“現在還哪有什麼隱私可言。”
10月24日晚間,國泰航空發佈公告稱,公司及子公司港龍航空共有940萬名乘客信息遭洩露,包括乘客姓名、出生日期、電話號碼、護照及身份證號碼、過往飛行記錄等資料。
公告還表示,約86萬個護照號碼及24.5萬個香港身份證號碼曾被不當取閱。另有403張已逾期信用卡號碼,和27張無安全碼的信用卡號碼被不當取閱。
對於這條新聞,微博上有許多網友慶幸自己“還好沒坐過”,但對香港同胞而言,事情嚴重得多。國泰航空是香港第一家提供民航服務的航空公司,以香港赤鱲角國際機場作為樞紐。這次的信息洩露事件,被香港立法會議員林卓廷形容為“本港歷來最大的個人資料外洩事件”。
3月發現,5月確認,為啥10月才披露?
在公告裡,國泰航空強調這件事情不會對航班的安全造成影響,因為受影響的資訊系統和航班運作系統彼此獨立,公司亦表示沒有證據顯示任何個人資料曾被“不當動用”。
值得注意的是,國泰航空在公告中表示,公司於2018年3月首次在公司系統內發現可疑活動,並於5月初確認個人資料“曾在未獲授權情況下被取閱”。
也就是說,早在3月,國泰航空就已經發現了可疑活動,但卻在半年後才公開披露此事。這是為啥?
據香港明報報道,國泰航空顧客及商務總裁盧家培在接受採訪時被問及為何不在5月就公佈事件,他表示當時只見端倪,“不想製造無謂恐慌”,之所以於昨晚公佈,是因為公司一直準備通知受影響乘客的事宜,並花了不少時間做好配套。
他說的“配套”措施指的是國泰正在聯繫受影響的乘客,併為此事成立了專屬網站和乘客專線。同時,國泰已通知警方,警方稱正在瞭解事件。
但這顯然是不夠的。在今日各大港媒的報道中,接受採訪的資訊科技界議員們對此事最大的不滿,就是為何到現在才公開披露,質疑國泰“有拖延”。香港個人資料隱私專員公署的隱私專員黃繼兒在接受採訪時表示,現在這樣的資料外洩事故通報只屬於自願性質,即便國泰不通報,在香港法律層面上也很難指責其違規,然而從道德層面上講,國泰這樣的拖延做法會導致顧客有期望落差。
其次,國泰的公告中對乘客信息洩露的原因毫無解釋。是黑客入侵?還是內部員工所為?盧家培在接受採訪時只說:“無這方面資料,現不會進行揣測,交由警方調查。”
在事發後的五個月中,國泰航空竟沒有對事發原因進行調查、確認,無法為乘客提供更具體的信息,這很難令個人信息已遭洩露的乘客重拾對公司的信任。
接下來,國泰面臨的是?
公告一出,國泰航空的股價應聲下跌,25日盤中最低觸及9.9港元(自2009年以來的股價最低位),收於10.22港元,跌幅為3.77%。
除了市值受損外,國泰還很有可能面臨來自歐盟的鉅額罰款。根據國泰航空的2018中期報告,歐洲地區收入達51.1億港元,佔全球總收入的9.1%。
歐盟的《通用數據保障條例》(General Data Protection Regulation)於今年5月生效,規定了公司要在事發後的72小時內通知監管當局,否則至多會被罰去年全球總收入的4%,或2000萬歐元(罰款取較多一方)。如果以國泰航空2017年的總收入972億港元計算,罰款約為39億港元(約合4.36億歐元)。
一家香港航空公司,最終面臨的竟是歐盟的鉅額罰款——因為,香港也沒有完善的保護條例啊。香港立法會議員莫乃光在接受香港01採訪時表示,香港政府應考慮儘快增加隱私條例的罰則。目前,香港的隱私條例落後,與國際上的資料保障原則有很大的距離。
雅虎的前車之鑑值得參考。就在兩天前,雅虎向美國聯邦法院提交了和解協議,同意為史上最大用戶數據洩露事件賠償5000萬美元(約合3.47億元人民幣),並向美國和以色列的用戶提供兩年的免費信用監控服務。
雅虎的這起數據洩露事件發生在2013~2014年,大約有30億雅虎賬戶的信息被黑客竊取,而直到2016年雅虎才對外公開承認此事。據報道,任何因為持有雅虎賬戶並因為此安全漏洞而遭受損失的用戶都可以獲得賠償。這些損失可能包括身份被盜用、延遲退稅或其他個人信息被竊取而遭受的損失。
對比此事,國泰航空表示“沒有證據顯示任何個人資料曾被不當動用”。然而數據已遭到洩露,惶惶然的乘客們該怎麼相信,那些詳細得足以繪出用戶畫像的數據被竊取,不會給自己帶來傷害呢?
“現在還哪有什麼隱私可言。”——一位微博用戶在國泰數據洩露的新聞下評論道。
“每個人都在裸泳”的年代裡,我們正逐漸失去對信息安全的敏感度,似乎已平靜地接受了大家都是“透明人”的設定。
但至少,不要放棄對企業的追責、對完善法律條例的追求。
閱讀更多 用戶6642047011 的文章
