2018年11月,有本地媒體揭發擁有本港超過500萬人信貸資料的環聯資訊,出現嚴重漏洞,該媒體記者發現只要憑「任何人」身份證號碼及一些公開資料,回答數條簡單問題,當通過身份驗證之後,便可以取得個人評級報告。
事隔一年,香港個人資料私隱專員發表了事件調查報告,私隱專員認為,環聯在網上認證程序中沒有採取所有切實可行的步驟,以確保其持有的個人資料受保障而不受未獲准許的或以外的查閱或使用,因而違反了《個人資料(私隱)條例》下有關資料保安的保障資料原則。不過對於環聯轉移個人資料予其三個合作夥伴,私隱專員並無發現違反使用原則。
私隱專員向環聯作出以下建議:
1)環聯應該選擇私隱侵犯程度較低的方式,轉移信貸資料予合作夥伴;
2)環聯應該讓用戶選擇那些資料可以轉移予合作夥伴;
3)建議每年最少進行不少於一次的審核,以確保夥伴有足夠資料保障水平;
4)由內部人員或第三方專家進行定期檢查,查找及修補漏洞,並改善認證程序;
5)容許個人以較低收費查取信貸報告。
自發生資料外洩事故後,環聯已暫停了網上查詢個人信貸報告服務,至今仍然未恢復運作,消費者仍然需要親身到環聯辦事處訂購信貸報告。
宜多於一間機構作KYCU
近年,金管局推出儲值支付工具牌照(Stored Value Facility) 及虛擬銀行牌照(Virtual Bank),希望全速在金融科技上發展,而由金管局推動的「專業資訊機構」(KYC Utility)平台,原本會由銀行公會在5間有提交建議的機構中,篩選出一間作為服務供應商。
市場傳聞環聯本來被選中的呼聲很高,但自爆出了環聯資料外洩事故之後,整個篩選過程亦好像停了下來。KYCU在香港一日未作好準備,這將會為虛擬銀行的誕生帶來不少的障礙。金管局及銀行工會應該考慮,採納多於一間機構作為KYCU,以平衡任何一間機構因為任何原因而導致KYCU停止運作,對虛擬銀行帶來的影響。
方保僑
香港資訊科技商會榮譽會長