【国泰泄私隐】私隐专员裁定违私隐条例　狠批过分松懈、警觉性低

国泰航空于去年3月发生客户资料私隐外泄事件，940万名乘客资讯被“不当取览”，当中包括乘客护照号码、身份证号码、信用卡号码等个人资料，惟国泰未有即时主动向外公布，直至七个月后才在联交所发公告“自爆”，但罕有不以新闻稿形式公布。政府研设强制通报机制。
个人资料私隐专员黄继儿今日（6日）就事件发表调查报告，指出国泰违反《个人资料（私隐）条例》下有关个人资料保安及资料保留的资料保障原则，狠批国泰过分松懈、令乘客个人资料曝露予攻击者、警觉性低、保留身份证号太长时间、对数据管治掉以轻心，一共“五宗罪”。私隐专员已向国泰传送执行通知，促防止类似情况再发生。

每年扫描伺服器一次　保留身份证号码太耐

根据私隐专员公署发表的调查报告，国泰于漏洞管理、技术保安措施及资料管治方面，并没有采取合理及切实可行的步骤，以保障受影响乘客的个人资料免受未获授权的取览或查阅，因此违反《私隐条例》的保障资料下的原则。

当中指出，国泰每年仅为伺服器进行一次漏洞扫描，公署批评为“流于表面及过分松懈”；另外国泰未有对涉及存取资讯系统内个人资料的所有遥距使用者实施有效的多重身份认证，并建立未经加密的数据库备份档案，令乘客的个人资料曝露予攻击者。报告又批评国泰的警觉性低，于2017年发生保安事故后，未有采取行动降低被入侵的风险；同时国泰未有确保受影响乘客的香港身份证号码的保留时间不超过达致已废除的核实身份目的。

要求销毁亚洲万里通计划收集的身份证号码

不过，由于现时《私隐条例》没有规定资料使用者须向私隐专员及资料当事人通报资料外泄事故，故认为国泰于通报方面没有违反条例的规定。

私隐专员表示已向国泰送达执行通知，要求聘请独立的资料保安专家检修载有个人资料的系统、为遥距使用者实施有效的多重身份认证、定期于伺服器作漏洞扫描、制定清晰的资料保留政策，并从所有系统彻底销毁亚洲万里通会员计划所收集的香港身份证号码，因为此资料并不需要。

私隐专员黄继儿称，国泰除了违规之外，在数据管治上明显地掉以轻心，未能达到受影响乘客和监管机构的期望。

政府研究设立强制性资料外泄通报机制

政制及内地事务局发言人亦表示，得悉个人资料私隐专员公署向国泰提出一系列的执行指令，政府敦促国泰依从指令，并采取即时的补救措施。政府亦会在研究修订《个人资料（私隐）条例》时，考虑设立强制性个人资料外泄通报机制；将会与公署紧密合作，并在建议修订的过程中咨询包括立法会在内的相关持份者。

私隐专员报告未必有助乘客索偿

早前曾有受影响乘客欲向国泰索偿，不过律师黄国桐表示，就算证实国泰违反私隐条例，惟乘客仍需要证明自己有实际损失，如资料遭盗用导致金钱损失等，才较大机会可获赔偿。他强调法律上不存在精神上损失，始终需要向法庭提供相关证明，“唔系口讲话有就有。”