“现在还哪有什么隐私可言。”
10月24日晚间,国泰航空发布公告称,公司及子公司港龙航空共有940万名乘客信息遭泄露,包括乘客姓名、出生日期、电话号码、护照及身份证号码、过往飞行记录等资料。
公告还表示,约86万个护照号码及24.5万个香港身份证号码曾被不当取阅。另有403张已逾期信用卡号码,和27张无安全码的信用卡号码被不当取阅。
对于这条新闻,微博上有许多网友庆幸自己“还好没坐过”,但对香港同胞而言,事情严重得多。国泰航空是香港第一家提供民航服务的航空公司,以香港赤鱲角国际机场作为枢纽。这次的信息泄露事件,被香港立法会议员林卓廷形容为“本港历来最大的个人资料外泄事件”。
3月发现,5月确认,为啥10月才披露?
在公告里,国泰航空强调这件事情不会对航班的安全造成影响,因为受影响的资讯系统和航班运作系统彼此独立,公司亦表示没有证据显示任何个人资料曾被“不当动用”。
值得注意的是,国泰航空在公告中表示,公司于2018年3月首次在公司系统内发现可疑活动,并于5月初确认个人资料“曾在未获授权情况下被取阅”。
也就是说,早在3月,国泰航空就已经发现了可疑活动,但却在半年后才公开披露此事。这是为啥?
据香港明报报道,国泰航空顾客及商务总裁卢家培在接受采访时被问及为何不在5月就公布事件,他表示当时只见端倪,“不想制造无谓恐慌”,之所以于昨晚公布,是因为公司一直准备通知受影响乘客的事宜,并花了不少时间做好配套。
他说的“配套”措施指的是国泰正在联系受影响的乘客,并为此事成立了专属网站和乘客专线。同时,国泰已通知警方,警方称正在了解事件。
但这显然是不够的。在今日各大港媒的报道中,接受采访的资讯科技界议员们对此事最大的不满,就是为何到现在才公开披露,质疑国泰“有拖延”。香港个人资料隐私专员公署的隐私专员黄继儿在接受采访时表示,现在这样的资料外泄事故通报只属于自愿性质,即便国泰不通报,在香港法律层面上也很难指责其违规,然而从道德层面上讲,国泰这样的拖延做法会导致顾客有期望落差。
其次,国泰的公告中对乘客信息泄露的原因毫无解释。是黑客入侵?还是内部员工所为?卢家培在接受采访时只说:“无这方面资料,现不会进行揣测,交由警方调查。”
在事发后的五个月中,国泰航空竟没有对事发原因进行调查、确认,无法为乘客提供更具体的信息,这很难令个人信息已遭泄露的乘客重拾对公司的信任。
接下来,国泰面临的是?
公告一出,国泰航空的股价应声下跌,25日盘中最低触及9.9港元(自2009年以来的股价最低位),收于10.22港元,跌幅为3.77%。
除了市值受损外,国泰还很有可能面临来自欧盟的巨额罚款。根据国泰航空的2018中期报告,欧洲地区收入达51.1亿港元,占全球总收入的9.1%。
欧盟的《通用数据保障条例》(General Data Protection Regulation)于今年5月生效,规定了公司要在事发后的72小时内通知监管当局,否则至多会被罚去年全球总收入的4%,或2000万欧元(罚款取较多一方)。如果以国泰航空2017年的总收入972亿港元计算,罚款约为39亿港元(约合4.36亿欧元)。
一家香港航空公司,最终面临的竟是欧盟的巨额罚款——因为,香港也没有完善的保护条例啊。香港立法会议员莫乃光在接受香港01采访时表示,香港政府应考虑尽快增加隐私条例的罚则。目前,香港的隐私条例落后,与国际上的资料保障原则有很大的距离。
雅虎的前车之鉴值得参考。就在两天前,雅虎向美国联邦法院提交了和解协议,同意为史上最大用户数据泄露事件赔偿5000万美元(约合3.47亿元人民币),并向美国和以色列的用户提供两年的免费信用监控服务。
图源视觉中国
雅虎的这起数据泄露事件发生在2013~2014年,大约有30亿雅虎账户的信息被黑客窃取,而直到2016年雅虎才对外公开承认此事。据报道,任何因为持有雅虎账户并因为此安全漏洞而遭受损失的用户都可以获得赔偿。这些损失可能包括身份被盗用、延迟退税或其他个人信息被窃取而遭受的损失。
对比此事,国泰航空表示“没有证据显示任何个人资料曾被不当动用”。然而数据已遭到泄露,惶惶然的乘客们该怎么相信,那些详细得足以绘出用户画像的数据被窃取,不会给自己带来伤害呢?
“现在还哪有什么隐私可言。”——一位微博用户在国泰数据泄露的新闻下评论道。
“每个人都在裸泳”的年代里,我们正逐渐失去对信息安全的敏感度,似乎已平静地接受了大家都是“透明人”的设定。
但至少,不要放弃对企业的追责、对完善法律条例的追求。
本文由 敲敲格 授权 虎嗅网 发表,并经虎嗅网编辑。原文链接:https://www.huxiu.com/article/268587.html