英國的資料保護監管機構已對國泰航空（Cathay Pacific）處以最高罰款，以應對這家亞洲航空公司的重大違規事件，造成數百萬客戶資料受到損害。

資訊專員辦公室（ICO）處以500，000英鎊的罰款是根據舊的1998年《資料保護法》（Data Protection Act 1998）取代的，該法律已被GDPR取代，而英國版本則是《 2018年資料保護法》（Data Protection Act 2018）。

這家香港航空公司950萬名全球乘客中，有超過111，000名來自英國。ICO判定2014年10月至2018年5月之間沒有采取足夠的安全措施，這使駭客能夠在2018年的一次漏洞攻擊中破壞與Internet連線的伺服器並安裝資料收集惡意軟體。

具體來說，它稱 “錯誤目錄”，包括：沒有密碼保護的未備份的面向網際網路的伺服器的備份檔案，AV不足和使用不受支援的作業系統。

人們正確地期望，當他們向公司提供其個人詳細資訊時，這些詳細資訊將得到保護，以確保他們免受任何潛在的傷害或欺詐。ICO的調查主管史蒂夫·埃克斯利（Steve Eckersley）說。

“鑑於國泰航空系統中基本安全缺陷的數量眾多，因此這種漏洞特別令人擔憂，這使得駭客可以輕鬆訪問。我們發現的多個嚴重缺陷遠遠低於預期的標準。從最基本的角度來看，該航空公司未能滿足國家網路安全中心的基本網路基本要求中的五分之四。”

英國罰款的數額也說明了香港國內資料保護制度的不足。

國泰航空花了七個月的時間報告了這一事件，儘管完全沒有法律義務這樣做。私隱專員也無力征收罰款。唯一的選擇是強制執行通知，理由是違反隱私法，並下令公司改善其網路安全狀況。

即使航空公司未能遵守該命令，也只會面臨50，000港元（6433美元）的罰款。

中國特別行政區（SAR）希望根據GDPR 來更新其隱私法，以包括未來收取的重大罰款佔全球營業額的百分比。