國泰遲通報泄私隱 或被歐盟重罰39億

國泰及港龍乘客資料外泄事件,若被歐盟裁定違反私隱新例,國泰面臨最高約三十九億元罰款。

【星島日報報道】國泰及港龍航空的九百四十萬位客戶資料外泄,但事隔五月才向外公布。有資訊科技界人士指事件若牽涉歐洲公民,國泰或違反歐盟《一般資料保護規則》要求,在發現事件後七十二小時內通報,有機會被罰約三十九億港元。國泰高層昨向客戶表示歉意,並向受影響客戶提供一年免費個人資訊監測服務,再次解釋延遲公布事件,是希望更掌握情況,不想引起「不必要恐慌」。私隱專員黃繼兒批評國泰做法與市民期望有落差,將展開循規調查。 國泰航空今年三月發現系統異常,五月留意到有客戶資料外泄,但前晚才透過聯交所公布。香港資訊科技商會資訊保安召集人范健文稱,歐盟今年五月實施《一般數據保護條例》(GDPR),訂明若歐盟公民的資料外泄,涉事公司須在七十二小時內通報事件,否則會被罰款。范健文相信,是次事件必定牽涉歐盟公民,國泰或已違反GDPR。按例最高可罰公司去年全球總收入的百分之四,或二千萬歐羅(約一點八億港元),以價高者為準,若以國泰航空去年總收入九百七十二點八四億港元計,罰款或高達三十八點九億元。 國泰航空昨向受影響旅客發電郵表示,將為他們提供一年的免費個人資訊監測服務,可以在互聯網上公開的位置如網頁、討論區、網誌以至非公開的位置,都可監測相關的個人資料是否有被披露。使用有關服務屬自願性質,旅客亦可決定甚麼資料需交由有關服務監測,亦只會用於以上用途。此外,電郵亦提醒旅客最好不時更換帳戶密碼,以及查看有否可疑活動,亦要對詐騙行為時刻保持警覺。 國泰航空顧客及商務總裁盧家培昨在電台節目指,相信事件未令客戶造成金錢損失,強調國泰關心事件對乘客影響,感到抱歉之餘亦完全沒隱瞞;而國泰已堵塞保安漏洞,目前未有證據顯示三月後有其他入侵。盧家培表示,逾半外泄資料涉及姓名及電話號碼或電郵,其他外泄資料也不包括會員帳戶密碼;而涉及的四百三十張信用卡資料中,有九成三逾期,剩下的資料也不完備,因而相信事件未有令客戶造成金錢上的損失。 盧家培表示,多月後才發放訊息,是希望更掌握情況及避免造成「不必要的恐慌」。國泰行政總裁何杲昨亦錄製短片及向客戶發電郵致歉。國泰表示,已就事件通知個人資料私隱專員公署及報警。警方昨晚稱,已接獲案件,暫列為「有犯罪或不誠實意圖而取用電腦」,會交由網絡安全及科技罪案調查科跟進。 私隱專員黃繼兒表示,香港現時出現資料外泄事故通報只屬自願性質,即使國泰不通報,在本港法律上亦難指其違規。他說,公署會對保安程序作循規審查,又認為國泰做法在道德層面上導致顧客有期望落差,「在道德責任來說,一發覺有異常活動、有不妥,便應立即通知」。 目前違反個人私隱條例的罰則為,最高罰款五萬元與監禁兩年。執業大律師陸偉雄不認同要加強罰則,因為即使增加最高罰款額及監禁年期,法庭都不會判以最高刑罰,但了解法庭考慮多個因素的裁決。他建議,個人資料私隱專員公署應加強教育不同機構,甚麼情況下才須儲存資料以及保存多久後便應刪除。

睇更多