當年今日
關於我們

【史上最大宗】國泰資料外洩事件被英國罰款500萬 揭外洩長達4年

蘋果日報 2020/03/05 13:25

國泰

【新增國泰回應】國泰(293)2018年10月驚爆香港史上最大宗資料外洩事件。最新集團被英國資訊專員辦公室(Information Commissioner's Office,ICO),以未有妥當保護乘客資料而導致數據外洩接近4年為由,罰款50萬英鎊(約500萬港元)。國泰回應罰款事件指,過去三年已投放大量資金強化公司的資訊科技基建及系統保安。
ICO周三發出的一份聲明指,國泰於2014年10月至2018年5月期間,其電腦系統欠缺恰當的保安措施,令乘客的個人資料外洩,在集團公佈的約940萬名受影響乘客中,有近11.16萬名來自英國,約940萬名則涉及來自全球的乘客。
ICO總監Steve Eckersley表示,是次資料外洩事件值得關注,因反映國泰基本保安系統的缺陷,容易被黑客入侵。當局又發現國泰基本保安系統存在數個嚴重的缺陷,這些缺陷均低於標準水平。
ICO於昨日(4日)向國泰發出罰款通知。國泰回覆本報查詢時表示,集團再次就事件表示遺憾及致歉,指已採納果斷的措施,從多方面增強公司的資訊科技安全水平,包括數據管理、網絡保安、取覽資料監控、內部教育及宣傳 及應對事件靈敏度等,過去三年已投放大量資金強化公司的資訊科技基建及系統保安。集團又指,有關調查顯示,至今並無任何個人資料遭不當使用。
國泰於2018年10月24日發公告,披露集團在當年3月發現其資料系統有可疑活動,5月初確認有資料被盜,惟延至10月才對外公佈。惟英國ICO指出集團的資料外洩時間長達4年。
港個人資料私隱專員公署去年6月發表調查報告
至今,香港方面未有就國泰資料外洩事件向集團徵收罰款。香港個人資料私隱專員公署去年6月初發表國泰集團資料外洩事故調查報告。報告指出,目前《私隱條例》並沒有強制規定資料使用者必須向專員或相關資料當事人通報資料外洩事故,認為國泰即使沒有違反任何《私隱條例》的法定要求,當初亦應能在發現可疑活動時立即通知受影響乘客。報告當時亦指國泰只為該伺服器每年進行一次漏洞掃描,就有效保障國泰資訊系統以面對不斷變化的數碼威脅的做法,屬流於表面及過份鬆懈。
總括而言,報告指國泰已違反《私隱條例》附表1的保障資料第4(1)及2(2)原則,並依據《私隱條例》第50(1)條向國泰送達執行通知,包括指示國泰聘請獨立的資料保安專家徹底檢修載有個人資料的系統、執行通知發出6個月內提供已採取補救措施的證明文件、為遙距資料使用者實施多重身份認證等,惟未有提及罰款。
資訊科技商會會長:國泰面臨巨額罰款危機未解除
香港資訊科技商會榮譽會長方保僑認為,ICO對國泰施加罰款只是第一波,相信美國有關當局,及歐盟自2018年5月推出的一般資料保護條例(General Data Protection Regulation,GDPR)等,對國泰的調查尚未完成,其面臨巨額罰款的危機未解除。他又指香港《私隱條例》目前追不上互聯網年代,即使向違規企業施加罰款,涉及金額對大企業不痛不癢,促請有關當局檢視條例,增加罰則。