梁和《國泰洩乘客資料的警示:須聯手抗黑客》

國泰航空在早前發表聲明,指在今年 3 月時,有多達 940 萬名客戶資料外洩,遭到不當取覽,當中更包括乘客的地址、護照號碼、身份證號碼等敏感資料,而我也收到國泰的電郵,指有一些資料被人閱覽。個人資料私隱專員公署已經要求國泰航空交代有關事件,而政府官員亦表示高度關注今次的嚴重資料外洩事件。不過現行條例又能否防止同類事件發生?最主要的問題在於,黑客的能力和技術,可以說是以小眾之力突破了大型機構的防火牆。

現時的《個人資料(私隱)條例》最大敗筆,就是自願通報機制,企業和機構只需要在資料外洩事件發生之後,自行決定在何時公佈,而就算不公佈有相關事故發生的話,法例也沒有訂明企業和機構需要負上的法律責任和面對的刑罰。

早在 2010 年前,個人資料私隱專員公署已經向政府建議,一旦企業或機構發生任何個人資料外泄事件,應該強制有關企業和機構在限時內通報,可是政府未有接納有關建議。在互聯網發展迅速的情況下,不同地方和國家均提升對企業和機構在處理私隱資料方面的要求,如今年生效的歐盟《通用數據保障條例(GDPR)》,就規定互聯網需要保障用戶的私隱資料,否則將要負上法律責任,面對與企業營業額掛勾的罰款。歐盟 GDPR 最近也引入多項互聯網用戶使用資料的新權利,包括「被遺忘權」、「資料可攜權」及「反對資料處理權」,鞏固了個人私隱和數據使用的安全度和私隱度。

相比歐盟的規定,香港在個人資料和私隱方面的保障有點落後,政府應該盡快修例,令香港與世界接軌。

熟悉資訊科技和數據儲存的專業人士都指出,今時今日科技公司和大企業都面對黑客的襲擊,與本身企業處理數據不當還算是不同的事。這次國泰也算是受害者之一,不失為一個機會讓政府和企業同步改進。今次事件足以反映的,未必是企業與機構對於個人資料處理的忽視,除了可以更新《個人資料(私隱)條例》的法律外,政府還應該與企業不時攜手進行演練,一起同步最新的資訊保安系統。

在大數據和互聯網爆炸年代,政府應該在著重科技發展的同時,關注互聯網發展所造成的安全風險。不論是政府還是企業,都可以多參考歐美等地的做法,在處理數據上選用最優質的服務和公司。

  • 梁和,美資金融公司資訊科技總監,從事資訊科技行業超過十年,遊走歐美、澳洲和東南亞為金融界客戶提供解決方案。