國泰航空去年十月承認,外洩940萬名乘客個人資料,私隱專員公署完成調查,認為國泰違反了《私隱條例》下,有關資料保安及資料保留的保障原則,包括未能識別某個廣為人知及可被加以利用的保安漏洞;每年只為伺服器進行一次漏洞掃描,做法流於表面及過份鬆懈;未有為存取資訊系統內個人資料的所有遙距使用者,實施有效的多重身份認證;以及為方便遷移數據中心,而建立未經加密的數據庫備份檔案,導致乘客個人資料暴露予攻擊者。公司亦未有採取切實可行步驟,確保乘客的身份證號碼保留時間,不超過達致已廢除的核實身份目的。
公署表示,由於《私隱條例》沒有規定資料使用者須通報資料外洩事故,因此國泰並無違反條例,但認為國泰應在去年三月發現可疑活動時,立即通知受影響乘客;公署已向國泰送達執行通知,指示國泰糾正及防止再發生違規情況。
留言 0