【國泰洩私隱】私隱專員裁定違私隱條例 狠批過分鬆懈、警覺性低
國泰航空於去年3月發生客戶資料私隱外洩事件,940萬名乘客資訊被「不當取覽」,當中包括乘客護照號碼、身份證號碼、信用卡號碼等個人資料,惟國泰未有即時主動向外公布,直至七個月後才在聯交所發公告「自爆」,但罕有不以新聞稿形式公布。政府研設強制通報機制。
個人資料私隱專員黃繼兒今日(6日)就事件發表調查報告,指出國泰違反《個人資料(私隱)條例》下有關個人資料保安及資料保留的資料保障原則,狠批國泰過分鬆懈、令乘客個人資料曝露予攻擊者、警覺性低、保留身份證號太長時間、對數據管治掉以輕心,一共「五宗罪」。私隱專員已向國泰傳送執行通知,促防止類似情況再發生。
每年掃描伺服器一次 保留身份證號碼太耐
根據私隱專員公署發表的調查報告,國泰於漏洞管理、技術保安措施及資料管治方面,並沒有採取合理及切實可行的步驟,以保障受影響乘客的個人資料免受未獲授權的取覽或查閱,因此違反《私隱條例》的保障資料下的原則。
當中指出,國泰每年僅為伺服器進行一次漏洞掃描,公署批評為「流於表面及過分鬆懈」;另外國泰未有對涉及存取資訊系統內個人資料的所有遙距使用者實施有效的多重身份認證,並建立未經加密的數據庫備份檔案,令乘客的個人資料曝露予攻擊者。報告又批評國泰的警覺性低,於2017年發生保安事故後,未有採取行動降低被入侵的風險;同時國泰未有確保受影響乘客的香港身份證號碼的保留時間不超過達致已廢除的核實身份目的。
要求銷毀亞洲萬里通計劃收集的身份證號碼
不過,由於現時《私隱條例》沒有規定資料使用者須向私隱專員及資料當事人通報資料外洩事故,故認為國泰於通報方面沒有違反條例的規定。
私隱專員表示已向國泰送達執行通知,要求聘請獨立的資料保安專家檢修載有個人資料的系統、為遙距使用者實施有效的多重身份認證、定期於伺服器作漏洞掃描、制定清晰的資料保留政策,並從所有系統徹底銷毀亞洲萬里通會員計劃所收集的香港身份證號碼,因為此資料並不需要。
私隱專員黃繼兒稱,國泰除了違規之外,在數據管治上明顯地掉以輕心,未能達到受影響乘客和監管機構的期望。
政府研究設立強制性資料外洩通報機制
政制及內地事務局發言人亦表示,得悉個人資料私隱專員公署向國泰提出一系列的執行指令,政府敦促國泰依從指令,並採取即時的補救措施。政府亦會在研究修訂《個人資料(私隱)條例》時,考慮設立強制性個人資料外洩通報機制;將會與公署緊密合作,並在建議修訂的過程中諮詢包括立法會在內的相關持份者。
私隱專員報告未必有助乘客索償
早前曾有受影響乘客欲向國泰索償,不過律師黃國桐表示,就算證實國泰違反私隱條例,惟乘客仍需要證明自己有實際損失,如資料遭盜用導致金錢損失等,才較大機會可獲賠償。他強調法律上不存在精神上損失,始終需要向法庭提供相關證明,「唔係口講話有就有。」