国泰延迟通报资料外泄　香港“无牙”规管应修例

国泰航空约940万位乘客资料外泄，当中包括护照号码、身份证号码等，性质严重。更重要的是，国泰最早于今年3月发现有异，却延至周三（10月24日）晚才公布消息，相隔足足7个月，做法难以接受。
今次事件充分反映香港私隐条例落后，未能规管企业的通报责任，政府及立法会有必要跟进修订。

电子资料遭黑客入侵，企业固然不可能保证绝对不会发生，但事发后如何应对，却是企业责任所在。国泰周三晚的公告声称，3月“首次在其系统发现可疑活动”，言词含糊，“可疑活动”不明所指。其顾客及商务总裁卢家培翌日接受电台访问，在多番追问下才交代，3月发现资料不正常地被转移到其他系统。

提高警觉绝非恐慌

退一步说，即使接受国泰所言，3月仍未肯定事件性质，但5月初其“确认个人资料曾被未获授权取览”，即已肯定资料外泄。延至10月才公布消息，国泰的解释是需时全面了解，并避免引起“无谓恐慌”。两个原因，只怕都难以成理。

首先，要掌握多少资讯才算“全面”？5月既已确认资料外泄，这个资讯已非常足够让社会提高警觉。再者，通报的作用正是令大众加紧保护个人资料，但国泰却说成是一种“恐慌”，只怕本末倒置，以企业利益本位思考。

现行条例没有通报责任

更遗憾的是，香港目前没有法例规定企业的通报责任。《个人资料(私隐)条例》主要规管收集个人资料、直销等行为，未能对应近年屡见不鲜的黑客攻击。私隐专员黄继儿在电台访问中坦言，国泰没有通报的法律责任，大众只能怪它未符道德要求。

政府及立法会早应主动讨论修例，令《个人资料(私隐)条例》与时并进。目前资料外泄，只得黑客有刑事责任，可谓投诉无门。如国泰等大企业掌握庞大用户资料，身份证号码、电话、电邮等资料具商业价值，有被盗取的风险，这些企业理应承担保护资料的法律责任，包括通报监管机构及受影响客户。

借镜彼邦，欧盟两年前通过《通用数据保障条例》（GDPR），今年5月正式生效，明确将保护资料的责任放在企业身上。条例规定，若有资料外泄，资料保管者要尽可能于72小时内通知欧洲监管机构；涉敏感资料的话，更须通知当事人。只要国泰的940万乘客中有欧盟公民，便亦须受条例约束。由是观之，国泰延迟五个月才公布消息，相当大可能已经违规，或要面临欧盟惩罚。

文明规管可令商界受惠

除了通报机制之外，香港更应考虑是否效法欧盟，限制资料收集及使用。GDPR的做法包括禁止未经许可下分拆资料给第三方、资料当事人可反对被汇编（profiling）个人资料等。

固然，私隐条例愈严格，企业的掣肘愈多，或许不利营商，但私隐保护和营商环境，并非必然对立。相反，如果政府没有适当介入，只会令个人资料沦为没有底线的战场。正如苹果公司总裁库克（Tim Cook）周三在布鲁塞尔的国际会议上，明言希望美国政府收紧规管，跟上欧盟GDPR的标准。库克作为商界代表，主动欢迎政府规管，显然他也看得出个人资料已经被当成赤裸裸的生财工具，争夺战发展下去，对营商亦非好事。

今次国泰资料外泄，而社会只能望而兴叹，足见缺乏明文规定，只会让企业有借口逃避责任。政府及立法会应认清科网世代的私隐需要，尽快修订个人资料条例，将法律责任加诸在资料保管者身上，避免同类事情再发生。