*

upload_article_image

國泰泄乘客私隱 私隱專員斥數據管治掉以輕心

國泰每年僅為伺服器進行一次漏洞掃描,報告批評為「流於表面及過分鬆懈」

國泰航空及港龍航空,在去年3月爆出泄露940萬名乘客的個人資料。香港個人資料私隱專員黃繼兒發表調查報告,指國泰違反《個人資料(私隱)條例》,今天向國泰送達執行通知,指示國泰糾正以及防止違規情況再發生。

私隱專員指,已送達執行通知,指示國泰糾正以及防止違規情況再發生。資料圖片

報告指,在漏洞管理、採用有效的技術保安措施,以及資料管治方面,國泰沒有採取所有合理地切實可行的步驟,以保障受影響乘客的個人資料免受未獲授權的取覽或查閱。當中指,國泰每年僅為伺服器進行一次漏洞掃描,報告批評為「流於表面及過分鬆懈」。報告又指,國泰在沒有合理原因的情況下,沒有採取所有合理地切實可行的步驟,確保受影響乘客的香港身份證號碼的保留時間不超過達致已廢除的核實身份的目的,因此違反《個人資料(私隱)條例》。

私隱專員亦向國泰送達執行通知,要求聘請獨立的資料保安專家檢修載有個人資料的系統、為遙距使用者實施有效的多重身份認證、定期於伺服器或應用程式層面進行漏洞掃描、制定清晰的資料保留政策,並從所有系統徹底銷毀亞洲萬里通會員計劃收集的不必要香港身份證號碼。另外,黃繼兒又補充指,國泰除了違規之外,在數據管治上明顯地掉以輕心,未能達到受影響乘客和監管機構的期望。

政制及內地事務局發言人其後表示,政府敦促國泰依從指令,採取即時的補救措施。發言人又指,政府會在研究修訂《個人資料(私隱)條例》時,考慮設立強制性個人資料外洩通報機制,亦會與公署緊密合作,並在建議修訂的過程中諮詢包括立法會在內的相關持份者。