【明報專訊】面對940萬名乘客資料外泄,國泰航空昨日以需時重組及不想製造「無謂恐慌」為由,解釋何以拖延近半年才公開事件。事件曝光逾一日,國泰承認部分資料被下載,但仍未公開交代受影響港人數目、涉及哪幾個國家、事件成因等,就連警方都未查出細節。建制及泛民立法會議員均對事件表示憤怒及譴責,有議員促召開緊急會議,要求國泰交代。有別於歐盟,本港無規定泄私隱機構呈報,私隱專員黃繼兒認為,道德責任上應即時通知,將參考外地考慮本地需否加強規管。
高層:不想製造無謂恐慌 無隱瞞
國泰行政總裁何杲(杲粵音稿,Rupert Hogg)昨在網上短片致歉。國泰顧客及商務總裁盧家培早上則在港台《千禧年代》和商台《在晴朗的一天出發》稱,於3月日常檢查發現異常,有資料被「摸過」,「本來系統A的資料去了系統B,但並非正常運作時應發生」,5月見到事件有端倪,了解有資料被不當取覽,但立即堵塞保安漏洞後,未再有證據顯示系統被異常入侵。被追問為何拖延近半年才公布,盧家培稱外泄資料相當多且零碎,花了不少時間重組,包括每名乘客受影響的程度、哪些資料外泄等,不想「製造無謂恐慌」,強調「完全無隱瞞」。
另有5萬特區護照號碼外泄
未交代受影響乘客國籍分佈
國泰前晚公布,約86萬個護照號碼、24.5萬個香港身分證號碼、430張信用卡號碼曾被不當取覽。盧家培昨再透露有5萬個特區護照號碼外泄,但逾半受影響乘客是姓名及電話、或姓名及電郵外泄,又有證據顯示小部分資料曾被下載。
本報向國泰查詢受影響乘客所屬國家地區分佈、外泄資料主因等(見表),國泰均未直接回應,只稱已通報警方及當局,現不宜揣測,對於受影響乘客的國籍分佈表示「恕未能提供進一步資料」。
據悉,國泰昨委派其資訊科技部門一名高層與警方會晤,惟未能交代受影響顧客光顧時段及分佈國家等詳情,稍後再安排較前線負責技術層面的員工向警方交代。國泰委託一資訊保安公司調查事件,之後或向警方提供資料。警方發言人稱昨接獲相關報案,案件暫列「有犯罪或不誠實意圖而取用電腦」,交由網絡安全及科技罪案調查科跟進,暫無人被捕。
有議員要求政府盡快檢討法例,加強保障市民私隱。私隱專員黃繼兒回覆本報稱,會留意環球私隱保障形勢,參考海外例如歐盟的監管機關最新規管,審慎考慮本地條例有否必要加強規管。他又稱,資料使用者須按條例規定,保障個人資料不會未經授權地使用,否則或違反資料保安原則,並須刪除已不再需要保留的個人資料。他另在《千禧年代》稱,國泰5月無公布,與顧客期望有落差,歐盟要求須在72小時內呈報,若按此標準,國泰做法難以接受,「在道德責任來說,一發覺有異常活動、有不妥,便應立即通知」。
歐盟GDPR 5月生效 無追溯力
歐盟的《通用數據保障條例(GDPR)》5月25日生效,法政匯思召集人蔡騏稱,國泰稱3月首次發現可疑,由於條例沒有追溯力,除非條例生效後再有資料外泄,否則未能應用於今次事件。蔡又質疑,本港未有硬性要求外泄資料機構必須向私隱專員或受影響的人通報,若市民因資料外泄而受損失,只能循民事索償,「可能信用卡被偷,有損失的話就索償」。他稱本港《私隱條例》原領先亞洲,但由於未有適時更新,「連菲律賓都好過香港」。據菲律賓相關條例,當發現敏感的個人資料被非法取用,資料管理員應立即通報當局和受影響者。
■明報報料熱線﹕inews@mingpao.com / 9181 4676