國泰航空近千萬乘客資料外洩 警方展開調查取證


2018.10.29
HK_CPA.jpg 香港國泰航空公司總部——國泰城外景。2018年10月29日,警方就國泰資料外洩事件到國泰城蒐證。 (國泰城臉書)

香港國泰及港龍航空公司940萬名乘客的個人資料外洩,公司拖了7個月才向外公布,惹來各界強烈指責。警方周一(29日)到國泰總公司蒐證;而個人資料私隱專員公署亦向國泰發出初步問卷,並會參考歐盟的《通用數據保障條例》,向政府作出修改私隱保障條例的建議。有英國律師事務所表示,可為受影響的國泰乘客安排集體訴訟。(李弘音 報道)

個人資料私隱專員黃繼兒出席電台節目時表示,公署至今已經收到24宗投訴和27宗查詢,會考慮協助受影響乘客索償。而在國泰公布資料外洩的翌日(25日),公署已向國泰發出初步問卷,要求10日時間內回覆並提供有關資料,如有需要公署會進行深入調查。根據現行的個人資料私隱條例,並無規定企業在個人資料外洩事故後必須作通報,而是自願性質,但亦應盡企業責任。

黃繼兒說:我們提醒一下機構要盡企業責任,因企業責任包括數據管治方式,要問責,除了循規合乎法規之外,還要將保障程度提高至問責,現時大氣候去到合乎道德要求。

香港資訊科技商會榮譽會長方保僑是受害人之一,他接受本台訪問時表示,國泰就事件提出補救方案,為受影響人士提供一年免費的監管服務,但需再次填寫相關個人資料。有人就質疑資料會遭二度外洩,所以方保僑就提議市民可以只填寫簡單的資料如電郵及信用卡號碼,因為如果資料不齊全,騙徒亦做不了甚麼。

方保僑說:如果大家覺得有懷疑,便可以設置一些較為簡單的,例如你可以設置電郵或是信用卡。因為這些資料,基本上例如電郵沒有密碼是沒有用的。信用卡資料沒有過期日子或保安碼也是沒有用的。不過大家要緊記,在登入網站登記時,不要用平時的密碼,用一些比較單一次的密碼。這樣便能防止若果這個網站又遭黑客入侵,會把密碼洩漏出去。

國泰今次的資料外洩風波嚴重,社會亦關注賠償的問題。上周有報道指國泰或觸犯了歐盟的《通用數據保障條例》,亦即GDPR,可能面臨數10億元的罰款。不過關注歐盟的歐洲議會就指出,GDPR不能應用於條例生效前的資料外泄情況,所以國泰將不會因該條例而受罰。

不過,一間英國律師事務所SPG Law在其官網中發公告指,可代乘客於海外向國泰作集體訴訟,預料每人最高賠償可達1500英鎊,折合約15,099港元。SPG Law又表明根據協議,有關訴訟將採用「不成功、不收費」模式,若勝訴才需支付法律費用。

法政匯思召集人蔡騏則指出,《通用數據保障條例》5月才生效,所以今次事件不受GDPR保障。而且由於跨境申索成本高,他認為受影響港人可向國泰提出民事索償,不過,他指出現時雖然有私隱專員公署監管,但專員的權利十分有限,私隱條例亦非常落後。

蔡騏說:我認為現時條例非常落後,很多地方需要更新,特別是某些地方需要和國際社會接軌。特別是我們剛才說到的通報機關,以及其他保障市民的條例。例如敏感資料的保障香港都是沒有的,但其他國家已經有,這是法例本身的不足。第二就是,現在對比世界各地,我們的私隱專員權力是較為低的,應該有更大的權力提升。

國泰航空企業事務部以電郵回覆本台查詢時指,他們已就事件通知香港警察及私隱專員公署,並會全力配合有關當局就此事件的跟進工作。而其餘事項如賠償問題暫不置評。

新增評論

請將評論填寫在如下表格中。 評論必須符合自由亞洲電台的 《使用條款》並經管理員通過後方能顯示。因此,評論將不會在您提交後即時出現。自由亞洲電台對網友評論的內容不負任何責任。敬請各位尊重他人觀點並嚴守事實。