国泰航空事隔5月才公布资料外泄 或被罚39亿港币
10月26日据香港报道,香港国泰及港龙航空的940万名客户资料外泄,但事隔5月才向外公布。有信息科技界人士称事件若牵涉欧洲公民,有可能被欧盟罚款约39亿元港币。国泰高层25日向客户表示歉意,并解释延迟公布事件,是希望掌握更多情况,不想引起“不必要恐慌”。
据报道,国泰航空2018年3月发现系统异常,5月留意到有客户数据外泄,但24日晚才通过香港联交所公布。香港信息科技商会信息保安召集人范健文称,欧盟2018年5月实施《一般数据保护条例》(GDPR),订明若欧盟公民的资料外泄,涉事公司需在72小时内通报事件,否则会被罚款。范健文认为,本次事件必定牵涉欧盟公民,国泰或已违反GDPR。按条例最高可罚公司去年全球总收入的4%,或2000万欧元(约1.8亿元港币),以价高者为准,若以国泰航空去年总收入972.84亿元港币计算,罚款或高达38.9亿元港币。
国泰航空25日向受影响旅客发电子邮件表示,将为他们提供1年的免费个人信息监测服务,可以在互联网上公开的位置如网页、讨论区、网志以至非公开的位置,都可监测相关的个人资料是否有被披露。使用有关服务属自愿性质,旅客可决定何种资料需交由有关服务监测,也只会用于以上用途。此外,电子邮件提醒旅客最好不时更换帐户密码,以及查看是否有可疑活动,并对诈骗行为时刻保持警觉。
国泰航空顾客及商务总裁卢家培25日称,相信事件没有令客户造成财产损失,强调国泰航空关心事件对乘客的影响,感到抱歉之余也完全没有隐瞒。而国泰航空已堵住保安漏洞,目前没有证据显示在3月后有其他入侵。卢家培表示,过半外泄数据涉及姓名及电话号码或电子邮件,其他外泄数据并不包括会员帐户密码,而涉及的430张信用卡资料中,有93%逾期,剩下的资料也不完备,因而相信事件没有令客户造成财产上的损失。
卢家培表示,多月后才发放讯息,是希望掌握更多情况及避免造成“不必要的恐慌”。国泰航空行政总裁何杲25日也录制短片及向客户发电子邮件致歉。国泰航空表示,已就事件通知个人资料私隐专员公署及报警。香港警方25日晚称,已接获案件,暂列为“有犯罪或不诚实意图而取用电脑”,会交由网络安全及科技罪案调查科跟进。
私隐专员黄继儿表示,香港现在出现资料外泄事故通报只属自愿性质,即使国泰航空不通报,在香港法律上也难指其违规。他称,公署会对保安程序作循规审查,并认为国泰航空的做法在道德层面上导致顾客有期望落差,“在道德责任来说,一发觉有异常活动、有不妥,便应立即通知”。