国泰每年仅为伺服器进行一次漏洞扫描，报告批评为「流于表面及过分松懈」

国泰航空及港龙航空，在去年3月爆出泄露940万名乘客的个人资料。香港个人资料私隐专员黄继儿发表调查报告，指国泰违反《个人资料（私隐）条例》，今天向国泰送达执行通知，指示国泰纠正以及防止违规情况再发生。

私隐专员指，已送达执行通知，指示国泰纠正以及防止违规情况再发生。资料图片

报告指，在漏洞管理、采用有效的技术保安措施，以及资料管治方面，国泰没有采取所有合理地切实可行的步骤，以保障受影响乘客的个人资料免受未获授权的取览或查阅。当中指，国泰每年仅为伺服器进行一次漏洞扫描，报告批评为「流于表面及过分松懈」。报告又指，国泰在没有合理原因的情况下，没有采取所有合理地切实可行的步骤，确保受影响乘客的香港身份证号码的保留时间不超过达致已废除的核实身份的目的，因此违反《个人资料（私隐）条例》。

私隐专员亦向国泰送达执行通知，要求聘请独立的资料保安专家检修载有个人资料的系统、为遥距使用者实施有效的多重身份认证、定期于伺服器或应用程式层面进行漏洞扫描、制定清晰的资料保留政策，并从所有系统彻底销毁亚洲万里通会员计划收集的不必要香港身份证号码。另外，黄继儿又补充指，国泰除了违规之外，在数据管治上明显地掉以轻心，未能达到受影响乘客和监管机构的期望。

政制及内地事务局发言人其后表示，政府敦促国泰依从指令，采取即时的补救措施。发言人又指，政府会在研究修订《个人资料（私隐）条例》时，考虑设立强制性个人资料外泄通报机制，亦会与公署紧密合作，并在建议修订的过程中咨询包括立法会在内的相关持份者。