社評

社評:港人信貸私隱不設防 政府監管把關漏洞大

【明報社評】擁有本港逾500萬人信貸資料的環聯資訊(下稱環聯),索閱資料程序出現嚴重漏洞,未有認清客戶身分便提供個人信貸資料,保安粗疏兒戲,猶如「無掩雞籠」。財務狀况是敏感個人資料,親密如枕邊人也未必知道,豈知原來任何人都可以向環聯索閱,令市民暴露於私隱危機之下,事關重大公眾利益,傳媒有責任揭露,政府更應積極介入,要求環聯切實堵塞保安漏洞,以絕後患。環聯大股東是美資公司,手握的是香港居民最敏感財政資料,絕不能以一盤普通生意的態度看待,政府需要從保障私隱和安全角度,檢討現行安排和監管問題。

環聯把關太兒戲

網上索閱應暫停

環聯資訊(TransUnion)是香港唯一的消費者信貸資料服務機構,提供信貸資料管理服務,蒐集個人信貸綜合紀錄,1999年由美國環聯國際公司(下稱美國環聯)收購,匯豐、渣打、東亞等銀行是環聯小股東。環聯的信貸資料庫,擁有本港逾500萬人的借貸資料,差不多所有居港成年人,只要在港申請過信用卡或按揭、借貸,不論國籍,環聯都有紀錄。消費者向銀行借錢,銀行一般會在合約列明個人信貸資料會提供給環聯,日後銀行有需要時會根據環聯的信貸報告,決定是否借錢給客戶。信貸報告內容會詳列消費者信貸評分、帳戶種類、逾期金額等敏感資料。

消費者信貸資料機構的存在,方便銀行評核借款人財政狀况,有助金融市場穩定,不過隨着近年環聯積極開拓個人索閱信貸報告的市場,私隱問題亦告浮現。環聯對個人信貸資料的蒐集、使用和保管,都受私隱條例規管,市民從來沒有想過,環聯的網上索閱報告系統近乎「中門大開」,所謂「身分核證」馬虎粗疏,形同虛設。理論上,任何人只需知道某人身分證號碼,繳付有限費用,就可以「起底」取得其最敏感的私隱資料。現今社會要市民提供身分證號碼的場合比比皆是,環聯把關太過兒戲,不負責任,市民豈能安枕。

美國環聯總部在芝加哥,業務遍及多地,跟美國各級政府部門素有合作,美國環聯的政府顧問委員會精英雲集,既有聯邦政府前高官、國土安全事務專家,還有國防部及中情局背景人士,很難想像環聯資訊作為美國環聯旗下一員,資料保安工作竟會如此不濟。環聯的保安漏洞影響全港市民,騙徒可以利用有關資料冒認他人借貸,又或詐騙市民付款改善個人信貸評級,環聯也不會主動告訴當事人有誰查閱過其個人資料。重大公眾利益具有凌駕性,傳媒有責任揭露問題,政府和環聯亦有責任全力跟進,堵塞漏洞。

環聯握港人敏感資料

政府須考慮安全大局

事件曝光後,私隱專員公署呼籲環聯即時停止網上索取報告程序,堵塞保安漏洞,加強身分核實步驟,例如採用多重身分核實方式、提升身分核實問題難度,有專家亦認為即時停止網上索閱服務,是最穩妥做法,然而環聯最初的跟進處理相當兒戲,令人質疑公司方面是否意識到問題所在。環聯最初宣布提升「反欺詐管制措施」,包括採用一次性密碼認證,加強網上身分核證,問題是密碼發送對象,是申請索閱者所提交的手機號碼,新措施根本無效。環聯遭議員批評「敷衍了事」,直至黃昏才宣布暫停相關網上服務,足足拖延了大半天。環聯應變處理欠佳,必須認真檢討。

今次事件,暴露政府監管把關工作存在甚大問題。環聯幾乎掌握所有居港成人的敏感財政資料,只此一家,沒有競爭,然而環聯並非銀行,不受金管局直接監管,銀行公會也只能以「合作方代表」的身分,呼籲環聯妥善處理資料。環聯信貸資料庫雖受私隱條例及《個人信貸資料實務守則》規管,惟法例並沒有限制環聯利用手上資料牟利,私隱專員公署常被質疑是「無牙老虎」,政府對環聯的監管能力,叫人相當懷疑。

香港是國際金融中心,在港居住的也不止是香港市民,環聯手握本港大量敏感信貸財政資料,政府不能簡單視之為一般商業機構。從保障私隱和安全角度考慮,政府對於這類獨特商業機構,都必須有足夠監管工具。環聯叫停網上索閱報告服務,僅屬即時「止血」,政府有必要確保環聯堵塞漏洞,加強個人私隱資料保安,長遠更應該借鑑外國經驗,考慮引入競爭,避免獨市經營情况。

■歡迎回應 editorial@mingpao.com

上 / 下一篇新聞