新聞稿

日期: 2019年12月9日

環聯資料外洩事故
網上認證程序存在漏洞 – 違反資料保安原則

香港個人資料私隱專員（私隱專員）黃繼兒今天發表某本地報章通過環聯資訊有限公司（環聯）的網上認證程序，取得數名公眾人士的信貸報告的資料外洩事故（該事故）的調查報告。私隱專員認為，環聯在網上認證程序中沒有採取所有切實可行的步驟以確保由其持有的個人資料受保障而不受未獲准許的或意外的查閱或使用，因而違反了《個人資料（私隱）條例》 （《私隱條例》）下有關資料保安的保障資料原則。

調查主要結果

該事故發生時，個人可透過環聯網站及其五個夥伴的網站／手機程式申請及查取信貸報告。

資料保安 – 網上認證程序存在漏洞

私隱專員認為，環聯在網上認證程序中違反了《私隱條例》附表1保障資料第4(1) 原則（資料保安），基於：

(1) 個人所輸入的全名和出生日期無須與環聯資料庫的紀錄完全脗合；

(2)「基於知識的認證」採用了 (a) 與個人年齡範圍及生肖這些與環聯獨有交易無關的問題，及 (b) 過時而易被剔除的答案；

(3) 其他網站／手機程式的查取途徑沒有因個人未能通過某一網站／手機程式的認證程序而被封鎖；及

(4) 非所有申請均使用雙重認證。

資料使用 – 資料顯示及轉移資料予夥伴並不違規

私隱專員認為，環聯使用個人資料作身分認證及向有關個人顯示信貸資料的目的與收集資料的目的一致。另一方面，轉移個人資料予其三個夥伴的目的則並非環聯收集相關資料的原本目的或與該目的直接有關，所以如此轉移需按照《私隱條例》附表1的保障資料第3(1)原則（資料使用）的規定取得有關個人的訂明同意。就此，私隱專員審視了申請程序的每個步驟，並無發現如此轉移違反上述的原則。

執法行動

私隱專員依據《私隱條例》第50(1)條行使其權力向環聯送達執行通知，指令環聯糾正有關違反及防止有關違反再發生。

給環聯的建議

私隱專員向環聯作出以下五項建議：

(1) 有利於私隱保障的預設設定

­ 轉移信貸資料予夥伴不應是預設設定，環聯應該選擇私隱侵犯程度較低的方式。

(2) 讓個人選擇轉移資料的種類

­ 當個人被要求同意環聯轉移信貸資料予夥伴時，未必確切知道會被轉移的資料範圍。因此，私隱專員建議環聯列出有關資料，讓個人選擇哪些資料可轉移予夥伴。

(3) 管控從環聯收取個人資料的夥伴

私隱專員建議環聯每年進行不少於一次的審核，以確保夥伴有足夠程度的資料保障水平。

(4) 定期檢討網上認證程序

­ 鑑於科技進步，環聯應由內部人員及／或第三方專家進行定期檢討，以查找及修補漏洞，並改善認證程序（包括評估使用生物特徵認證的合適性）。

(5) 容許個人以較低費用查取信貸報告

­ 在考慮服務的需求量、其他司法區收取或沒有收取的可比費用後，環聯的收費與其他司法區的收費相比看似偏高。私隱專員建議環聯檢討其收費架構，並向個人提供以較低費用取得信貸報告但不提供其他附加服務的選擇。

對信貸資料機構的監管

私隱專員黃繼兒表示：

「個人信貸資料對有關的個人而言是很私人的資料。確保個人在信貸資料方面的私隱權，與信貸提供者和整個社會在維持商業活力和借貸行業的穩定性的利益之間，取得適當的平衡，那是非常重要的。」

「作為資料使用者，信貸資料機構須遵從《私隱條例》及香港個人資料私隱專員公署發出的《個人信貸資料實務守則》（《守則》）的指引。在考慮個案的所有情況及所得的資料後，我提出了幾個有關《守則》的政策問題，以在日後如有需要檢討《守則》時向各持份者，包括其他相關監管機構，進行公眾諮詢。其中一個政策問題是，應否容許香港有多於一個信貸資料機構，特別考慮到香港對有關服務的需求及競爭不足。」

「儘管本人是保障所有個人資料（包括信貸資料）的監管者，我認為信貸資料機構在金融市場扮演著重要的角色。應如何有效規管它，或需進一步研究。」

「公眾關注中央信貸資料庫由商業機構管理，而不受金融規管者規管。環聯的業務不受其他機構規管這個事實，不能單憑守則，或修訂後的守則處理。」

私隱專員根據《私隱條例》第48(2)條考慮到在符合公眾利益的情況下發表對是次事故的調查報告，報告可按下圖下載：