lego logo
Better privacy protection before opening credit data (Column on HKEJ, Chinese version only)
2018-12-03

持有本港逾500萬人借貸資料的信用評級資料服務機構環聯資訊(TransUnion)夥拍第三方網上平台提供的免費查閱個人信貸報告服務,上星期被傳媒揭發存在嚴重保安漏洞,令第三者能夠運用身份證號碼、名字及出生日期,回答數條簡單問題,甚至胡亂回答「全部皆不是」,便可通過環聯的身份認證程序,取得他人的信貸報告,內容包括信貸評分、電話、地址、信貸賬戶號碼、逾期還款等敏感資料。目前金管局已下令環聯暫停提供網上平台的個人信貸報告查詢服務。

 

個人資料常見外洩

 

索取個人信貸報告的身份驗證程序懷疑出現嚴重失誤,令人關注個人信貸紀錄和敏感資料的保障是否不足。從查閱者身份認證而言,第三者能夠通過環聯的系統取閱其他人的信貸報告,相當於把資料交給錯誤對象,有可能被視為不當地處理信貸資料。金管局在環聯出事後表示,該機構為香港銀行和其他信貸機構提供信貸資料服務,並不受金管局和任何法例監管。

 

信貸提供者(如銀行及財務公司)透過信貸資料庫共用及使用個人信貸資料的行為均有法定指引。個人資料私隱專員公署在1998年2月首次發出《個人信貸資料實務守則》,並於2013年1月第四次修訂該實務守則;金管局的《監管政策手冊》的IC-6部分則對認可機構透過信貸資料服務機構共用個人信貸資料時應遵守的最低標準提供法律指引。

 

2010年八達通公司被發現2002年開始售賣客戶個人資料牟利4000多萬元,引起社會強烈反應,被個人資料私隱專員公署裁定違反私隱,更成為修訂私隱條例的分水嶺。近年環聯運用蒐集的信貸報告拓展業務,例如為個人提供網上查閱信貸報告服務、為合作夥伴的客戶免費提供信貸報告等。

 

信貸報告內的資料屬於個人,但消費者卻需要為取得信貸報告而支付服務費近300元是否合理?雖然私隱條例容許資料使用者在依從查閱資料要求(第六項保障資料原則)提供資料時收取「合理費用」,但信貸資料服務機構以售賣個人信貸資料作為產品,並為合作夥伴提供連接個人信貸資料而取得利益的商業模式,似乎屬於法例的灰色地帶。

 

市民私隱如何保障

 

除環聯以外,市場上亦開始有金融科技初創企業準備把消費者信貸數據化為商機,例如以開放應用程式介面(OpenAPI)方便客戶授權連接進行盡職審查的機構,甚至引入人工智能、區塊鏈等技術,促進數據流通。

 

在金融科技發展迅速的今天,對運用消費者信用評級資料的規管應否從《實務守則》提高層次,由金管局規管,令將來運用創新科技提供個人信貸資料更加透明、安全,政府應該主動研究釐清並保障市民權益。

 

美國的《公平信用報告法》(Fair Credit Reporting Act)早在1970年訂立,2003年進一步修訂和強化原有法例,包括規定消費者可以每年向三大信用報告機構免費申請信貸報告一次,也列出消費者可免費申請查閱信貸報告的條件,例如因信貸報告而被拒絕借貸、失業或領取社會福利、懷疑信貸報告因詐騙而內容不正確等。

 

近年不斷發生大規模私隱外洩,消費者面對信用卡資料被黑客盜用的風險。美國三大信貸紀錄公司之一Equifax在2017年發生嚴重數據庫外洩後,國會通過法案,在2018年9月21日起美國的消費者可以免費向三大信貸紀錄公司申請凍結和解凍信貸紀錄,預防及避免身份被盜用,防止詐騙犯冒用個人資料借貸。

 

香港消費者目前連索取個人信貸報告都要付費,信貸提供者和信貸資料庫的行為只有實務守則規管,對消費者權益保護實在非常不足。信貸資料流通可以提升經濟效益,但亦必須同時與消費者私隱保障取得平衡。環聯事件是個提醒,當局和監管機構應思索如何完善法例,提升社會對金融機構和信用評級資料服務機構的信心。

Office Of Hon. Charles Mok, Legislative Councillor (IT)