香港国泰及港龙航空的940万名客户资料外泄,但事隔5月才向外公布。有信息科技界人士称事件若牵涉欧洲公民,有可能被欧盟罚款约39亿元港币(6.87亿新元)。国泰高层25日向客户表示歉意,并解释延迟公布事件,是希望掌握更多情况,不想引起“不必要恐慌”。
私隐专员黄继儿表示,香港现在出现资料外泄事故通报只属自愿性质,即使国泰航空不通报,在香港法律上也难指其违规。他称,公署会对保安程序作循规审查,并认为国泰航空的做法在道德层面上导致顾客有期望落差,“在道德责任来说,一发觉有异常活动、有不妥,便应立即通知”。
卢家培表示,多月后才发放讯息,是希望掌握更多情况及避免造成“不必要的恐慌”。国泰航空行政总裁何杲25日也录制短片及向客户发电子邮件致歉。国泰航空表示,已就事件通知个人资料私隐专员公署及报警。香港警方25日晚称,已接获案件,暂列为“有犯罪或不诚实意图而取用电脑”,会交由网络安全及科技罪案调查科跟进。
据《星岛日报》报道,香港信息科技商会信息保安召集人范健文称,欧盟2018年5月实施《一般数据保护条例》(GDPR),订明若欧盟公民的资料外泄,涉事公司需在72小时内通报事件,否则会被罚款。范健文认为,本次事件必定牵涉欧盟公民,国泰或已违反GDPR。按条例最高可罚公司去年全球总收入的4%,或2000万欧元(约3143万新元),以价高者为准,若以国泰航空去年总收入972.84亿元港币计算,罚款或高达38.9亿元港币。
国泰航空顾客及商务总裁卢家培25日称,相信事件没有令客户造成财产损失,强调国泰航空关心事件对乘客的影响,感到抱歉之余也完全没有隐瞒。而国泰航空已堵住保安漏洞,目前没有证据显示在3月后有其他入侵。卢家培表示,过半外泄数据涉及姓名及电话号码或电子邮件,其他外泄数据并不包括会员帐户密码,而涉及的430张信用卡资料中,有93%逾期,剩下的资料也不完备,因而相信事件没有令客户造成财产上的损失。