個人資料私隱專員公署(私隱專員公署)今日就環聯資訊有限公司(環聯)的個人資料系統發表視察報告。
隨著時代變遷,數碼資訊科技急速發展,加上環聯的服務被廣泛地使用,社會對環聯的個人信貸資料庫的保安期望大大提升。在這情況下,個人資料私隱專員鍾麗玲(私隱專員)遂依據《個人資料(私隱)條例》(《私隱條例》)第36條的權力,對環聯進行視察,審視其個人資料系統。
環聯的全資附屬公司環聯信貸資料服務有限公司已於2022年11月28日獲香港銀行公會、香港持牌放債人公會及香港有限制牌照銀行及接受存款公司公會委任為「多家個人信貸資料服務機構(Multiple Credit Reference Agencies)模式」下的其中一間信貸資料機構。
視察結果顯示,環聯在視察期間的個人信貸資料庫載有超過 560 萬名消費者的個人資料及信貸紀錄。整體來說,環聯重視保障其持有的個人資料,採取了良好的行事常規,其個人信貸資料系統的保安措施符合國際標準。私隱專員亦樂見環聯已經接納公署的意見建立個人資料私隱管理系統並委任專責人員作為保障資料主任,有系統地建立一套遵從《私隱條例》規定的制度,以收集、持有、處理及使用個人資料。
私隱專員認為環聯在保障其持有的個人資料方面,符合《私隱條例》中附表1的保障資料第4原則有關個人資料的保安的要求。
雖然如此,私隱專員建議環聯就其全球政策制訂適用於香港公司的內部政策及標準、更具體地訂明保障資料主任的職責及角色、就內部系統日誌紀錄的管理方式訂定統一標準、修訂處理信貸提供者的懷疑異常查閱情況的政策,並定期對資料處理者處理個人資料的做法進行適時的檢視。
視察期間,環聯因應私隱專員公署的建議推行免費「信貸提示服務」,當訂閱「信貸提示服務」人士的信貸報告出現重要變動(例如更改電話號碼或地址,出現申請查詢或帳戶開設),環聯會透過電郵通知該人士,讓該人士知悉其信貸報告的變動,並可以預早作出防範或跟進。此外,環聯亦因應私隱專員的建議推出一項服務,讓被「起底」或懷疑被「起底」的人士,可在其信貸報告中加入備註,讓使用環聯個人信貸資料服務的信貸提供者(即銀行或財務機構)查閱該名人士的信貸報告時得悉此事,在審核該人士的信貸申請時可作參考。
私隱專員鍾麗玲表示:「由於本港現已引入多間個人信貸資料服務機構,我期望在本視察中所得出的結果及建議,除了可進一步協助環聯加強其個人資料的保安,亦可讓其他個人信貸資料服務機構作為參考,協助他們遵從《私隱條例》及《個人信貸資料實務守則》的規定。」
私隱專員希望透過視察結果,向日常需要處理大量客戶個人資料的機構作出下述建議︰
-
設立個人資料私隱管理系統及委任專責人員作為保障資料主任;
-
制訂地區性政策;
-
履行企業社會責任及致力加強保障客戶個人資料私隱;
-
監控個人資料的查閱情況;及
-
審慎聘任及管理資料處理者。
下載《視察報告:環聯資訊有限公司的個人資料系統》:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r22_0684_c.pdf
-完-