國泰（293）早前發通告指，發現公司及其全資子公司港龍航空，有約940萬位乘客的資料曾被不當取覽，當中包括乘客姓名、身份證號碼、護照號碼、出生日期等重要個人資料。

　　關於是次事件，因國泰業務牽涉歐洲地區，或要面對歐盟今年5月生效的「通用數據保障條例」（GDPR）。有關條例是近20多年來在資料保護法方面作出的最重要改變，不但適用於在歐盟的機構，亦適用於全球所有會蒐集、儲存及處理與歐盟有關的個人資料之機構。

　　歐盟最高可罰39億

　　GDPR包括了香港法例內未有規定的項目，並進一步限制處理個人資料的活動。即使一機構身在香港，只要該機構向歐盟人士宣傳、提供產品及服務，或者正處理在歐盟機關內的個人資料，GDPR 也可能適用於該機構。

　　而據GDPR的規定，相關機構要在事發72小時內通知監管當局，否則最多會被罰去年全球總收入4%，或2000萬歐元（約1.78億元），計算較多的一方。以2017年，國泰全年總收入972億元計，罰款總收入的4%，相當於39億元。

　　在現今資訊時代，資料安全的重要性不言而喻，無數攻擊者大費周章，無非就是為了獲取他們想要的資料。然而，資料本身其實並沒有價值。大數據要產生價值，除了擁有資料，還要有適當人才，以適切方法進行分析，方能為企業化數據為財富。

　　國泰會否被歐盟判以大額罰款不得而知。但從另一方面看，國泰原來有多達940萬位乘客的資料可以外洩，其實也代表國泰有大量的數據資料。因此，國泰今後除了要做好資料保護之外，還可花心思想想如何善用已有的大數據產生價值。

　　英國格林多大學財務學首席講師

　　財務學學部主任 梁港生

　　(逢周一刊出)