國泰洩940萬客資料 私隱署轟管治掉以輕心

公署指，國泰沒有採取所有合理地切實可行的步驟，以保障受影響乘客的個人資料免受未獲授權的取覽或查閱，未能識辨某個廣為人知及可被加以利用的保安漏洞，亦沒有採取切實可行的步驟在建立伺服器時進行適當的部署。國泰對風險的警覺性亦低，在一七年發生保安事故後，沒有採取步驟減低資訊系統被植入惡意軟件及被入侵的風險。

公署下令檢修系統 實施多重認證

公署又指，國泰在沒有合理原因的情況下，沒有採取所有切實可行的步驟，確保受影響乘客的香港身份證號碼保留時間，不超過達致已廢除核實身份的目的。雖然現時沒有受影響乘客通報資料外洩事故，但公署認為國泰當初應能在去年三月發現可疑活動時立即通知受影響乘客，並建議他們提前採取適當的步驟。

公署已向國泰送達執行通知，指示國泰聘請獨立的資料保安專家徹底檢修載有個人資料的系統、為所有會存取載有個人資料的資訊系統的遙距使用者實施有效的多重身份認證，並承諾定期檢視遙距存取的權限、定期在伺服器及應用程式層面進行有效的漏洞掃描，以及聘請獨立的資料保安專家定期對網絡的保安進行檢視。

政府：已敦促國泰採即時補救措施

國泰發言人稱，現正審慎考慮有關調查報告，公司已採取措施提升資料治理、網絡安全及存取控制方面的資訊科技保安，以及事件應對敏感性。政制及內地事務局發言人表示，已敦促國泰依從指令，採取即時的補救措施，政府會在研究修訂《個人資料（私隱）條例》時，考慮設立強制性個人資料外洩通報機制。