新聞稿

2019年6月6日

國泰資料外洩事故
- 個人資料保安及保留 — 違規
- 數據管治 — 掉以輕心

香港個人資料私隱專員（私隱專員）黃繼兒今天發表國泰航空有限公司及港龍航空有限公司（統稱「國泰」）約940萬名乘客的個人資料遭未獲授權取覽或查閱的資料外洩事故的調查報告。私隱專員認為，國泰違反了《個人資料（私隱）條例》（《私隱條例》）下有關個人資料保安及資料保留的資料保障原則。私隱專員今天向國泰送達執行通知，指示國泰糾正以及防止違規情況再發生。

主要調查結果

資料保安

在漏洞管理、採用有效的技術保安措施，以及資料管治方面，國泰沒有採取所有合理地切實可行的步驟，以保障受影響乘客的個人資料免受未獲授權的取覽或查閱，違反了《私隱條例》附表1的保障資料第4(1)原則：

• 未能識辨某個廣為人知及可被加以利用的保安漏洞，亦未能識辨利用該漏洞的行為，同時沒有採取合理地切實可行的步驟在建立伺服器時進行適當的部署；
• 只為伺服器每年進行一次漏洞掃描，就有效保障國泰資訊系統以面對不斷變化的數碼威脅的做法流於表面及過份鬆懈；
• 沒有採取合理地切實可行的步驟，避免伺服器的管理員控制台埠曝露於互聯網，因此導致為攻擊者開啟一個入口；
• 未有對涉及存取資訊系統內個人資料的所有遙距使用者實施有效的多重身份認證；
• 在沒有採取有效的保安管控措施下，為了方便遷移數據中心而建立未經加密的數據庫備份檔案，因而導致受影響乘客的個人資料曝露予攻擊者；
• 未有建立有效的個人資料庫存以涵蓋所有載有個人資料的系統；
• 對風險的警覺性低，在2017年的保安事故發生後沒有採取合理地切實可行的步驟，以減低資訊系統被植入惡意軟件及被入侵的風險。

資料保留

國泰在沒有合理原因的情況下，沒有採取所有合理地切實可行的步驟，確保受影響乘客的香港身份證號碼的保留時間不超過達致已廢除的核實身份的目的，違反了《私隱條例》附表1的保障資料第2(2)原則。
 
資料外洩事故通報

目前《私隱條例》沒有規定資料使用者須向私隱專員及資料當事人（就該事件，即為受影響乘客）通報資料外洩事故，亦沒有規定資料使用者在指定時間內通報。因此，私隱專員認為國泰沒有違反《私隱條例》的規定。
國泰當初亦應能在2018年3月發現可疑活動時立即通知受影響乘客，並建議他們提前採取適當的步驟，以符合他們的合理期望。
 

執行通知

私隱專員根據《私隱條例》第50(1)條所賦予的權力，向國泰送達執行通知，指示國泰：

• 聘請獨立的資料保安專家徹底檢修載有個人資料的系統；
• 為所有會存取載有個人資料的資訊系統的遙距使用者實施有效的多重身份認證，並承諾定期檢視遙距存取的權限；
• 定期在伺服器及／或應用程式層面進行有效的漏洞掃描；
• 聘請獨立的資料保安專家定期對網絡的保安進行檢視／測試；
• 制定清晰的資料保留政策，訂明每個系統內的乘客資料的保留期限，即不超過將其保存以貫徹該資料被使用於的目的，並承諾實施有效措施以確保政策獲有效執行；
• 從所有系統徹底銷毀亞洲萬里通會員計劃收集的所有不必要的香港身份證號碼。

 
數據管治

私隱專員黃繼兒補充：


私隱專員根據《私隱條例》第48(2)條考慮到在符合公眾利益的情況下發表對是次事故的調查報告，報告可按下圖下載：




編輯按：

1. 國泰於2018年3月13日首次在系統中發現可疑活動跡象，因而發現該事故。
2. 私隱專員在2018年10月24日接獲國泰就有關國泰發現約有940萬名乘客的個人資料曾被未獲授權而取覽一事作出的資料外洩事故通報後，於同年11月5日對事件展開調查。
3. 受影響的資料當事人均屬國泰的乘客，當中包括亞洲萬里通和馬可孛羅會的會員和國泰的註冊用戶，涉及超過260個國家／司法管轄區／地區的乘客。
4. 涉及的個人資料主要包括受影響乘客的姓名、航班編號及日期、稱謂、電郵地址、會員號碼、地址及電話號碼等。
5. 若有人認為有可信證據顯示其個人資料私隱受侵犯而蒙受損失，包括情感傷害，可根據《私隱條例》向相關的資料使用者申索，以彌補損失。