【明報專訊】國泰航空泄940萬客資料曝光逾兩日，仍留下不少謎團。政府昨罕有表示高度關注事件，要求國泰充分配合私隱專員公署審查，並考慮如何加強規管資料保護和個人資料外泄的通報安排。本報翻查2007年底公署向政府提交的逾50項修例建議，公署當時提出外泄資料事件須強制通報、違反保障資料原則須罰款等，但政府在2012年修例前表態不接納建議。有律師認為，若當年政府全面採納公署建議，將令本港企業保護個人資料更謹慎。

國泰未回應七大謎團

本報昨連續第二日向國泰查詢保留客戶資料的機制、受影響乘客的國家分佈、資料外泄原因等七大謎團，仍未獲具體回應；國泰只重申已通知警方及有關當局。據悉，警方網絡安全及科技罪案調查科人員正跟進案件，並派員聯絡國泰了解。

政制及內地事務局昨罕有發稿表明政府高度關注事件，要求國泰充分配合私隱專員公署審查，冀公署盡快完成審查和報告，讓國泰遵循。政府會聯同公署檢視《私隱條例》的相關規定和罰則，考慮如何加強規管資料保護和個人資料外泄的通報安排。

昔憂通報標準欠清晰 另拒予專員罰款權

本港《私隱條例》於1996年生效，在2012年修例前，公署於2006年設工作小組檢討條例，2007年底向政制及內地事務局呈交56項修例建議，包括強制資料使用者在個人資料外泄時通知私隱專員和受影響者，讓受影響者防範資料被濫用，惟諮詢後，政府建議推行自願通報機制，擔心通報標準未夠清晰客觀，對資料使用者亦造成沉重負擔。另一項未被政府採納的建議是賦予私隱專員權力，對嚴重違反保障資料原則的人罰款。政府認為，執法和處罰職能一併由單一機構進行，並不可取。

法政匯思召集人蔡騏認為，公署當年的建議未獲全面採納，以致近年選管會電腦失竊等資料外泄事件不了了之。他認為強制通報、釐清罰則等均是好建議，亦應跟進處理跨境資料外泄。

歐盟《通用數據保障條例(GDPR)》於5月25日生效，坊間關注國泰會否因而被罰數十億元。歐盟的歐洲議會新聞發言人回覆本報稱，GDPR不能應用於條例生效前的資料外泄情�G。這意味國泰或毋須受罰。

立會擬下月特別會議 邀國泰出席

立法會政制事務委員會主席張國鈞昨稱，料聯同保安事務委員會和資訊科技及廣播事務委員會11月中召開特別會議，他已透過秘書處邀請政制及內地事務局長聶德權、私隱專員黃繼兒和國泰代表出席。民建聯議員蔣麗芸亦尋求立法會內務委員會同意，於下周三立法會提出相關急切質詢。

本報綜合10多個受影響個案，部分人經由國泰官網訂機票，有人外泄身分證和護照號碼等9項資料，亦有人超過10年未曾乘坐國泰，質疑國泰有否刪除舊客資料(見另稿)。私隱專員黃繼兒回覆稱，條例無指明資料使用者保留個人資料的期限，機構應按其業務實際所需、收集個人資料的原來目的，以及為符合其他法定要求或公眾利益而決定保存期限。

消委總幹事中招 會方促國泰盡責交代

另外，私隱專員公署至昨午4時接獲24宗相關投訴及27宗查詢。本報昨向各問責官員查詢有否外泄資料，3司及13局都以私隱為由沒說明，特首辦則沒回應。消委會總幹事黃鳳嫻昨稱其姓名及電話號碼可能外泄，該會對事件表示高度關注，指國泰須盡其責任，事後即向政府通報，目前處理手法不理想，促國泰詳細向受影響客戶交代。

■明報報料熱線﹕inews@mingpao.com/ 9181 4676