国泰泄940万名乘客资料　隔7个月才公布：感抱歉、但完全无隐瞒

国泰航空爆私隐外泄灾难，昨（24日）在联交所发通告，指公司及其全资子公司港龙航空，大约940万位乘客的资料曾被不当取览，当中包括个人资料，如护照号码、身份证号码、信用卡号码等。国泰透露今年3月已在其资讯系统发现可疑活动，5月初确认个人资料曾被外泄，但延至昨日才公布。
国泰顾客及商务总裁卢家培今(25日)在电台节目中指，在3月时“发现有些资料被摸过及处理过”，在不同系统之间“郁过”，5月时掌握到有被不当取览，但认为事件敏感，无公布事件，是为了避免引起无谓恐慌，认为应花时间全面了解事件才公布，故延至昨天公布，他称公司“感到抱歉，但完全无隐瞒。”

国泰顾客及商务总裁卢家培今天致电港台节目《千禧年代》时，指事件令不少乘客担心，“先说抱歉”。他解释，国泰在3月定期检查伺服器时，发现部分资料有异动，“有些资料被摸过及处理过”，故作进一步调查，再发现有资料从不同系统之中“郁过”。

及至5月，国泰掌握到有乘客资料曾被不当取览，惟他强调公司当时并无公布事件，是为了避免引起无谓恐慌，“当时只见端倪，我们了解事件的敏感性，要小心，不能仓卒，我们想先了解整件事的来龙去脉，以及每位客人有甚么资料被非法浏览，让客人知道自己受或不受影响。”他强调一开始时资料零碎，公司花了不少时间去重组事件，重申感到抱歉，“但完全无隐瞒。”

国泰：外泄资料为姓名加电邮或姓名加电话

卢家培又称，在事件中大部分被不当取览的资料，为姓名加电邮或姓名加电话，并非同时间泄漏大部分资料，而外泄资料中亦无密码、亚洲万里通飞行里数、马可孛罗会籍帐户等资料，他亦强调泄漏的信用卡资料中不含整套信用卡资料，形容是“无财务资料被动用”。被问到若有客户的信用卡被非法转帐，可否向国泰追讨损失，他指现无证据显示有信用卡被盗用，客户如有需要可接触国泰，国泰会酌情处理事件。

卢家培续指，公司同时在了解事件后，花了不少时间为配套做准备功夫，如现时为事件而增设的特设网站及专线电话，以供客户查询自己是否受事件影响，而受影响的客户在今明两天亦会收到个人化通知。他指国泰在知悉事件后已堵塞保安漏洞，及持续提升保安设施，现无证据显示有其他入侵，国泰已于昨天通知个人资料私隐专员公署，及于昨晚报警。

私隐专员：在道德责任上国泰应​3月公布

而个人资料私隐专员黄继儿亦致电电台，指昨天才得悉事件，正与国泰接触，希望把影响降至最低。他指现时本港对于资料外泄事故的通报机制属自愿性质，难以因国泰延迟7个月才公布去指责其违规，但他认为在道德责任上，国泰应在3月发觉有异常时就通报事件，共同寻求解决方法。

根据欧盟今年5月生效的《通用数据保障条例》(GDPR)规定，企业资料外泄事故，应在得悉事件后72小时内通报，被问到是否应该修改本港条例，黄继儿就称，公署现正进行检视。