個人資料私隱專員公署(私隱公署)周四(6月1日)發表《未經授權查閱TE信貸資料庫的信貸資料》調查報告,指由軟媒科技有限公司(軟媒科技)營運的TE信貸資料庫,共被約680間財務公司查閱,涉及約18萬名借款人的信貸資料,疑屬未經授權查閱信貸資料。據了解,此資料庫在未經借款人授權下,供財務公司以每次2元的價錢,可5天內無限次查閱;公署指已向軟媒科技發出執行通知,要求3個月內糾正,否則將作刑事檢控。
私隱公署調查未經授權查閱TE信貸資料庫的信貸資料一事,事件源於一名投訴人發現其在TE信貸資料庫內的信貸資料,在他不知情及未經同意下,被8間他不認識的財務公司多次查閱;投訴人遂向私隱專員公署投訴,指TE信貸資料庫沒有足夠保安措施保障其個人資料。
根據調查所得,個人資料私隱專員(私隱專員)鍾麗玲認為,軟媒科技在保障個人資料所採取的保安措施及保留信貸資料的時限方面存在以下三項不足,包括未有採取適當的措施防止個人信貸資料受到不當查閱、處理或使用;薄弱的密碼管理;及逾期保留已完成還款超過5年的信貸紀錄。
此個案中,私隱專員發現軟媒科技沒採取適當保安措施,以監察及管理財務公司查閱及使用TE信貸資料庫情況,導致投訴人的個人資料遭未經授權查閱、處理或使用,實屬遺憾。再者,軟媒科技沒因應相關資料的數量及性質而採用強密碼政策,亦沒有為密碼設定有效期。相關密碼設置並不符合網絡安全基本要求,顯示軟媒科技在個人資料的保安方面明顯不足。
此外,軟媒科技現時仍然保留5萬多宗已完成還款逾5年的信貸紀錄,屬不必要的逾期保留,除漠視《個人資料(私隱)條例》(《私隱條例》)規定,亦增加了相關借款人個人資料外洩的風險。
基於上述情況,私隱專員認為軟媒科技未有採取所有切實可行的步驟,保障其持有TE信貸資料庫內的個人資料,不受未獲准許的或意外的查閱、處理或使用所影響,違反《私隱條例》附表1的保障資料第4(1)原則有關個人資料保安的規定,以及保存個人資料超過所需的時間,違反保障資料第2(2)原則規定。
私隱專員已向軟媒科技發出執行通知,指示軟媒科技糾正其違反事項,以及防止同類違反行為再發生。
個人資料私隱專員鍾麗玲指,「現時TE信貸資料庫的營運及管理,並不受行業守則及金融行業相關法例規管,情況並不理想。為了保障借款人的個人資料私隱及確保資料庫的數據安全,我建議任何信貸資料庫的營運及管理都應該受到規範或監管,這包括以法例、法規、指引、行業守則或發牌制度去規管。」
私隱專員亦希望藉此調查報告,向軟媒科技及其他個人信貸資料庫的營運商作出建議,包括實施私隱管理系統,將個人資料私隱保障納入機構的數據管治責任;委任保障資料主任,監察《私隱條例》的遵從;聘用獨立循規審核人士,定期就信貸資料機構提供個人信貸資料服務的機制及方法進行循規審核;及增加違規情況的罰則,減少財務公司再次發生違規的情況。
新聞來源:棱角編輯部
