940万名客户资料外泄 国泰航空隐瞒5个月后公布或将面临巨额罚款
2018-10-30 10:52:39 作者: 来源:中国经营网 浏览次数:0 网友评论 0 条
中华PE:
近日,香港国泰航空有限公司(以下简称“国泰航空”,00293.HK)发布公告称,该公司及子公司国泰港龙航空发现大约有940万名乘客的资料曾被不当取览,每位乘客被不当取览的程度有所不同。除了泄露的数据较多之外,国泰航空向外界宣布时间比确认资料外泄时间晚了约5个月。国泰航空在香港联合交易所公布的一份公告中显示,2018年3月公司首次在全资子公司港龙航空的系统中发现可疑活动,并在5月确认乘客个人资料被未获授权取览。
根据欧盟的《通用数据保护条例》,涉事公司需在72小时内通报数据泄露事件,否则会面临罚款。按条例最高可罚公司去年全球总收入的4%或2000万欧元(约1.8亿港元),以价高者为准。若以国泰航空去年总收入972.84亿港元计算,可能面临38.9亿港元的巨额罚款。
就此,《中国经营报》记者拨打国泰航空专门处理此次泄密事件的公开电话,其工作人员告诉记者,目前公司在内部已经成立专门小组阻止了系统漏洞,在外部与数据追查服务供应商Experian以及全球的银行进行合作,为乘客提供监测系统,及时反映个人信息登陆的异常情况。至于为何会产生信息泄露,还在调查当中,披露时间尚不得知。
受此消息影响,国泰航空股价应声下跌,交银指出,国泰航空公告次日的股价收市跌3.8%至10.22港元,股价创下了逾9年新低。
940万乘客信息遭泄露
据公开资料显示,国泰航空是香港第一家提供民航服务的航空公司,曾被评为全球十大最安全航空公司之一。这次的信息泄露事件,被香港立法会议员林卓廷形容为“本港历来最大的个人资料外泄事件”。
香港国泰航空发布公告称,该公司发现大约有940万名乘客的资料曾被不当取览。涉及的个人信息包括乘客姓名、国籍、出生日期、电话号码、电邮及实际地址、护照号码、身份证号码、飞行常客计划会员号码、顾客服务备注及过往的飞行记录资料等。其中,86万个护照号码以及24.5万个香港身份证被不当取览。此外,有403张已逾期的信用卡号码以及27张无安全码的信用卡号码曾被不当取览。每位乘客被不当取览的程度有所不同。
对此,国泰航空总裁何杲对外致歉并表示,“我们没有证据显示任何个人资料已被不当使用,没有任何乘客的旅行及常客计划资料被全部取览,也没有出现任何密码外泄。”同时,他声明,目前该事件已在一家行业领先的网络安全公司协助下展开全面调查,公司也会进一步加强信息系统保安措施。
目前,香港警方已初步跟国泰航空公司代表录取口供,并且将此案件列作“有犯罪或不诚实意图而取用电脑”。警方正等候受国泰委托负责调查的网络安全公司提供进一步资料,包括涉及多少服务器及其出现异常的原因等。
据了解,国泰航空于10月25日下午以及晚间,分别开通为处理此次事件的专属网站以及顾客专线。在其网站上,国泰航空表示将在适用地区向受影响的乘客提供身份监察服务。该服务将监察乘客的个人信息是否出现于公共网站、聊天室、博客,以及如暗网等可能造成信息泄露的非公开网络平台。
至于为何会造成乘客信息的泄露,国泰航空并未进行说明。国泰航空顾客及商务总裁卢家培在接受媒体采访时仅表示:“无这方面资料,现不会进行揣测,交由警方调查。”
航空专家林智杰表示,航空公司的乘客个人信息一般是保存在客户关系系统,或者客户服务系统。信息泄露的原因有可能是黑客攻击、系统自身漏洞、员工违规泄露以及操作不当等。
律师欧阳一鹏则表示,航空公司属于复杂架构公司,民航运营过程中信息化网络程度高,规模大、系统复杂、专业性强。根据我国民航运营惯例,航空公司泄密分为两种,一种是民航公司自身系统被攻破造成泄密,另一种是第三方管理采集管理信息不善造成泄密。两个环节出现任何披露,都会造成公民个人信息被侵犯。公民信息不被泄露,需要的是民航企业、监管部门、个人等多方面的共同努力,才能保障这一系统性工程的牢固安全。
或将面临巨额罚款
记者注意到,国泰航空向外界宣布的时间比确认资料外泄时间晚了约5个月。据香港《明报》报道,卢家培在接受媒体采访时被问及为何不在5月就公布事件,他表示当时只见端倪,“不想制造无谓恐慌”,之所以推迟公布,是因为公司一直在准备通知受影响乘客的事宜。
林智杰告诉记者,在发现信息泄露长达5个月才对外发布最可能的原因是,国泰航空要明确泄露的范围,评估可能的损失,尽量找到补救办法,争取大事化小,小事化了。假如一发现信息泄露就直接发布,可能会对他们的股价,对客户的信心,造成很大的冲击,这是他们不愿意看到的。
然而事实上,受此消息影响,国泰航空股价应声下跌,股价创下了逾9年新低。同时,高盛预期,此事件或会对国泰的品牌形象带来负面影响,尤其是过境旅客或会选乘其他航空公司。该行续指,在现阶段要将相关影响量化是不可行的,会继续监察公司未来数月的预订及客流量表现。现维持其12个月目标价在17.2港元/股,评级“买入”。
另外,国泰航空亦可能会面临全球监管机构的罚款,或要对乘客作出赔偿。国泰航空表示,这一两天会陆续通知受影响的乘客,至于是否赔偿,会“根据个别情况酌情处理”。
根据欧盟的《通用数据保护条例》,涉事公司需在72小时内通报数据泄露事件,否则会面临罚款。若以国泰航空去年总收入972.84亿港元计算,可能面临38.9亿港元的巨额罚款。
林智杰对此评价道:“国泰航空3月首次在系统发现可疑活动,欧盟法规是5月发布,所以这次可能会逃过一劫。”
除了可能面临相应的赔偿,国泰航空泄露乘客信息一事或将面临一定的法律责任。欧阳一鹏告诉记者,民航各单位对本单位的网络信息安全负有主体责任,其主要负责人是本单位网络信息安全的第一责任人,民航各级行政管理机构负有监督管理责任。国泰航空如果发生重大网络安全隐患、漏洞或基础网络、重要系统受到外部攻击遭到破坏等严重情况,首先由民航行政管理机构启动调查工作,根据调查结果分别处以责令限期改正、对责任单位主要负责人及对责任单位处罚款、依法责令暂停相关业务、依法承担民事责任、依法追究刑事责任等处罚。
已有
