“FINTECH - Reshaping the Future of Finance Services”

244 245 記得筆者曾探討劍橋分析公司 (Cambridge Analytica) 利用臉書 （Facebook）平台上的漏洞，未經許可收集了逾 5000 萬臉書用戶 的信息資料。事故中，個人資料外洩的規模龐大，殃及的人數眾多， 以千萬單位計，關鍵之處，是負責收集資料的劍橋心理學教授科根 （Aleksandr Kogan），透過一個性格測試的 APP，邀請臉書的用戶參 與測試，科根則收集登錄臉書帳號參與者的個人資訊與點贊記錄。除受 訪者本人外，再通過收集受訪者在臉書上的好友資料。當時，參與性格 測試的人數約 32 萬人，但科根順藤摸瓜，加上用戶在臉書上的好友， 像滾雪球般，讓他輕易收集到逾 5000 萬臉書使用者的資料－這個「友 朋間信息披露」（Peer-Disclosure）風險的網絡新現象，展示了個人對 於保護自身的私人資料，同樣帶有忽略「第三方」風險的意味。 可以說，在網絡系統相互勾連、多方向傳輸的今日網絡世界上，「第三 方」風險，其「隱蔽性」往往受到忽略，卻又往往帶來防不勝防的巨大 破壞性，因而無論是企業或個人，都必須對「第三方」風險提高警惕。 事後回應須早披露 回到國泰航空客戶資料外洩的事故，在防備上出現了漏洞，事發後，國 泰因應事故的處理，亦有值得討論之處。由於事發於 2018 年 3 月，但 國泰航空到 10 月下旬，相隔逾半年才公開事件，無論當事機構如何解 釋，其理由都難以令人信服。 很明顯，由事發到公開披露消息，時間相差了逾七個月，當中，容許黑 客有很大「上下其手」作出攻擊的空間。為什麼國泰拖延公佈而不盡快 向外披露，使遭受資料外洩的受害客戶能夠盡快作出措施，去避免可能 出現的損失，如及時通知相關銀行暫時停用信用卡、甚至馬上更改信用 卡密碼，或電郵地址的登入密碼等，把握到避免或減少損失的黃金時 機。 歐盟於 2018 年 5 月下旬所落實的《通用數據保護條例》(General Data Protection Regulation，簡稱 GDPR)，規定個人數據處理者必須清楚 地披露任何數據收集，聲明數據處理的合法基礎和目的、保留數據的時 間。如果數據洩露對用戶私隱產生不利影響，企業必須在 72 小時內向 主管監督機構報告。盡快向外作信息披露的考量，是讓受影響的客戶能 夠盡快作出應對，減少損失。 客戶失去自救黃金機會 事實上，企業遭黑客入侵，導致客戶個人資料外洩，若「秘而不宣」， 不僅使客戶的利益受到更大的潛在損害，而且亦使公司事後面對更大的 潛在訴訟風險。誠然，目前大部分企業對於公司遭黑客入侵，更傾向把 事故「掩飾」，擔心公司聲譽受損，影響業務，且往往在事發之初，以 免引起公眾無謂恐慌為由，公司需要時間去瞭解事故，甚至找出事故的 確實原因，故而沒有及早向外公佈。 然而，這種講法值得究詰，正如筆者的拙文（見本書 P.258《網絡保安 「雙重道德風險」陷阱》一文所指出，網絡資訊系統的保安，需要涉及 其中的各持份者共同維護、共同作出貢獻、共同承擔，而非單獨一方機 構可以隻手解決，從這個角度看，國泰今次事故，客戶個人資料的安全 網絡保安與個人私隱保障