仗義執言:拖延公布洩密極不負責

國泰航空外洩九百四十萬客戶私隱,是航空界史上最嚴重的乘客資料外洩事件。國泰事隔七個月才作通知,並且對出事原因等細節語焉不詳,亦未承諾為受影響乘客的直接或間接損失作出補償,極不負責任。

國泰稱拖延公布是「不想製造無謂恐慌」,更指無證據顯示任何個人資料曾被不當動用,令人懷疑管理層無視個人私隱資料外洩的嚴重性,只想淡化事件,沒有將客戶利益放在首位,令客戶錯失補救的機會。私隱專員公署必須徹查事件,要求國泰提供更詳細資料,並立即聯絡受影響乘客,作出補救措施。

今年八月底有黑客入侵英航資料庫,三十八萬乘客的信用卡資料外洩,英航九月發現後即公布事件,並承諾賠償客戶損失。英航的做法與國泰死撐,實有雲泥之別。

歐盟今年五月開始實施的《通用數據保障條例》,旨在保障個人資料安全。根據條例,如發生資料外洩事件,涉案公司須於七十二小時內通報,違者可面臨年度全球營業額百分之四的罰款。

比較起來,香港現時的網絡私隱安全規管落後,個人資料私隱專員公署是「無牙老虎」,發出的指引只屬自願性質,監管權力不足,例如是次國泰拖延逾半年才通報,卻毋須承擔任何責任。政府必須盡快修例引入罰則,督促企業高度重視數據安全,保障市民私隱。

筆者已經去信政制及保安事務委員會主席,要求聯同資訊科技及廣播事務委員會召開聯合特別會議,討論上述問題。