2019年6月6日,香港个人资料隐私专员公署公布了2018年国泰航空约940万名乘客个人资料泄露事件的调查报告。私隐专员认为,国泰航空违反了《个人资料(私隐)条例》(《私隐条例》)下有关个人资料保安及资料保留的资料保障原则。私隐专员已向国泰航空送达执行通知,指示国泰航空纠正以及防止违规情况再发生。
根据调查结果显示,国泰航空违反了《私隐条例》附表1的保障资料第4(1)原则:“未能识辨某个广为人知及可被加以利用的保安漏洞,也未能识辨利用该漏洞的行为,同时没有采取合理地切实可行的步骤在建立伺服器时进行适当的部署”、“只为服务器每年进行一次漏洞扫描”、“未有对涉及存取资讯系统内个人资料的所有遥距使用者实施有效的多重身份认证”、“在没有采取有效的保安管控措施下,为了方便迁移数据中心而建立未经加密的数据库备份档案,因而导致受影响乘客的个人资料曝露予攻击者”。
私隐专员黄继儿认为,即使个人资料不像其他动产(例如钞票)或不动产般属有形的资产,也不足以免除企业没有妥善地保护资料及没有在达致有关目的而不再需要该资料时彻底销毁资料的责任。顾客(资料当事人)及监管机构希望企业能拥有一个完备、有效及可行、能适切企业的规模与需要、并可全面实施的私隐循规政策和计划,以落实法例要求。
随后,国泰航空发布公告称,正考虑是否公开回应香港个人资料私隐专员就2018年乘客资料泄露事件发表的报告。
国泰航空表示,公司已注意到香港个人资料私隐专员于2019年6月6日就2018年发生的资料事件发表的报告。公司现正与其顾问审慎考虑该报告,并将于考虑之后决定是否恰当就该报告作出任何详细的公开回应。
财经网了解到,2018年10月24日,国泰航空发布公告称在其信息保安检测过程中,发现包括约有940万乘客数据的若干信息系统曾被未获授权取阅。受到未获授权取阅的个人资料可能包括乘客姓名、国籍、出生日期、电话号码、电邮地址、地址、护照号码、身份证号码、飞行常客计划会员号码、顾客服务备注和以往的飞行记录数据。此外,有403张已逾期的信用卡号码曾被不当取阅。另有27张无安全码的信用卡号码曾被不当取阅。每位受影响的乘客被不当取阅的数据有所不同。就此国泰航空于10月25日向香港警方报案。
香港特区政府政制及内地事务局局长聂德权当时表示,特区政府高度关注这一事件,政府相关部门个人资料私隐专员公署已就事件展开多方面的调查。警方也就案件展开调查,并到国泰城等地取证。他表示,个人资料私隐专员公署将尽快完成调查,作出报告,以便决定下一步的行动。财经网了解到,私隐专员接到通报后于当年11月5日对事件展开调查,截至报告发布时,专员就该事件共接收到143宗投诉及176宗查询。
热门推荐
收起
24小时滚动播报最新的财经资讯和视频,更多粉丝福利扫描二维码关注(sinafinance)
