国泰航空及子公司港龙航空约940万名乘客资料曾被不当取览，资料包括姓名、电话、约86万个护照号码、24.5万个香港身分证号码，以及430张已逾期或无安全码的信用卡号码等，外泄资料量较去年选举事务处失378万名选民资料，多出一倍。国泰3月已发现可疑，5月确认出事，至昨晚10时多才发公告。私隐专员公署称从国泰公告得悉事件，非常关注，将主动接触国泰及展开审查。

3月见可疑
5月确认“未授权取览”

国泰在公告指出，今年3月首次在系统发现可疑活动，事后由网络安全公司协助调查，同时加强资讯系统保安，5月初确认有个人资料被未获授权取览。国泰称，无证据显示任何个人资料被不当动用，亦无任何乘客的旅行及常客计划资料被全部取览或密码外泄，强调受影响系统与国泰航班系统完全独立，不影响航班安全，但未交代确认外泄近半年始公布的原因。

称无证据资料被不当动用

国泰外泄的资料包括86万个护照号码、24.5万个香港身分证号码、403张已逾期信用卡号码和27张无安全码的信用卡号码，每名受影响乘客被不当取览的资料皆不同；其他未获授权取览的资料还有乘客姓名、国籍、出生日期、电话号码、电邮地址、地址、飞行常客计划的会员号码、顾客服务备注及过往飞行纪录。

CEO道歉 开事件专属网站

国泰行政总裁何杲就事件致歉。国泰已通知警方，并正知会当局及受影响乘客，又设立专属网站及顾客专线（见表）。警方称正了解事件。

资讯科技商会资讯保安召集人范健文称，国泰未有交代如何引致事件，“有不少可能性，例如国泰网站有漏洞、员工登入的资料和密码被人浏览到，但（国泰）完全没说”。他相信国泰每年应有网络保安的安全测试，质疑为何没找出漏洞。

资讯科技界议员莫乃光对国泰昨晚才公布感不满，“为何5月确认个人资料被取览，拖5个月才公布？我怀疑国泰有拖延”。他引述欧盟最近通过的《通用数据保障条例（GDPR）》，若发生同类事故，需于72小时内通报，违者可罚年度全球营业额4%。他指本港私隐条例已不合时宜，罚则及阻吓不高。

莫又称，香港近年最大同类事件是去年选举事务处失去378万选民资料，现不知受影响国泰乘客有多少港人，不肯定今次是否本港历来最大宗资料外泄事件。

谭文豪：被泄资料非完整

公民党谭文豪称，以他了解，被泄的并非完整资料。他举例：“例如我名字，‘谭文豪’可能只泄露了‘谭’和‘豪’两字，风险未必太大。”他相信国泰已有高度保安系统，但今次显示私隐安全有隐忧。