在10月底,國泰航空發出聲明,表示發現約有940萬名旅客的個資外洩,並已經向香港警方通報,該公司行政總裁何杲(Rupert Hogg)先後2次公開向乘客道歉。不過,該公司揭露事件之後,引起香港社會高度關注,許多媒體接獲乘客的投訴,指稱購買過機票的信用卡遭到盜刷,同時,多名議員指責國泰航空處理速度緩慢,也疾呼香港政府應儘速調整私隱法規,要求企業加強個資保護,發生事件時也要即時通報。

該公司指出,他們最早在3月時發現網路出現可疑活動,5月初著手進行調查,確認乘客的個資遭到外洩。洩露的內容涵蓋了國籍、生日、身分證字號,以及飛行記錄等。其中,外洩的個資包含403筆逾期信用卡號碼,以及27筆不含安全碼(CCV)的信用卡卡號等,但國泰航空表示,他們尚未發現外洩個資遭到濫用的情事。然而,這樣的說明,讓人不免質疑,為何該公司經過長達半年以上才揭露此事。

外界質疑延遲通報與資安業務委外有關

在國泰航空公布資料外洩事件之前,在網路上已有風聲,更出現一份疑似該公司向香港證交所說明的文件,於網友之間不斷轉傳。而且,不只上述聲明中,揭露遭到異常存取的4百多張信用卡卡號,該文件進一步指出,總計約有24.5萬個香港身分證號碼,以及86萬個護照號碼,該公司也同樣發現遭到不當存取。

這起事件公開之後,不少人懷疑,國泰航空拖延長達7個月才公開,極有可能跟去年5月,該公司大幅裁減資訊科技部管理階層人員,並將資訊安全的業務委外有關。雖然,該公司表示,沒有立即公布是為了避免民眾恐慌,不過,延遲通報與公告的做法,恐怕已經觸犯到歐盟GDPR規定,國泰航空可能面臨巨額罰款,而且,公告隔日的香港股價,開盤時應聲下挫6.7%,每股為9.9港元,創下9年來的最低點。

根據歐盟GDPR規定,企業在知悉後的72小時內,應該要通報資料外洩事故,而在國泰航空的事件中,只要受影響的乘客中包含了歐盟公民,就適用GDPR規範,一旦延遲通報,便要面臨公司全球總收入4%,或是2,000萬歐元的罰款,並且以金額較高者裁罰。國泰航空在2017年的總收入,約為972億港元,若以總收入的4%裁罰,相當於38.9億港元(新臺幣154億元),相當於接近該公司市值的一成。

香港媒體接獲多起民眾投訴信用卡盜刷情事

雖然國泰航空聲稱沒有乘客個資遭到濫用,然而在事件公開後,香港多家媒體報導乘客信用卡遭到盜刷。大公報指出,一名香港市民鄧先生向電臺節目表示,他每年都會和太太搭乘國泰航空到東南亞旅遊,但25日太太收到銀行通知,發現信用卡被盜刷,以3萬港元訂了3間房間,經溝通之後,銀行仍堅持他們要承擔一半的費用。

香港蘋果日報也報導,梁先生6月經由寰宇一家里數換購機票,並以信用卡支付餘額,之後卻發現信用卡出現多起不明交易,每筆金額約200美元,所幸該名乘客聯絡發卡銀行後,上述交易都獲得取消。

不只香港當地居民受害,就連赴香港工作的外籍人士,也同樣無法倖免於難。香港蘋果日報接獲一名化名Anthony的旅客投訴,表示自己旅居香港20年,是國泰航空的常客,同時也是馬可孛羅會金卡會員,購買機票所使用的信用卡,在今年6月出現盜刷情事,金額將近10萬港元,他向銀行提出證明後,才免於承受盜刷的損失。而國泰航空指出在5月時啟動調查,因此Anthony認為,他的信用卡盜刷事件與這起乘客資料外洩有關。

