国泰航空及其全资子公司港龙航空惊爆约940万名乘客的个人资料外洩，甚至曾有乘客资料曾被不当取览，令外界震惊的，不单是资料外洩，而是竟然早于今年3月已察觉有可疑报告，再于5月证实事件，竟然延误长达逾半年，才于前晚透过发出公司公告对外报告，并且于昨天才向警方报案。由此可见，香港在监管个人资料的法例相当落后，未能规管企业的通报责任，让肇事机构毋须在某个时限内公开交代。经过今次事件，政府必须研究修例，堵塞漏洞。

在科网世代，市民难言拥有可保护私隐，早已有心理准备个人资料被盗取，关键只在于洩漏多与少。国泰初步发现乘客外洩的资料，包括护照号码及身份证号码等，这些资料足以供犯罪集团用作从事不法勾当，性质严重。然而，国泰早于今年3月已发现有异，却相隔足足7个月才交代，做法无法令人接受。

最荒诞是国泰航空顾客及商务总裁卢家培昨天仍在死撑，指要小心处理，以免引起无谓恐慌，故用了较长时间了解事件并作出配套准备，到周三（24日）晚上才发出公告。我们不接受这解释，因为资料既然已外洩，就应尽快公布，让市民自己先提高警诫心，以免被骗。今时今日，国泰仍抱持这态度来发放资讯，是本末倒置，仅以企业利益角度来考虑。

除了对市民隐瞒外，执法部门亦然，一个企业被人盗取如此重要资料，竟然长达七个月后才报警，恐怕网络上任何证据也会被删掉或在更多人接触下，增加警方调查困难。同时，在报案后，又未有立即安排警方介入调查，拖延时间，看来「报警」这个动作也是行礼如仪，不期望警方查明真相。

在事件发生后，香港个人资料私隐专员黄继儿表示，非常关注情况，会主动联络相关航空公司，并就事件展开循规审查。事实上，公署可做的不多，根据法例，违反保障资料的原则不会直接构成刑事罪行，但私隐专员可以向有关资料使用者发出执行通知，指令其停止进行违规行为，以及採取必要补救措施。如果违反执行通知的规定，即属犯法，可被判处罚款或监禁，一经定罪，可被判处最高罚款港币5万元及监禁2年。

若有人认为其个人资料私隐受侵犯而蒙受损失，包括情感伤害，可根据条例向相关的资料使用者申索，以弥补损失。私隐专员可代其提出法律程序以寻求补偿，并给予法律协助。不过，举证相当困难。

《个人资料(私隐)条例》主要规管收集个人资料、直销等行为，未能对应近年屡见不鲜的黑客攻击。欧盟两年前通过《通用数据保障条例》（GDPR），今年5月正式生效，明确将保护资料的责任放在企业身上。条例规定若有资料外洩，资料保管者要尽可能于72小时内通知欧洲监管机构；涉敏感资料的话，更须通知当事人。GDPR的做法包括禁止未经许可下分拆资料给第三方、资料当事人可反对被汇编（profiling）个人资料等。

以今次事件为例，只要国泰的940万乘客中有欧盟公民，便亦须受条例约束。由是观之，国泰延迟五个月才公布消息，相当大可能已经违规，或要面临欧盟惩罚。经过今次国泰事件，政府应讨论修例，令《个人资料(私隐)条例》与时并进，针对企业理应承担保护资料的法律责任，包括通报监管机构及受影响客户。