國泰延遲通報資料外洩　香港「無牙」規管應修例

國泰航空約940萬位乘客資料外洩，當中包括護照號碼、身份證號碼等，性質嚴重。更重要的是，國泰最早於今年3月發現有異，卻延至周三（10月24日）晚才公布消息，相隔足足7個月，做法難以接受。
今次事件充分反映香港私隱條例落後，未能規管企業的通報責任，政府及立法會有必要跟進修訂。

電子資料遭黑客入侵，企業固然不可能保證絕對不會發生，但事發後如何應對，卻是企業責任所在。國泰周三晚的公告聲稱，3月「首次在其系統發現可疑活動」，言詞含糊，「可疑活動」不明所指。其顧客及商務總裁盧家培翌日接受電台訪問，在多番追問下才交代，3月發現資料不正常地被轉移到其他系統。

提高警覺絕非恐慌

退一步說，即使接受國泰所言，3月仍未肯定事件性質，但5月初其「確認個人資料曾被未獲授權取覽」，即已肯定資料外洩。延至10月才公布消息，國泰的解釋是需時全面了解，並避免引起「無謂恐慌」。兩個原因，只怕都難以成理。

首先，要掌握多少資訊才算「全面」？5月既已確認資料外洩，這個資訊已非常足夠讓社會提高警覺。再者，通報的作用正是令大眾加緊保護個人資料，但國泰卻說成是一種「恐慌」，只怕本末倒置，以企業利益本位思考。

現行條例沒有通報責任

更遺憾的是，香港目前沒有法例規定企業的通報責任。《個人資料(私隱)條例》主要規管收集個人資料、直銷等行為，未能對應近年屢見不鮮的黑客攻擊。私隱專員黃繼兒在電台訪問中坦言，國泰沒有通報的法律責任，大眾只能怪它未符道德要求。

政府及立法會早應主動討論修例，令《個人資料(私隱)條例》與時並進。目前資料外洩，只得黑客有刑事責任，可謂投訴無門。如國泰等大企業掌握龐大用戶資料，身份證號碼、電話、電郵等資料具商業價值，有被盜取的風險，這些企業理應承擔保護資料的法律責任，包括通報監管機構及受影響客戶。

借鏡彼邦，歐盟兩年前通過《通用數據保障條例》（GDPR），今年5月正式生效，明確將保護資料的責任放在企業身上。條例規定，若有資料外洩，資料保管者要盡可能於72小時內通知歐洲監管機構；涉敏感資料的話，更須通知當事人。只要國泰的940萬乘客中有歐盟公民，便亦須受條例約束。由是觀之，國泰延遲五個月才公布消息，相當大可能已經違規，或要面臨歐盟懲罰。

文明規管可令商界受惠

除了通報機制之外，香港更應考慮是否效法歐盟，限制資料收集及使用。GDPR的做法包括禁止未經許可下分拆資料給第三方、資料當事人可反對被彙編（profiling）個人資料等。

固然，私隱條例愈嚴格，企業的掣肘愈多，或許不利營商，但私隱保護和營商環境，並非必然對立。相反，如果政府沒有適當介入，只會令個人資料淪為沒有底線的戰場。正如蘋果公司總裁庫克（Tim Cook）周三在布魯塞爾的國際會議上，明言希望美國政府收緊規管，跟上歐盟GDPR的標準。庫克作為商界代表，主動歡迎政府規管，顯然他也看得出個人資料已經被當成赤裸裸的生財工具，爭奪戰發展下去，對營商亦非好事。

今次國泰資料外洩，而社會只能望而興嘆，足見缺乏明文規定，只會讓企業有藉口逃避責任。政府及立法會應認清科網世代的私隱需要，盡快修訂個人資料條例，將法律責任加諸在資料保管者身上，避免同類事情再發生。