網路資安公司Network Box共同創辦人暨常務董事Michael Gazeley指出,近期國泰航空公布資料外洩事件後,他已經收到超過10起信用卡盜用事件的通報。Michael表示,縱使國泰航空一再強調,大多數乘客的信用卡資料並未遭竊,但駭客取得的其他個資,很可能在與銀行交易時,用來作為身分驗證的資訊。Michael表示,駭客會將竊取到的資料放到暗網,並且不斷充實其中的內容,假設其中一個駭客偷到用戶銀行帳號的資訊,另一個竊取了醫療記錄,若10個駭客將所掌握不同領域的個資互通有無,集結之後就能夠用來假冒本人。Michael指出他曾聽聞的真實案例,駭客與信用卡的持有人同時打電話給信用卡的客服中心,銀行竟認為駭客才是信用卡的持有者。

香港議員呼籲政府應修法規範企業

這起資料外洩事件風波持續發酵,並且引起香港當局警政單位的重視。根據香港媒體的報導,私隱署發言人表示,截至30日下午5時,他們共接獲55宗投訴及83宗查詢案件。

私隱專員黃繼兒指出,根據香港當地的法令,對於資料外洩事故的通報,採取鼓勵企業自主的態度,若是國泰航空不打算通報,政府也無法可管。不過,該名專員認為,國泰航空沒有在5月確認是個資外洩時就公布,與民眾期待的回應時效落差太大。

不少香港議員也出面譴責,認為國泰航空的處理態度怠慢。資訊科技界立法會議員莫乃光指出,這次資料外洩涉及的個資相當龐大,該公司的資安防護上,勢必出現了漏洞,再者,國泰航空對於事件的說明,僅是輕描淡寫,沒有進一步公布細節,也讓莫乃光認為處置失當。這名議員也呼籲當局,要從這起事件中汲取經驗,儘快加重私隱條例的罰則,以及監管者的權力。

公民黨立法會議員譚文豪表示,雖然遭到外洩的資料相當零散,每名乘客洩露的資料不一,但他會進一步了解,國泰航空延遲公布背後的原因。譚文豪認為,航空公司和旅行社持有大量客戶的護照號碼,這些公司必須重新檢視資安防護措施,避免成為駭客下手的目標。

民主黨立法會議員林卓廷則批評國泰航空的處置態度惡劣,他強調該航空公司在法律上有妥善保存乘客個資的責任,而事件發生後拖延半年以上才公布,不經讓人質疑是否企圖淡化事件,掩飾其中的詳情。因此,林卓廷表示,將會去函要求政制事務委員會召開緊急會議。

民建聯葛珮帆譴責,國泰延誤公布是極不負責任的做法。她表示將促請政制事務委員會、資訊科技及廣播事務委員會,以及保安事務委員會,儘快召開聯合會議商討。

香港大動作檢討,那臺灣呢?

相較於香港媒體不斷接獲民眾投訴並加以報導,以及議員疾呼政府應該趕快修法,要求企業重視客戶個資的保護責任。但是,該公司在國內也有不少客戶,在臺灣卻沒有個資外洩情事,我們也向國內多家航空業者進行了解,若是發生如上述乘客個資外洩時,他們會如何因應。

中華航空指出,他們向來以嚴謹態度,保護及管理乘客的個人資料,其中,為了推動個資保護能符合GDPR法規要求,以及GDPR的預設隱私(Privacy by Design/Default)精神,該公司在2017年特別成立個資管理專案小組,並且推派了資料保護長(DPO,Data Protection Officer),再者,中華航空表示,他們委由國際性風險諮詢顧問公司規劃個資有關規章,使得該公司的個資隱私保護制度更加健全。

該公司也強調,他們會確實掌握個資流向,包含了落實全公司個資盤點與稽核,以及加強相關資訊系統、網站,與App的資安防護政策等。

遠東航空僅表示,他們一切對內或對外的各項系統功能,或是網路服務,均依國內的資安相關規範辦理,長榮航空則不願回應。上述3家業者也指出,針對國泰航空個資外洩事故,他們沒有接獲民航局要求嚴加防範的通知。


Advertisement

更多 iThome相關內容