【國泰航空】國泰客戶資料外洩 有否違歐盟私隱新例？

國泰航空昨晚公布，有約940萬位乘客的資料外洩，當中包括個人資料，如護照號碼、身分證號碼等。今次為香港歷年最大的資料外洩事件，國泰疑違反了歐盟私隱新例，隨時有機會被重罰。

歐盟私隱新例是甚麼？

今年起，各大網站都要求用戶更新私隱設定，包括授權網站使用 Cookies，就是源於歐盟私隱新例。歐盟私隱新例《數據保障條例(GDPR)》（General Data Protection Regulation），是為了保障網上用戶資料及規管網絡公司而設。新例一直被喻為史上最嚴厲的私隱保護法，因規管範圍擴大至擁有歐洲公民客戶資料的公司，任何國際公司亦無可倖免。

條例嚴格規定，一旦發現資料洩漏，機構委任的資料保障主任必須於72小時內通知歐盟的監管機構。若觸犯法例，視乎情况嚴重性，最高罰款為2000萬歐元（約1.78億港元）或該機構於全球的4%營收。

國泰有違反歐盟私隱新例嗎？

歐盟私隱新例早於2016年通過，設有2年過渡期，於今年5月25日正式生效。

而國泰指今年3月發現其資料系統有可疑活動，5月初確認資料被盜，公司至昨日（24日）才公佈。按照新例，公司未有在72小時內通報，已是屬違規。惟事件發生於新例生效之前，由於法例沒有追溯期，國泰會否受新例規管，仍然存疑。

一旦被裁定違法，會為國泰帶來甚麼影響？

一旦被歐盟裁定為違法，國泰將面臨2000萬歐元的最高罰款（約1.78億港元）或該機構於全球的4%營收。以國泰航空2017年總收入972.84億港元計，若罰款4%，相當於38.9億港元。而受事件影響，國泰（00293）今日收報10.22港元，挫3.77%。

有沒有先例？

社交網站Facebook於9月底確認有2900萬用戶的資料外洩，是疑違反《數據保障條例(GDPR)》的首例，案件正受歐盟的隱私監管機構愛爾蘭私隱保障委員會（DPC）調查。根據2017業績，Facebook若被裁定違例，可被罰高達14億歐元（約126億港元）。