据外媒报道，日前大型国际航空公司国泰航空披露，在今年3月发生的一次数据泄露事件中，该公司的940万名乘客的记录被盗，另外含有姓名、出生日期、住址等个人信息的护照信息也可能已经泄露。据悉，此次事件还涉及到了每位乘客的具体出行地点以及客户服务代表的评论等等。

（图片来源：cathaypacific）

国泰航空公司（港交所：0293，OTCBB：CPCAY），总部设于香港，是香港第一所提供民航服务的航空公司，旗下子公司包括港龙航空及华民航空。

但它的服务遍布全球包括北美、欧洲、中国内地、中国台湾地区、日本、东南亚和中东。

数据泄露事件被曝出后，国泰航空周四收盘下跌3.77%，盘中跌幅一度超过4%。

（图片来自网络）

这家航空公司在周三发布的声明中指出，公司目前没有任何证据显示任何一名乘客的信息遭到滥用，而受影响的IT系统则完全跟其飞行操作系统独立开来，所以该次网络攻击事件对其飞行安全不会带来影响。

此外，国泰航空表示，正在使用多个通信渠道联系受影响的乘客，并向乘客提供可以保护自己的步骤，没有人的旅行或忠诚档案（loyalty profile）被全部访问，没有密码被泄露。

访问了以下个人数据：乘客姓名；国籍；出生日期；电话号码；电子邮件；地址；护照号；身份证号码；常旅客计划会员编号；客户服务评论；和历史旅行信息。

国泰航空还指出，有403个过期信用卡卡号、27个没有CVV号码的信用卡卡号遭到访问。

国泰航空首席执行官Rupert Hoggc称，事件发生后，国泰立即采取行动遏制此事件，在一家领先网络安全公司的协助下开始彻底调查，并进一步加强国泰航空的IT安全措施。

国泰为可能受到影响的乘客在声明中提出了以下建议：

• 通过专用网站—— infosecurity.cathaypacific.com，提供有关活动和下一步操作的信息。

  
  

• 经过国泰航空的专用呼叫中心，在12：30 / 25OCT（GMT + 8）之后可以使用（免费电话号码可在infosecurity.cathaypacific.com上获得）。

  
  

• 请发送电子邮件至infosecurity@cathaypacific.com，发送电子邮件至国泰航空。
  

国泰选择在6个月后公布数据泄露事件的做法也许会在欧洲市场遇到阻碍，因为欧洲最新通过的通用数据保护条例（GDPR）要求公司在发现违规情况三天后就要告知客户和执法部门。

GDPR-信息泄露通知：一旦发生数据泄露事件，必须在知晓数据泄露事件发生后的 72 个小时内向主管监管机构报告。数据处理者还需要在第一时间通知用户和数据控制者。

就在国泰发出声明的本周三，苹果、Facebook、谷歌等公司纷纷表示，支持美国出台如欧洲《通用数据保护条例》（GDPR）一样的法律措施，来保护美国公民的隐私。

随后，亚马逊、Alphabet、AT&T、Charter Communications和Twitter等其它的美国科技公司都表示，他们支持美国制定联邦隐私法案。

《信息安全技术个人信息安全规范》（GB/T 35273—2017）（以下简称规范），是我国国家质量监督检验检疫总局和国家标准化管理委员会在2017年12月29日发布、2018年5月1日正式实施的一部关于我国公民个人隐私安全保护重磅技术标准。

据悉，在制定《规范》的过程中，起草人先对O E C D、A PE C隐私框架、欧盟《通用数据保护条例》（GDPR）、国际标准化组织（ISO）以及美国个人信息保护相关法律法规等一系列立法和标准进行了通盘梳理，尽可能多地把可用内容“堆砌”出来，再结合中国自身情况不断提炼、精简。

这里面值得一提的是这个“最少够用”原则：

企业不得过多收集与产品业务功能无关的用户个人信息类型和数量，且需明示和公开个人信息处理目的、方式、范围、规则等，同时征求用户的同意。

有媒体人指出，这部《规范》最大的意义是在于明确提出了“个人信息”的内涵，并从中提炼出“个人敏感信息”的范畴。

• 个人信息：

如果从信息本身可识别和关联到特定个人的，即为个人信息，如姓名、电话号码、身份证、通话记录等。

• 个人敏感信息：

一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等个人信息。

参考来源：

• cathaypacific

• cnBeta.COM  

• 新浪科技

• 知乎@安全狗

往期热门资讯：                                        

公众号ID：ikanxue
官方微博：看雪安全

商务合作：wsc@kanxue.com