國泰洩940萬名乘客資料 隔7個月才公布:感抱歉、但完全無隱瞞
國泰航空爆私隱外洩災難,昨(24日)在聯交所發通告,指公司及其全資子公司港龍航空,大約940萬位乘客的資料曾被不當取覽,當中包括個人資料,如護照號碼、身份證號碼、信用卡號碼等。國泰透露今年3月已在其資訊系統發現可疑活動,5月初確認個人資料曾被外洩,但延至昨日才公布。
國泰顧客及商務總裁盧家培今(25日)在電台節目中指,在3月時「發現有些資料被摸過及處理過」,在不同系統之間「郁過」,5月時掌握到有被不當取覽,但認為事件敏感,無公布事件,是為了避免引起無謂恐慌,認為應花時間全面了解事件才公布,故延至昨天公布,他稱公司「感到抱歉,但完全無隱瞞。」
國泰顧客及商務總裁盧家培今天致電港台節目《千禧年代》時,指事件令不少乘客擔心,「先說抱歉」。他解釋,國泰在3月定期檢查伺服器時,發現部分資料有異動,「有些資料被摸過及處理過」,故作進一步調查,再發現有資料從不同系統之中「郁過」。
及至5月,國泰掌握到有乘客資料曾被不當取覽,惟他強調公司當時並無公布事件,是為了避免引起無謂恐慌,「當時只見端倪,我們了解事件的敏感性,要小心,不能倉卒,我們想先了解整件事的來龍去脈,以及每位客人有甚麼資料被非法瀏覽,讓客人知道自己受或不受影響。」他強調一開始時資料零碎,公司花了不少時間去重組事件,重申感到抱歉,「但完全無隱瞞。」
國泰:外洩資料為姓名加電郵或姓名加電話
盧家培又稱,在事件中大部分被不當取覽的資料,為姓名加電郵或姓名加電話,並非同時間洩漏大部分資料,而外洩資料中亦無密碼、亞洲萬里通飛行里數、馬可孛羅會籍帳戶等資料,他亦強調洩漏的信用卡資料中不含整套信用卡資料,形容是「無財務資料被動用」。被問到若有客戶的信用卡被非法轉帳,可否向國泰追討損失,他指現無證據顯示有信用卡被盜用,客戶如有需要可接觸國泰,國泰會酌情處理事件。
盧家培續指,公司同時在了解事件後,花了不少時間為配套做準備功夫,如現時為事件而增設的特設網站及專線電話,以供客戶查詢自己是否受事件影響,而受影響的客戶在今明兩天亦會收到個人化通知。他指國泰在知悉事件後已堵塞保安漏洞,及持續提升保安設施,現無證據顯示有其他入侵,國泰已於昨天通知個人資料私隱專員公署,及於昨晚報警。
私隱專員:在道德責任上國泰應3月公布
而個人資料私隱專員黃繼兒亦致電電台,指昨天才得悉事件,正與國泰接觸,希望把影響降至最低。他指現時本港對於資料外洩事故的通報機制屬自願性質,難以因國泰延遲7個月才公布去指責其違規,但他認為在道德責任上,國泰應在3月發覺有異常時就通報事件,共同尋求解決方法。
根據歐盟今年5月生效的《通用數據保障條例》(GDPR)規定,企業資料外洩事故,應在得悉事件後72小時內通報,被問到是否應該修改本港條例,黃繼兒就稱,公署現正進行檢視。