國泰外洩940萬名乘客個人資料　私隱署批違規及對數據管理掉以輕心促糾正

國泰航空及國泰港龍航空去年發現約940萬名乘客資料被不當取覽，當中包括乘客姓名、電話號碼、實際地址、已逾期的信用卡、護照及身分證號碼等，國泰事後已報警及通知個人資料私隱專員公署。私隱專員公署今日(6日)指，國泰違反《私隱條例》，對數據管理掉以輕心，已向國泰送達執行通知，要求對方糾正，防止再發生違規情況。

私隱專員公署指，國泰並無採取所有合理地切實可行的步驟，以保障受影響乘客的個人資料免受未獲授權的取覽或查閱，包括未能識辨某個廣為人知及可被加以利用的保安漏洞，每年只為伺服器進行一次漏洞掃描，做法流於表面及過份鬆懈，亦無採取合理地切實可行的步驟，避免伺服器的管理員控制台埠曝露於互聯網，令攻擊者可開啟一個入口。

公署又批評，國泰未有對涉及存取資訊系統內個人資料的所有遙距使用者實施有效的多重身份認證，又為方便遷移數據中心而建立未經加密的數據庫備份檔案，令乘客個人資料外洩；國泰亦無建立有效的個人資料庫存以涵蓋所有載有個人資料的系統，對風險的警覺性低，在2017年的保安事故發生後並無採取適當措施，以減低資訊系統被植入惡意軟件及被入侵的風險。
 
公署又指，國泰並合採取合適措施，確保受影響乘客的身份證號碼的保留時間不超過達致已廢除的核實身份，違反《私隱條例》有關保留資料的原則。

雖然國泰早於去年3月已發現有可疑活動，但並無立即通知受影響乘客，以及建議他們提前採取適當措施，並不符合他們的期望，惟因《私隱條例》目前並無規定資料外洩事故的通報時間，故私隱專員指國泰在通報時間上並無違反相關規定。

私隱專員黃繼兒批評，國泰除了違規外，在數據管治上亦明顯掉以輕心，未能達到受影響乘客及監管機構的期望，已向國泰送達執行通知，指示國泰糾正，包括：

• 聘請獨立的資料保安專家徹底檢修載有個人資料的系統
• 為所有會存取載有個人資料的資訊系統的遙距使用者實施有效的多重身份認證，並承諾定期檢視遙距存取的權限
• 定期在伺服器及／或應用程式層面進行有效的漏洞掃描
• 聘請獨立的資料保安專家定期對網絡的保安進行檢視／測試
• 制定清晰的資料保留政策，訂明每個系統內的乘客資料的保留期限，即不超過將其保存以貫徹該資料被使用於的目的，並承諾實施有效措施以確保政策獲有效執行
• 從所有系統徹底銷毀亞洲萬里通會員計劃收集的所有不必要的香港身份證號碼