香港航空手机程式出现漏洞，以百计乘客的预办登机资料外泄，不法者恐有可能藉此资料冒认乘客取得登机证造成保安风险。（周子惇/摄）

香港航空近年推出不同流动应用程式（App），但继3年前因程式外泄顾客资料遭个人资料私隐专员公署点名警告后，近日香港航空Android版程式再怀疑泄漏数以百计乘客登机纪录(check-inrecord)，外泄私隐资料包括客人英文全名、曾乘搭航班资料及目的地、以至旅行证件号码。揭发事件的乘客质疑此乃低级程式错误，担心客户个人私隐外泄落入他人手中。记者测试时更发现凭外泄资料可以下载实体登机证，不法之徒若利用此漏洞，有机会下载登机证冒认港航乘客突破机场保安防綫，後果不堪设想。有立法会议员则指若未经乘客同意向公众披露其私隐，有机会触犯个人资料（私隐）条例。

林先生今年11月底与女友首次搭乘香港航空往日本旅游，他与女友於11月26日出发前，分别用同款Android手机，以香港航空官方手机App网上预办登机(check-in)手续，当时两人仅以匿名访客（guest）身份使用程式，但经过4个步骤，两人即意外看见逾百个其他乘客登机纪录。若按入纪录，更可进一步看到乘客英文全名、证件号码、飞行日期、出发及目的地、座位编号以及登机二维码的“手机登机证图像”。

林先生及女友虽感奇怪，但最初未有为意，“因为我一开始以为是假的！”。但当两人继续输入自己资料并各自成功预办登机手续後，林才赫然发现，在手机程式中刚才显示其他乘客登机纪录的版面，已新增了包括他及女友个人资料的登机纪录（包括全名及护照号码）。他感到非常奇怪，并担心自己私隐会被其他乘客看到，于是立即取消预办登机。

“我怀疑我甚至可以取消他人的预办登机！因为我女朋友都可以帮我取消登机。」林取消预办登机后，重覆以上步骤再办一次手续，却发现该手机程式版面依然会显示他们两人的登机记录，林先生忧心下，第二次取消预办登机。林最后决定登记为会员，登入后才第三度预办登机手续，这一次两人最新的预办登机纪录终于没有再出现在该手机程式版面，但他们仍能看见其他数以百计其他乘客的登机纪录。

林先生指自己从事电脑程式编写，他坚信问题不是出自其手机或未更新程式最新版本，他亦非常担心自己的个人资料会意外泄漏出去，故他其后致电通知港航，职员表示会紧急跟进，但他旅行回港已一个月，至今未收到港航回覆。

记者12月26日晚上约见林先生查看其手机，发现依照其所说步骤仍能看见逾百项的登机纪录，但除了12月27日的登机纪录之外，其余均已过期，当记者尝试再按入查看详情，大部份登机纪录突然消失，只余12月27日的登机纪录，纪录中可见一名姓Chuang的乘客将乘客机来港，上面列有疑似特区护照号码。

记者利用该登机纪录上的机票编号及顾客名字资料，在港航网页上测试，确认纪录是真实的，甚至可借此下载能列印出来的实体登机证，由于旅客进入机场禁区办出境手续前须出示登机证，故不法者理论上可用App的漏洞下载乘客实体登机证，试图冒认他人潜入机场禁区，保安问题令人关注。

香港航空回覆本报表示正调查事件，港航强调高度重视客户个人和资料隐私的重要性，并对客户提供的所有个人和私人资料严格保密，遵从香港《个人资料（隐私）条例》的规定，并在可能时遵从国际公认的个人资料保护标准。

立法会议员黄碧云建议若乘客发现自己的个人资料或曾被外泄，应该报警求助。她直言乘客姓名、证件号码及来往地点全部属于个人资料，根据法例应该是保密的，未经乘客同意不应向公众披露或让其他乘客查看。她认为负责管理该程式的公司及航空公司应立即检查系统是否出现漏洞，并应尽快修正，否则很大机会触犯相关条例。黄续称，航空公司有责任保障乘客私隐，不应疏忽或随便公开。

2013年香港航空的应用程式“侠客行．旅行”曾被揭外泄顾客资料，当年9月苹果推出iOS7，但负责管理程式的公司未有及时更新手机程式，结果有非会员订票时，竟显示其他非会员个人资料，包括全名、电话及身份证或护照号码，共6人受影响，私隐专员公署经调查后于2014年曾就此作出警告。（记者周子惇、张佩琪）