國泰(293)早前發通告指,發現公司及其全資子公司港龍航空,有約940萬位乘客的資料曾被不當取覽,當中包括乘客姓名、身份證號碼、護照號碼、出生日期等重要個人資料。
關於是次事件,因國泰業務牽涉歐洲地區,或要面對歐盟今年5月生效的「通用數據保障條例」(GDPR)。有關條例是近20多年來在資料保護法方面作出的最重要改變,不但適用於在歐盟的機構,亦適用於全球所有會蒐集、儲存及處理與歐盟有關的個人資料之機構。
歐盟最高可罰39億
GDPR包括了香港法例內未有規定的項目,並進一步限制處理個人資料的活動。即使一機構身在香港,只要該機構向歐盟人士宣傳、提供產品及服務,或者正處理在歐盟機關內的個人資料,GDPR 也可能適用於該機構。
而據GDPR的規定,相關機構要在事發72小時內通知監管當局,否則最多會被罰去年全球總收入4%,或2000萬歐元(約1.78億元),計算較多的一方。以2017年,國泰全年總收入972億元計,罰款總收入的4%,相當於39億元。
在現今資訊時代,資料安全的重要性不言而喻,無數攻擊者大費周章,無非就是為了獲取他們想要的資料。然而,資料本身其實並沒有價值。大數據要產生價值,除了擁有資料,還要有適當人才,以適切方法進行分析,方能為企業化數據為財富。
國泰會否被歐盟判以大額罰款不得而知。但從另一方面看,國泰原來有多達940萬位乘客的資料可以外洩,其實也代表國泰有大量的數據資料。因此,國泰今後除了要做好資料保護之外,還可花心思想想如何善用已有的大數據產生價值。
英國格林多大學財務學首席講師
財務學學部主任 梁港生
(逢周一刊出)