國泰洩乘客資料 私隱專員:遲半年公布未達期望但無違規(第二版)

即市財經 20:15 2019/06/06

分享:

國泰去年外洩940萬名乘客個人資料,圖為行政總裁何杲在事發後自行公告的影片。(資料圖片)

國泰航空(00293)去年外洩940萬名乘客的個人資料,惟發生逾半年才對外公布。私隱專員公署今公布報告,批評國泰違反兩項《私隱條例》保障資料原則,但坦言指引沒要求通報時間,國泰事發半年後公布沒有違規,卻不符乘客合理期望。

私隱專員黃繼兒指出,國泰在資料保安、資料保留違反原則。

在資料保安上,國泰沒有採取所有合理地切實可行的步驟,保障受影響乘客的個人資料免受未獲授權的取覽或查閱,例如只為伺服器每年進行一次漏洞掃描、未能識辨某個廣為人知及可被加以利用的保安漏洞、未有對涉及存取資訊系統內個人資料的所有遙距使用者實施有效的多重身份認證等。

在資料保留方面,國泰沒有確保受影響乘客的香港身份證號碼的保留時間,不超過達致已廢除的核實身份的目的。

黃繼兒指,國泰除了違規之外,在數據管治上明顯地掉以輕心,未能達到受影響乘客和監管機構的期望。

公署指示國泰執行6項措施,包括

  • 聘請獨立的資料保安專家徹底檢修載有個人資料的系統;
  • 為所有會存取載有個人資料的資訊系統的遙距使用者實施有效的多重身份認證,並承諾定期檢視遙距存取的權限;
  • 定期在伺服器及/或應用程式層面進行有效的漏洞掃描;
  • 聘請獨立的資料保安專家定期對網絡的保安進行檢視/測試;
  • 制定清晰的資料保留政策,訂明每個系統內的乘客資料的保留期限,即不超過將其保存以貫徹該資料被使用於的目的,並承諾實施有效措施以確保政策獲有效執行;
  • 從所有系統徹底銷毀亞洲萬里通會員計劃收集的所有不必要的香港身份證號碼。

國泰就指,正與顧問審慎考慮該報告,隨後會決定是否恰當就該報告作出任何詳細的公開回應。

公司重申,對事件感遺憾並誠摯道歉,已採取措施,提升其資料治理、網路安全及存取控制方面的資訊科技保安,教育及員工意識,以及事件應對敏捷性。在資訊科技基礎設施及保安方面,於過往三年已投放重大開支,並將繼續在這些方面投資。

(第二版新增國泰回應)

緊貼財經時事新聞分析,讚好hket Facebook 專版