國泰遲通報泄私隱 或被歐盟重罰39億

【星島日報報道】國泰及港龍航空的九百四十萬位客戶資料外泄，但事隔五月才向外公布。有資訊科技界人士指事件若牽涉歐洲公民，國泰或違反歐盟《一般資料保護規則》要求，在發現事件後七十二小時內通報，有機會被罰約三十九億港元。國泰高層昨向客戶表示歉意，並向受影響客戶提供一年免費個人資訊監測服務，再次解釋延遲公布事件，是希望更掌握情況，不想引起「不必要恐慌」。私隱專員黃繼兒批評國泰做法與市民期望有落差，將展開循規調查。

國泰航空今年三月發現系統異常，五月留意到有客戶資料外泄，但前晚才透過聯交所公布。香港資訊科技商會資訊保安召集人范健文稱，歐盟今年五月實施《一般數據保護條例》（GDPR），訂明若歐盟公民的資料外泄，涉事公司須在七十二小時內通報事件，否則會被罰款。范健文相信，是次事件必定牽涉歐盟公民，國泰或已違反GDPR。按例最高可罰公司去年全球總收入的百分之四，或二千萬歐羅（約一點八億港元），以價高者為準，若以國泰航空去年總收入九百七十二點八四億港元計，罰款或高達三十八點九億元。

國泰航空昨向受影響旅客發電郵表示，將為他們提供一年的免費個人資訊監測服務，可以在互聯網上公開的位置如網頁、討論區、網誌以至非公開的位置，都可監測相關的個人資料是否有被披露。使用有關服務屬自願性質，旅客亦可決定甚麼資料需交由有關服務監測，亦只會用於以上用途。此外，電郵亦提醒旅客最好不時更換帳戶密碼，以及查看有否可疑活動，亦要對詐騙行為時刻保持警覺。

國泰航空顧客及商務總裁盧家培昨在電台節目指，相信事件未令客戶造成金錢損失，強調國泰關心事件對乘客影響，感到抱歉之餘亦完全沒隱瞞；而國泰已堵塞保安漏洞，目前未有證據顯示三月後有其他入侵。盧家培表示，逾半外泄資料涉及姓名及電話號碼或電郵，其他外泄資料也不包括會員帳戶密碼；而涉及的四百三十張信用卡資料中，有九成三逾期，剩下的資料也不完備，因而相信事件未有令客戶造成金錢上的損失。

盧家培表示，多月後才發放訊息，是希望更掌握情況及避免造成「不必要的恐慌」。國泰行政總裁何杲昨亦錄製短片及向客戶發電郵致歉。國泰表示，已就事件通知個人資料私隱專員公署及報警。警方昨晚稱，已接獲案件，暫列為「有犯罪或不誠實意圖而取用電腦」，會交由網絡安全及科技罪案調查科跟進。

私隱專員黃繼兒表示，香港現時出現資料外泄事故通報只屬自願性質，即使國泰不通報，在本港法律上亦難指其違規。他說，公署會對保安程序作循規審查，又認為國泰做法在道德層面上導致顧客有期望落差，「在道德責任來說，一發覺有異常活動、有不妥，便應立即通知」。

目前違反個人私隱條例的罰則為，最高罰款五萬元與監禁兩年。執業大律師陸偉雄不認同要加強罰則，因為即使增加最高罰款額及監禁年期，法庭都不會判以最高刑罰，但了解法庭考慮多個因素的裁決。他建議，個人資料私隱專員公署應加強教育不同機構，甚麼情況下才須儲存資料以及保存多久後便應刪除。