南都讯 记者李慧琪 当地时间3月4日，英国信息专员办公室（Information Commissioner’s Office, ICO）在其官网宣布，因香港国泰航空公司未能保护乘客个人信息安全，向其罚款50万英镑。

在声明中，ICO指出，从2014年10月至2018年5月期间，因国泰航空的计算机系统缺乏合适的保护机制，已经泄露了940万乘客的详细个人信息，其中有111,578名英国居民受到影响。

据了解，2018年10月24日，国泰航空曾主动披露这一情况，其当时表示，所幸目前没有证据显示有个人信息遭到不当使用。此次，ICO也在声明中指出，目前尚无确凿的个人数据被滥用的案例，但很有可能会在将来发生。

据国泰航空此前介绍，发现未授访问的个人信息包括乘客姓名、国籍、出生日期、电话号码、护照号码、身份证号码及过往的飞行记录信息等，其中包括86万个护照号码，24.5万个香港身份证号，403张已逾期和27张无安全码的信用卡号码被不当访问。

国泰航空透露，2018年3月已发现系统出现数据异常现象，直到5月才确认有用户资料外泄。随后国泰就事件通知香港警方，并且也向ICO进行了报告。

ICO调查发现，国泰的系统是通过连接到互联网的服务器被侵入的，并且被安装了恶意软件用来收集数据。在调查过程中，ICO还发现了一系列其他错误，其中包括：备份文件没有密码做保护；服务器没有应用补丁；使用已经不再被开发者支持的操作系统，以及防病毒保护不足。

ICO的调查主任Steve Eckersley表示，国泰航空的系统存在许多基本的安全问题，使黑客很容易获得访问权限。

值得注意的是，此次ICO依据的并不是《通用数据保护条例》（GDPR），而是英国1998年通过的《数据保护法》，ICO表示这是由“事件发生的时间所决定的（国泰航空发生数据泄露是在GDPR生效之前）。” 而且，国泰航空面临的50万英镑罚款已是该法所规定的处罚数额上限。

ICO在声明中还表示，国泰航空在意识到问题的当下，便立即采取行动，并寻求顶级网络安全公司的专家帮助，且已与受影响的客户联系。    

国泰航空在关于罚款的声明中称，“再次表示遗憾，并为这一事件表示由衷的歉意”，并表示在过去三年中，他们把“大量”的钱花在了安全上。

据悉，2019年7月，同样因为数据泄露，ICO曾向英国航空公司处以1.83亿英镑的罚款，向万豪酒店集团处以9920万英镑的罚款。

编辑：蒋琳