案例報告 WhatsApp 吹哨者訴訟事件對香港《關鍵基礎設施（電腦系統）條例》 PCI 條例下企業的啟示

一、案件背景

• 事實摘要：
• WhatsApp 前資安主管 Attaullah Baig（2021–2025年在職）於美國聯邦法院提出訴訟，指控其母公司 Meta：

1. 允許約 1,500 名工程師在缺乏監管下，無限制存取用戶數據。
2. 缺乏偵測與稽核機制，工程師可在「不被察覺」情況下移動或竊取用戶資料（聯絡方式、IP 位址、個人檔案照片等）。
3. 吹哨舉報後遭受報復，包括負面績效評核、口頭警告，最終以「表現欠佳」為由解僱。
4. 阻止落實可防止每日 約10萬個帳戶盜用的安全功能，以優先考慮用戶增長。

• 法律程序：該案在美國加州舊金山聯邦法院提出，指控 Meta 系統性怠忽網絡安全責任，違反政府監管命令。

二、於香港 PCI 條例框架下的分析

(一) 關鍵基礎設施之範疇

如 WhatsApp 於香港之運作被指定為「關鍵基礎設施」(CI)，其服務涉及公眾通訊與資訊傳遞，則必須受 PCI 條例約束。

(二) PCI 條例之主要合規義務

1. 電腦系統安全管理單位 (CSSMU)

• 必須設立並負責監管系統安全。
• 1,500 名工程師未經授權即可自由存取用戶資料，顯然違反「存取權限管控」及「監察責任」。

1. 風險評估及稽核

• 條例要求每年進行風險評估及每兩年進行外部稽核。
• 如未能識別工程師不當存取風險，屬重大稽核缺失。

1. 入侵偵測與存取控制

• 條例強制要求具備適當技術措施（如稽核追蹤、SIEM 系統）。
• 「無偵測或稽核機制」即屬違規。

1. 事故通報義務（2小時內）

• 大規模帳戶盜用（每日10萬宗）屬於「重大網絡事故」。
• 阻止安全功能推出，並未及時向主管當局（如保安局／政府資訊科技總監辦公室 OGCIO）通報，構成違法。

1. 法律責任

• 公司：最高可被罰款 港幣500萬元，並可加按日計算罰款直至整改。
• 負責人：如「同意或縱容」失責，董事或高層可承擔刑事責任。

(三) 吹哨者保護

• PCI 條例本身 尚未設明文吹哨者保護。
• 然而，若因舉報而遭報復，涉事公司於香港可能面臨：
• 《僱傭條例》下的不合理解僱索償。
• 在更廣義公司治理規範下，因壓制內部舉報而招致公眾信任危機。

(四) 與其他法例之交錯

• 《個人資料（私隱）條例》（第486章，PDPO）：工程師無限制存取用戶資料，違反 保障資料原則第四項（DPP4：資料安全）。
• 跨境法規風險：如同時受 GDPR 或中國《網絡安全法》管轄，將引致多地同步責任。

三、法律後果與風險

若 Meta 在香港出現同類事實，可能導致：

• 行政措施：被列為「高風險營運者」，須接受加強監管。
• 刑事責任：公司與董事層或面臨檢控。
• 民事責任：用戶可就資料外洩提起損害賠償。
• 聲譽風險：長遠影響信譽及市場准入。

四、給企業的合規建議

• 嚴格存取控制
• 採用「最小必要權限原則」(Least Privilege)。
• 所有存取必須有日誌紀錄並接受稽核。
• 定期風險評估與滲透測試
• 每年至少一次內部及外部風險評估。
• 每兩年進行第三方滲透測試及合規審計。
• 事故應變及通報機制
• 建立 24/7 監控及應急計劃，確保於 2小時內通報主管當局。
• 吹哨者機制
• 雖 PCI 條例未有明文，但企業宜制定內部舉報政策，保障舉報人免遭報復。
• 董事層責任
• 董事須履行「問責義務」，確保資安資源充足。
• 建議在董事會層面設立「科技及網安委員會」。
• 跨法規對齊
• 同步符合 PCI、PDPO、ISO 27001、NIST CSF 要求，避免多地合規風險。

五、結語

WhatsApp 吹哨者事件揭示：

• 企業若將業務增長凌駕於網絡安全之上，極可能觸犯法規，並危及用戶信任。
• 在香港，倘若相同情況出現，Meta 及其董事層將可能面臨 刑事檢控、行政罰款及民事索償，同時在聲譽層面承受沉重代價。
• 建議所有在港營運之關鍵基礎設施營辦者，盡快建立完善之資安管治架構，以符合第653章 PCI 條例與相關法律要求。