據(jù)報道，國泰航空2018年3月發(fā)現(xiàn)系統(tǒng)異常，5月留意到有客戶數(shù)據(jù)外泄，但24日晚才通過香港聯(lián)交所公布。香港信息科技商會信息保安召集人范健文稱，歐盟2018年5月實施《一般數(shù)據(jù)保護條例》(GDPR)，訂明若歐盟公民的資料外泄，涉事公司需在72小時內(nèi)通報事件，否則會被罰款。范健文認為，本次事件必定牽涉歐盟公民，國泰或已違反GDPR。按條例最高可罰公司去年全球總收入的4%，或2000萬歐元(約1.8億元港幣)，以價高者為準，若以國泰航空去年總收入972.84億元港幣計算，罰款或高達38.9億元港幣。

國泰航空25日向受影響旅客發(fā)電子郵件表示，將為他們提供1年的免費個人信息監(jiān)測服務，可以在互聯(lián)網(wǎng)上公開的位置如網(wǎng)頁、討論區(qū)、網(wǎng)志以至非公開的位置，都可監(jiān)測相關的個人資料是否有被披露。使用有關服務屬自愿性質(zhì)，旅客可決定何種資料需交由有關服務監(jiān)測，也只會用于以上用途。此外，電子郵件提醒旅客最好不時更換帳戶密碼，以及查看是否有可疑活動，并對詐騙行為時刻保持警覺。

國泰航空顧客及商務總裁盧家培25日稱，相信事件沒有令客戶造成財產(chǎn)損失，強調(diào)國泰航空關心事件對乘客的影響，感到抱歉之余也完全沒有隱瞞。而國泰航空已堵住保安漏洞，目前沒有證據(jù)顯示在3月后有其他入侵。盧家培表示，過半外泄數(shù)據(jù)涉及姓名及電話號碼或電子郵件，其他外泄數(shù)據(jù)并不包括會員帳戶密碼，而涉及的430張信用卡資料中，有93%逾期，剩下的資料也不完備，因而相信事件沒有令客戶造成財產(chǎn)上的損失。

盧家培表示，多月后才發(fā)放訊息，是希望掌握更多情況及避免造成“不必要的恐慌”。國泰航空行政總裁何杲25日也錄制短片及向客戶發(fā)電子郵件致歉。國泰航空表示，已就事件通知個人資料私隱專員公署及報警。香港警方25日晚稱，已接獲案件，暫列為“有犯罪或不誠實意圖而取用電腦”，會交由網(wǎng)絡安全及科技罪案調(diào)查科跟進。

私隱專員黃繼兒表示，香港現(xiàn)在出現(xiàn)資料外泄事故通報只屬自愿性質(zhì)，即使國泰航空不通報，在香港法律上也難指其違規(guī)。他稱，公署會對保安程序作循規(guī)審查，并認為國泰航空的做法在道德層面上導致顧客有期望落差，“在道德責任來說，一發(fā)覺有異常活動、有不妥，便應立即通知”。