國泰航空及其子公司港龍航空全球約九百四十萬客戶資料外泄,包括姓名、電話號碼、地址、護照號碼及身分證號碼等。國泰航空於上周中公布事件並向受影響乘客作出電郵通知,但原來國泰早於今年三月便已首次發現有關可疑活動,卻一直未有公開,拖延逾半年多,最終引起全球關注。
根據國泰向受影響客戶發出的電郵通知,國泰是「在持續進行的資訊保安檢測過程期間,發現部分乘客資料曾被未獲授權的取覽。」但同時國泰「於二○一八年三月首次在系統中發現可疑活動。」國泰雖宣稱在發現事件後,已採取行動阻止事態發展,但卻在上周才正式曝光事件,加上全球受影響乘客數量高達九百四十多萬,難免引起公眾不滿和恐慌情緒。
國泰應從速交代事件
國泰雖於上周向公眾披露事件,但事件仍有許多耐人尋味之處,公眾仍被蒙在鼓裏,國泰作為當事人,應進一步向公眾披露詳情,挽回公眾信心。首先,國泰並沒有在聲明中表明事件起因到底是由於受到黑客入侵,抑或內部人為疏忽或違反職業操守導致乘客資料外泄。同時,國泰本身亦應主動配合警方及私隱專員公署作出調查和跟進,並對國泰內部就資料處理程序作出檢討。
網上個人資料大多涉及個人電話、銀行卡號碼等私隱,今次資料外泄涉及身分證號碼等敏感資訊,若流入不法之徒手中,估計會導致更多「釣魚」電話,包括冒充其他公司,通過個人資料騙取市民信任,藉此訛詐市民財產,若有市民不慎墮入騙局,後果嚴重。
由於是次資料外泄數字之大史無前例,國泰作為國際性的服務機構,必須採取主動,向顧客提供不同程度的補償。現時國泰為大家提供的是能在一年內免費監察自己的個人資料是否於網站、聊天室或暗網上遭到外泄的「一年免費身分監察服務」。但現在的問題是信心問題,顧客又如何確保再次提交的資料不會被盜用?因此,這種援助並不足夠。今次茲事體大,香港政府實應積極介入,慎防其他類似機構及政府部門資料日後被非法盜用,甚至進行犯法行為。
制訂機制 私隱公署跟進
政府應採取積極主動,檢討現行法例,及對外交涉,如讓海外機構配合調查。今次事件帶出目前本港私隱條例過時的問題,現有法例並無硬性規定受規管機構在發生資料外泄時必須向私隱專員公署申報,亦無明文規定受影響人士及機構進行通報的時限,政府應制訂一套完善及合理的通報機制,讓受規管機構與個人資料私隱專員公署時刻保持良好溝通及通報機制,並設立相應機制及指引,明文規定受影響機構在資料外泄後七十二小時內向私隱專員公署及有關部門作出申報,以及通知資料人,方能走出改革的第一步。
(刊於星島)