洩私隱瞞足7個月 國泰狡辯:免惹恐慌 面臨歐盟罰款39億
引用:
國泰爆出歷來最災難性洩露客戶私隱醜聞,今年3月發現資料系統有可疑活動,5月初確認有資料被盜,卻延報7個月,至前晚才公佈,全城譁然。國泰否認隱瞞,稱至今才公佈是因需時了解並調查事件,以免製造無謂恐慌。國泰行政總裁何杲拍攝短片就事件兩度向客戶致歉。有法律界人士指,今次事件或已觸犯歐盟《通用數據保障條例》,國泰或要面臨被重罰39億港元,相當於國泰現時市值的一成。
被洩漏的940萬位國泰及港龍乘客資料,包括姓名、國籍、出生日期、電話號碼、電郵、地址、護照號碼、身份證號碼、亞洲萬里通會員號碼、旅行紀錄等,其中涉及護照號碼86萬個、香港身份證號碼24.5萬個。
國泰航空顧客及商務總裁盧家培昨接受電台訪問時稱,國泰今年3月在網絡日常保安檢查發現資料出現問題,經調查後,5月證實有乘客資料被不當取覽。他解釋當時只看到事件端倪,故未有即時通報,「我哋採取嘅辦法係唔好倉卒,以免製造無謂恐慌」。他就事件令不少乘客擔心致歉,「感到抱歉,但完全冇隱瞞」。
仍未向警交代詳情及原因
盧指受影響客戶會收到個人化通知,強調無亞洲萬里通和馬可勃羅會員密碼受影響;而430張洩漏的信用卡資料中,403張已過期,餘下27張無整套完整資料,故無財務資料被盜用。國泰已向警方及相關當局報案。
國泰行政總裁何杲昨晚拍攝約1分39秒短片,兩度就事件向客戶致歉,「對因是次事件可帶來的憂慮深表歉意」,強調未有證據顯示任何人資料曾被不當動用,並會向受影響乘客提供12個月的免費信息身份監察服務及加強資訊保安。
今次國泰外洩940萬客戶資料,或已觸犯歐盟的《通用數據保障條例》(GDPR),法政匯思成員蔡騏向本報表示,根據GDPR第33條,相關機構出事後72小時要作出通報,而國泰延遲6個月才公佈事件,估計國泰可能違反GDPR規定。他指由於GDPR今年5月25日實施,國泰今年3月發現資料外洩,5月初確認,若國泰5月25日後仍有資料外洩,並證明國泰有提供服務予歐盟居民,今次事件將受GDPR規管。
根據GDPR規定,歐盟可向違規企業徵收年度全球總營業額2%或4%為罰款,若按國泰去年總收入972億元計,最多可被罰總收入的4%,相當於39億元,是國泰最新市值約420億元的一成。
警方表示,接獲相關報案,案件暫列「有犯罪或不誠實意圖而取用電腦」,交由網絡安全及科技罪案調查科跟進,暫無人被捕。據悉,國泰前晚報警,昨早國泰有負責資訊科技部門的高層人員落口供,但並無詳細交代資料外洩詳情及原因,只稱會委託網絡保安公司再向警方交代。消息指,警方日內會主動與國泰相關人員聯絡,以跟進調查。
港無法例規管須何時通報
個人資料私隱專員黃繼兒表示,公署非常關注事件,指國泰事發6個月後才公佈,公署都是本周三晚才知悉事件,很難接受,會展開循規審查。他承認現時本港法例並無規管企業要何時通報這類事故,只是靠業界自願公佈。
多名立法會議員對國泰處理手法表示憤怒,最近才搭過國泰的民主黨尹兆堅批評,國泰今次處理事件手法極度惡劣,嚴重違反消費者私隱,聲明中完全無交代會如何承擔責任,「唔怪得之國泰近年有個花名叫『因航』,管理不善好似係國泰近年現況」。
|
CX:SOR佐啦,起碼好過班羔官一句SOR都唔會講,仲想點?
