國泰泄資料 細節成因未交代 現無規定呈報 私隱專員：參考外地研加強規管

國泰泄資料細節成因未交代現無規定呈報私隱專員：參考外地研加強規管

[2018.10.26] 發表

【明報專訊】面對940萬名乘客資料外泄，國泰航空昨日以需時重組及不想製造「無謂恐慌」為由，解釋何以拖延近半年才公開事件。事件曝光逾一日，國泰承認部分資料被下載，但仍未公開交代受影響港人數目、涉及哪幾個國家、事件成因等，就連警方都未查出細節。建制及泛民立法會議員均對事件表示憤怒及譴責，有議員促召開緊急會議，要求國泰交代。有別於歐盟，本港無規定泄私隱機構呈報，私隱專員黃繼兒認為，道德責任上應即時通知，將參考外地考慮本地需否加強規管。

高層：不想製造無謂恐慌無隱瞞

國泰行政總裁何杲(杲粵音稿，Rupert Hogg)昨在網上短片致歉。國泰顧客及商務總裁盧家培早上則在港台《千禧年代》和商台《在晴朗的一天出發》稱，於3月日常檢查發現異常，有資料被「摸過」，「本來系統A的資料去了系統B，但並非正常運作時應發生」，5月見到事件有端倪，了解有資料被不當取覽，但立即堵塞保安漏洞後，未再有證據顯示系統被異常入侵。被追問為何拖延近半年才公布，盧家培稱外泄資料相當多且零碎，花了不少時間重組，包括每名乘客受影響的程度、哪些資料外泄等，不想「製造無謂恐慌」，強調「完全無隱瞞」。

另有5萬特區護照號碼外泄

未交代受影響乘客國籍分佈

國泰前晚公布，約86萬個護照號碼、24.5萬個香港身分證號碼、430張信用卡號碼曾被不當取覽。盧家培昨再透露有5萬個特區護照號碼外泄，但逾半受影響乘客是姓名及電話、或姓名及電郵外泄，又有證據顯示小部分資料曾被下載。

本報向國泰查詢受影響乘客所屬國家地區分佈、外泄資料主因等(見表)，國泰均未直接回應，只稱已通報警方及當局，現不宜揣測，對於受影響乘客的國籍分佈表示「恕未能提供進一步資料」。

據悉，國泰昨委派其資訊科技部門一名高層與警方會晤，惟未能交代受影響顧客光顧時段及分佈國家等詳情，稍後再安排較前線負責技術層面的員工向警方交代。國泰委託一資訊保安公司調查事件，之後或向警方提供資料。警方發言人稱昨接獲相關報案，案件暫列「有犯罪或不誠實意圖而取用電腦」，交由網絡安全及科技罪案調查科跟進，暫無人被捕。

有議員要求政府盡快檢討法例，加強保障市民私隱。私隱專員黃繼兒回覆本報稱，會留意環球私隱保障形勢，參考海外例如歐盟的監管機關最新規管，審慎考慮本地條例有否必要加強規管。他又稱，資料使用者須按條例規定，保障個人資料不會未經授權地使用，否則或違反資料保安原則，並須刪除已不再需要保留的個人資料。他另在《千禧年代》稱，國泰5月無公布，與顧客期望有落差，歐盟要求須在72小時內呈報，若按此標準，國泰做法難以接受，「在道德責任來說，一發覺有異常活動、有不妥，便應立即通知」。

歐盟GDPR 5月生效無追溯力

歐盟的《通用數據保障條例(GDPR)》5月25日生效，法政匯思召集人蔡騏稱，國泰稱3月首次發現可疑，由於條例沒有追溯力，除非條例生效後再有資料外泄，否則未能應用於今次事件。蔡又質疑，本港未有硬性要求外泄資料機構必須向私隱專員或受影響的人通報，若市民因資料外泄而受損失，只能循民事索償，「可能信用卡被偷，有損失的話就索償」。他稱本港《私隱條例》原領先亞洲，但由於未有適時更新，「連菲律賓都好過香港」。據菲律賓相關條例，當發現敏感的個人資料被非法取用，資料管理員應立即通報當局和受影響者。

■明報報料熱線﹕inews@mingpao.com / 9181 4676