國泰航空個資外洩風波在香港延燒，多名乘客表示信用卡已遭盜刷，議員疾呼需要修法

在10月底，國泰航空發出聲明，表示發現約有940萬名旅客的個資外洩，並已經向香港警方通報，該公司行政總裁何杲（Rupert Hogg）先後2次公開向乘客道歉。不過，該公司揭露事件之後，引起香港社會高度關注，許多媒體接獲乘客的投訴，指稱購買過機票的信用卡遭到盜刷，同時，多名議員指責國泰航空處理速度緩慢，也疾呼香港政府應儘速調整私隱法規，要求企業加強個資保護，發生事件時也要即時通報。

該公司指出，他們最早在3月時發現網路出現可疑活動，5月初著手進行調查，確認乘客的個資遭到外洩。洩露的內容涵蓋了國籍、生日、身分證字號，以及飛行記錄等。其中，外洩的個資包含403筆逾期信用卡號碼，以及27筆不含安全碼（CCV）的信用卡卡號等，但國泰航空表示，他們尚未發現外洩個資遭到濫用的情事。然而，這樣的說明，讓人不免質疑，為何該公司經過長達半年以上才揭露此事。

外界質疑延遲通報與資安業務委外有關

在國泰航空公布資料外洩事件之前，在網路上已有風聲，更出現一份疑似該公司向香港證交所說明的文件，於網友之間不斷轉傳。而且，不只上述聲明中，揭露遭到異常存取的4百多張信用卡卡號，該文件進一步指出，總計約有24.5萬個香港身分證號碼，以及86萬個護照號碼，該公司也同樣發現遭到不當存取。

這起事件公開之後，不少人懷疑，國泰航空拖延長達7個月才公開，極有可能跟去年5月，該公司大幅裁減資訊科技部管理階層人員，並將資訊安全的業務委外有關。雖然，該公司表示，沒有立即公布是為了避免民眾恐慌，不過，延遲通報與公告的做法，恐怕已經觸犯到歐盟GDPR規定，國泰航空可能面臨巨額罰款，而且，公告隔日的香港股價，開盤時應聲下挫6.7%，每股為9.9港元，創下9年來的最低點。

根據歐盟GDPR規定，企業在知悉後的72小時內，應該要通報資料外洩事故，而在國泰航空的事件中，只要受影響的乘客中包含了歐盟公民，就適用GDPR規範，一旦延遲通報，便要面臨公司全球總收入4%，或是2,000萬歐元的罰款，並且以金額較高者裁罰。國泰航空在2017年的總收入，約為972億港元，若以總收入的4%裁罰，相當於38.9億港元（新臺幣154億元），相當於接近該公司市值的一成。

香港媒體接獲多起民眾投訴信用卡盜刷情事

雖然國泰航空聲稱沒有乘客個資遭到濫用，然而在事件公開後，香港多家媒體報導乘客信用卡遭到盜刷。大公報指出，一名香港市民鄧先生向電臺節目表示，他每年都會和太太搭乘國泰航空到東南亞旅遊，但25日太太收到銀行通知，發現信用卡被盜刷，以3萬港元訂了3間房間，經溝通之後，銀行仍堅持他們要承擔一半的費用。

香港蘋果日報也報導，梁先生6月經由寰宇一家里數換購機票，並以信用卡支付餘額，之後卻發現信用卡出現多起不明交易，每筆金額約200美元，所幸該名乘客聯絡發卡銀行後，上述交易都獲得取消。

不只香港當地居民受害，就連赴香港工作的外籍人士，也同樣無法倖免於難。香港蘋果日報接獲一名化名Anthony的旅客投訴，表示自己旅居香港20年，是國泰航空的常客，同時也是馬可孛羅會金卡會員，購買機票所使用的信用卡，在今年6月出現盜刷情事，金額將近10萬港元，他向銀行提出證明後，才免於承受盜刷的損失。而國泰航空指出在5月時啟動調查，因此Anthony認為，他的信用卡盜刷事件與這起乘客資料外洩有關。

