國泰私隱災難私隱署證違例　斥管治掉以輕心

因管理不善而在全球最佳航空公司排名榜節節下跌的國泰航空及其全資附屬公司國泰港龍，去年10月、即延遲逾半年後才向外披露洩漏全球940萬客戶個人資料醜聞。個人資料私隱專員公署今(6日)發表調查報告，指國泰違反了《個人資料(私隱)條例》下有關個人資料保安及資料保留的資料保障原則，並同時向國泰送達執行通知，指示國泰糾正及防止違規情況再發生。

私隱專員黃繼兒直言，國泰除了違規之外，在數據管治上明顯掉以輕心，未能達到受影響乘客和監管機構的期望。國泰表示，現正審慎考慮有關調查報告，並再就事件表示道歉。

公署指，國泰沒採取所有合理地切實可行步驟，以保障受影響乘客的個人資料免受未獲授權的取覽或查閱，未能識辨某個廣為人知及可被加以利用的保安漏洞，亦未能識辨利用該漏洞的行為，同時沒採取合理地切實可行的步驟在建立伺服器時進行適當的部署。

資料保留方面，公署指國泰在沒有合理原因的情況下，沒有採取所有合理地切實可行的步驟，確保受影響乘客的香港身份證號碼的保留時間不超過達致已廢除的核實身份的目的。

雖然現時沒有規定資料使用者須向私隱專員及資料當事人(即受影響乘客)通報資料外洩事故，但公署認為國泰當初應能在2018年3月發現可疑活動時立即通知受影響乘客，並建議他們提前採取適當的步驟，以符合他們的合理期望。

《國泰航空，愈做愈燶》專頁：http://hk.on.cc/fea/cx/