到失望及遺憾。

事故源於去年1月系統遷移過程中出現保安漏洞，公司在同年9月才發現，隨後向公署通報事故，表示有網上論壇聲稱可出售用戶個人資料。公署發表調查報告指Carousell犯下多項缺失，並須為此負責，包括在啟動遷移系統前未核查有否進行私隱影響評估及全面安全評估，亦沒有查核相關應用程式介面推出前有否進行全面的編碼覆檢程序等。

公署裁定，Carousell違反保障資料原則有關個人資料保安的規定，已向Carousell送達執行通知要求糾正，要求在明年2月19日或之前採取一系列措施，包括訂定政策及程序，確保香港用戶數據安全，當引入重大系統前要先進行私隱影響評估及安全評估，並要求聘請獨立資料安全專家檢視網站及程式是否涉及其他保安漏洞。如果未能在限期前糾正，會構成刑事罪行。

私隱專員鍾麗玲認為，公司擁有廣泛國際業務及服務，有龐大活躍用戶數量，公眾對集團有合理期望，認為會確保資訊系統的穩健安全。她又認為，公司在多個月後才發現保安漏洞是不理想，後果可以很嚴重，個人資料在黑網披露，一旦落入不法分子手中，可以導致各種詐騙行為。

鍾麗玲提醒市民，在互聯網或社交媒體，不要隨便提供個人資料，要留意網頁的私隱設定；今次個案亦反映，即使私人帳戶的資料也可以被黑客擷取，不要以為私人帳戶便百分百安全，提醒私人帳戶也應只提供最基本資料。