華德財:國泰及政府需合力重建市民對網絡安全的信心
國泰過往是筆者和家人乘搭飛機的必然之選,因其服務佳、管理好,航空安全紀錄一流,堪稱「旅途愉快」的代名詞。但近年國泰面對廉價航空的競爭日趨激烈,服務水平更是備受考驗,近日就有多達940萬名乘客資料外泄,更引起公眾憂慮。政務司司長在事後表示高度關注,稱會參考外國經驗,收緊規管洩漏私隱的條例。事件中除了國泰外,負有監管之責的政府亦受到輿論批評。
這類公司系統遭入侵的罪案,在商業世界其實並不罕見,即使是歐美的知名國際企業亦難以避免。即使國泰過去未曾發生同類事件,缺乏相關處理經驗,但今次的應對顯然未能符合外界期望;而在發現情况七個月後才完成初步調查及公布事件,更是慢得難以接受。若當初能及早公開,與顧客一起及早補救,也許能盡快修復系統漏洞,減少對聲譽的影響。
應考慮撤換外判營運商
事到如今,國泰及政府都必須作妥善應對及善後,國泰應先增撥資源加強相關的電腦保安。有電腦專家指出,國泰的資訊科技服務由外判營運商承擔,黑客只是順着營運商系統接駁到國泰網絡系統取得國泰客戶零碎資料,外判的網絡保安公司曾嘗試攔截,但並不成功。國泰一方面應對有關外判營運商問責及調查,若發現表現未如理想,應考慮撤換。另外,更要盡快聘請行內資深的網絡安全公司,徹底檢視現行系統漏洞並作升級,加強網絡保安以保障客戶私隱。國泰更要改革公司現行通報制度,把同類事件應第一時間向乘客通報,把客戶資料泄漏的影響減至最低。
另一方面,本港私隱條例過於寬鬆,導致未能為公司的私隱處理制度,提供有力的參考指標。個人資料私隱專員公署早在十年前已建議政府收緊條例,要求一旦發生個人資料外泄機構需強制通報。歐美等國都就保障個人私隱修緊規例,歐盟就在今年實施了新規定,發生資料外泄須於72小時內通報。可惜香港私隱法例仍然寬鬆,依靠公司自願通報,使本港企業保障客戶資料的意識不足。
需研究加強私隱署執法職能
國泰固然要大力改善處理客戶私隱的制度,以維護過去優秀品牌和信譽的「金招牌」;而政府亦應考慮私隱專員公署的提議,並研究加強公署的調查及執法職能。今次事件後部份市民對使用網絡系統消費增添了憂慮,政府應盡快收緊規管洩漏私隱的條例,先應用到涉及客戶資料的高風險行業,包括航空公司、金融機構及銀行,與國泰合力重建市民對本港商用網絡系統的信心。