網路資安公司Network Box共同創辦人暨常務董事Michael Gazeley指出，近期國泰航空公布資料外洩事件後，他已經收到超過10起信用卡盜用事件的通報。Michael表示，縱使國泰航空一再強調，大多數乘客的信用卡資料並未遭竊，但駭客取得的其他個資，很可能在與銀行交易時，用來作為身分驗證的資訊。Michael表示，駭客會將竊取到的資料放到暗網，並且不斷充實其中的內容，假設其中一個駭客偷到用戶銀行帳號的資訊，另一個竊取了醫療記錄，若10個駭客將所掌握不同領域的個資互通有無，集結之後就能夠用來假冒本人。Michael指出他曾聽聞的真實案例，駭客與信用卡的持有人同時打電話給信用卡的客服中心，銀行竟認為駭客才是信用卡的持有者。

香港議員呼籲政府應修法規範企業

這起資料外洩事件風波持續發酵，並且引起香港當局警政單位的重視。根據香港媒體的報導，私隱署發言人表示，截至30日下午5時，他們共接獲55宗投訴及83宗查詢案件。

私隱專員黃繼兒指出，根據香港當地的法令，對於資料外洩事故的通報，採取鼓勵企業自主的態度，若是國泰航空不打算通報，政府也無法可管。不過，該名專員認為，國泰航空沒有在5月確認是個資外洩時就公布，與民眾期待的回應時效落差太大。

不少香港議員也出面譴責，認為國泰航空的處理態度怠慢。資訊科技界立法會議員莫乃光指出，這次資料外洩涉及的個資相當龐大，該公司的資安防護上，勢必出現了漏洞，再者，國泰航空對於事件的說明，僅是輕描淡寫，沒有進一步公布細節，也讓莫乃光認為處置失當。這名議員也呼籲當局，要從這起事件中汲取經驗，儘快加重私隱條例的罰則，以及監管者的權力。

公民黨立法會議員譚文豪表示，雖然遭到外洩的資料相當零散，每名乘客洩露的資料不一，但他會進一步了解，國泰航空延遲公布背後的原因。譚文豪認為，航空公司和旅行社持有大量客戶的護照號碼，這些公司必須重新檢視資安防護措施，避免成為駭客下手的目標。

民主黨立法會議員林卓廷則批評國泰航空的處置態度惡劣，他強調該航空公司在法律上有妥善保存乘客個資的責任，而事件發生後拖延半年以上才公布，不經讓人質疑是否企圖淡化事件，掩飾其中的詳情。因此，林卓廷表示，將會去函要求政制事務委員會召開緊急會議。

民建聯葛珮帆譴責，國泰延誤公布是極不負責任的做法。她表示將促請政制事務委員會、資訊科技及廣播事務委員會，以及保安事務委員會，儘快召開聯合會議商討。

香港大動作檢討，那臺灣呢？

相較於香港媒體不斷接獲民眾投訴並加以報導，以及議員疾呼政府應該趕快修法，要求企業重視客戶個資的保護責任。但是，該公司在國內也有不少客戶，在臺灣卻沒有個資外洩情事，我們也向國內多家航空業者進行了解，若是發生如上述乘客個資外洩時，他們會如何因應。

中華航空指出，他們向來以嚴謹態度，保護及管理乘客的個人資料，其中，為了推動個資保護能符合GDPR法規要求，以及GDPR的預設隱私（Privacy by Design/Default）精神，該公司在2017年特別成立個資管理專案小組，並且推派了資料保護長（DPO，Data Protection Officer），再者，中華航空表示，他們委由國際性風險諮詢顧問公司規劃個資有關規章，使得該公司的個資隱私保護制度更加健全。

該公司也強調，他們會確實掌握個資流向，包含了落實全公司個資盤點與稽核，以及加強相關資訊系統、網站，與App的資安防護政策等。

遠東航空僅表示，他們一切對內或對外的各項系統功能，或是網路服務，均依國內的資安相關規範辦理，長榮航空則不願回應。上述3家業者也指出，針對國泰航空個資外洩事故，他們沒有接獲民航局要求嚴加防範的通知。