國泰延遲通報資料外洩 香港「無牙」規管應修例

撰文:評論編輯室
出版:更新:

國泰航空約940萬位乘客資料外洩,當中包括護照號碼、身份證號碼等,性質嚴重。更重要的是,國泰最早於今年3月發現有異,卻延至周三(10月24日)晚才公布消息,相隔足足7個月,做法難以接受。
今次事件充分反映香港私隱條例落後,未能規管企業的通報責任,政府及立法會有必要跟進修訂。

國泰及港龍航空940萬名乘客資料外洩,參考2017年載客3480萬人次,數目非小。(資料圖片)

電子資料遭黑客入侵,企業固然不可能保證絕對不會發生,但事發後如何應對,卻是企業責任所在。國泰周三晚的公告聲稱,3月「首次在其系統發現可疑活動」,言詞含糊,「可疑活動」不明所指。其顧客及商務總裁盧家培翌日接受電台訪問,在多番追問下才交代,3月發現資料不正常地被轉移到其他系統。

提高警覺絕非恐慌

退一步說,即使接受國泰所言,3月仍未肯定事件性質,但5月初其「確認個人資料曾被未獲授權取覽」,即已肯定資料外洩。延至10月才公布消息,國泰的解釋是需時全面了解,並避免引起「無謂恐慌」。兩個原因,只怕都難以成理。

首先,要掌握多少資訊才算「全面」?5月既已確認資料外洩,這個資訊已非常足夠讓社會提高警覺。再者,通報的作用正是令大眾加緊保護個人資料,但國泰卻說成是一種「恐慌」,只怕本末倒置,以企業利益本位思考。

國泰顧客及商務總裁盧家培10月25日在電台訪問被多番追問,指出3月發現乘客資料被不正常轉移到其他系統。(資料圖片)

現行條例沒有通報責任

更遺憾的是,香港目前沒有法例規定企業的通報責任。《個人資料(私隱)條例》主要規管收集個人資料、直銷等行為,未能對應近年屢見不鮮的黑客攻擊。私隱專員黃繼兒在電台訪問中坦言,國泰沒有通報的法律責任,大眾只能怪它未符道德要求。

政府及立法會早應主動討論修例,令《個人資料(私隱)條例》與時並進。目前資料外洩,只得黑客有刑事責任,可謂投訴無門。如國泰等大企業掌握龐大用戶資料,身份證號碼、電話、電郵等資料具商業價值,有被盜取的風險,這些企業理應承擔保護資料的法律責任,包括通報監管機構及受影響客戶。

借鏡彼邦,歐盟兩年前通過《通用數據保障條例》(GDPR),今年5月正式生效,明確將保護資料的責任放在企業身上。條例規定,若有資料外洩,資料保管者要盡可能於72小時內通知歐洲監管機構;涉敏感資料的話,更須通知當事人。只要國泰的940萬乘客中有歐盟公民,便亦須受條例約束。由是觀之,國泰延遲五個月才公布消息,相當大可能已經違規,或要面臨歐盟懲罰。

國泰航空10月24日晚公布資料外洩,個人資料私隱公署隨即發聲明表示,會主動聯絡了解事件。圖為個人資料私隱專員黃繼兒。(資料圖片)

文明規管可令商界受惠

除了通報機制之外,香港更應考慮是否效法歐盟,限制資料收集及使用。GDPR的做法包括禁止未經許可下分拆資料給第三方、資料當事人可反對被彙編(profiling)個人資料等。

固然,私隱條例愈嚴格,企業的掣肘愈多,或許不利營商,但私隱保護和營商環境,並非必然對立。相反,如果政府沒有適當介入,只會令個人資料淪為沒有底線的戰場。正如蘋果公司總裁庫克(Tim Cook)周三在布魯塞爾的國際會議上,明言希望美國政府收緊規管,跟上歐盟GDPR的標準。庫克作為商界代表,主動歡迎政府規管,顯然他也看得出個人資料已經被當成赤裸裸的生財工具,爭奪戰發展下去,對營商亦非好事。

今次國泰資料外洩,而社會只能望而興嘆,足見缺乏明文規定,只會讓企業有藉口逃避責任。政府及立法會應認清科網世代的私隱需要,盡快修訂個人資料條例,將法律責任加諸在資料保管者身上,避免同類事情再發生。