立法会二十二题:个人信贷资料的私隐保障
*******************
问题:
关于个人信贷资料的私隐保障,政府可否告知本会:
(一)是否知悉,过去六年,香港个人资料私隐专员公署(公署)向违反《个人资料(私隐)条例》(第486章)的信贷资料服务机构发出执行通知的个案宗数,以及该等个案的涉事机构、受影响人数、遵行执行通知的情况及因违反执行通知而被检控的机构数目为何(以表列出);
(二)鉴于第486章并未设立强制性个人资料外泄通报机制,而个人资料私隐专员于本年二月十九日本会政制事务委员会会议上表示,公署正与政府共同审视设立有关机制的修例建议,有关工作的进展为何;
(三)鉴于据报,信贷资料服务机构环联资讯有限公司于二○一八年被揭发辖下查阅个人信贷报告的网站存在资讯保安漏洞,当局及后有否持续监察其资讯保安水平及合规情况;如有,详情为何;如否,原因为何;
(四)鉴于香港金融管理局(金管局)与行业公会合作,透过信贷资料平台引入多于一家个人信贷资料服务机构,并支持行业公会建立有关的平台「信资通」,但据悉该原订于去年十二月推出的平台至今仍未推出,该平台的最新进展为何;
(五)鉴于据悉,行业公会已制订《MCRA模式实务守则》,规定了信资通的获选信贷资料服务机构和认可会员在个人资料的使用和保障等各个方面须遵守的标准和要求,在信资通仍未推出的情况下,当局有何措施监察信贷资料服务机构遵从《个人信贷资料实务守则》和第486章的情况;及
(六)鉴于中国人民银行与金管局已同意签署《关于跨境征信互通业务试点的谅解备忘录》,当局有何监管措施确保跨境征信数据仅在粤港澳大湾区内安全有序流动,以及何时落实开展试点测试及实施工作?
答覆:
主席:
就简慧敏议员问题的各部分,经谘询政制及内地事务局及香港金融管理局(金管局)后,现答覆如下:
(一)就近年有信贷资料服务机构遭未经授权查阅个人资料的情况,个人资料私隐专员公署(公署)于二○一九年及二○二三年分别向环联资讯有限公司(环联)及软媒科技有限公司(软媒科技)发出执行通知,指示相关机构堵塞信贷资料库的保安漏洞,包括要求环联制定清晰的身分认证程序,以及要求软媒科技更改密码的设置以保障载有个人资料的资讯系统安全等。两间机构手持的信贷资料分别涉及约540万人及约18万人。环联及软媒科技已根据上述执行通知的规定,落实相应的保安措施,以保障个人资料私隐。
(二)目前,公署正全面审视《个人资料(私隐)条例》(《私隐条例》)及拟订具体的修例建议,包括设立强制性个人资料外泄通报机制、要求资料使用者制订个人资料保留时限政策、赋权私隐专员判处行政罚款、直接规管资料处理者,以及厘清个人资料的定义等。公署正详细研究其他司法管辖区的相关法例和经验,同时考虑香港的实际情况,以便拟订切实可行的修例建议以配合国际私隐保障的发展及加强个人资料私隐的保障。就强制性个人资料外泄通报机制方面,须考虑的包括个人资料外泄事故的定义、通报的门槛、通报的时限等。现时有关工作正积极进行中,待具体修例建议敲定后,公署会征询政府及立法会的意见,再按实际情况制定具体的修订法例时间表。
(三)为持续监察环联的个人资料保安水平及合规情况,公署已于二○二一年主动对环联的个人资料系统进行视察,并随后发表视察报告。视察结果显示环联在保障其持有的个人资料方面,符合《私隐条例》有关个人资料保安的规定,例如采用合约规范的方法对信贷提供者采取适当的系统存取控制措施等。
此外,公署亦于二○二三年六月主动对全港信贷资料服务机构进行循规审查,当中包括三间「信资通」模式下获选的个人信贷资料服务机构(即环联、诺华诚信及壹账通),以了解相关机构就借款人的个人信贷资料所采取的保安措施及保留期限是否符合《私隐条例》的规定。公署在循规审查过程中未有发现该等机构有违反《私隐条例》相关规定的情况。
(四)金管局一直与香港银行公会、香港有限制牌照银行及接受存款公司公会,以及香港持牌放债人公会(统称「行业公会」)紧密合作,透过信贷资料平台「信资通」引入多于一家个人信贷资料服务机构,以提升香港个人信贷资料服务机构的服务水平,并减低现时因市场只有一家商业营运的服务提供者而衍生的营运风险,特别是单点失误的风险。
「信资通」一直按计划有序推进。行业公会于二○二三年十一月二十日推出「信资通」试行计划,期望获选的信贷资料服务机构顺利完成试行计划后,可正式为公众提供安全可靠的个人信贷资料服务。根据行业公会提供的资料,自试行计划推出以来,超过一千名来自银行、持牌放债人、平台营运商、行业公会和政府机构等近20个机构的员工先后参与该试行计划,结果显示,三家个人信贷资料服务机构在信贷报告的资料准确性和机构整体服务表现方面均符合行业公会订立的要求。
行业公会因此于今年四月十八日宣布「信资通」将于四月二十六日起提供服务。
(五)根据行业公会提供的资料,三家个人信贷资料服务机构自二○二二年十一月获选后,便需要根据《MCRA模式实务守则》的规定,遵守其资讯安全、系统管理和数据管理等业界严格要求。有关机构亦需定期向行业公会提交其对保障个人资料、资讯及网络保安等方面的合规评估报告,以确保其遵守《个人资料(私隐)条例》、《个人信贷资料实务守则》和《MCRA模式实务守则》。行业公会会在「信资通」正式提供服务后,继续检视三家机构的营运情况。
(六)保障客户信息安全是重中之重,金管局在推动任何信息互通方案的首要考虑都是确保牵涉到的信息要以安全、高效率且符合法律和法规要求的方式处理。在监管方面,金管局对银行在保障信息安全方面有严格的监管要求和指引,以确保企业信息安全、保密及完整,防范该等信息在未经授权情况下被查阅或使用。就此,金管局正计划发出监管通告,提醒香港银行业界在处理征信数据跨境传输时应遵守所有相关法律和监管要求,确保信息安全和有效风险管理。
中国人民银行与金管局于今年一月二十四日推出深化香港和内地金融合作的「三联通、三便利」政策措施,并且签订了《关于跨境征信互通业务试点的谅解备忘录》,建立由大湾区开始共同推动跨境征信业务试点的合作安排,促进两地跨境征信信息互通,便利深港企业跨境融资。在跨境征信业务试点计划下,已经有多家香港银行及征信机构表示有兴趣参与试点计划,同时有个别试点方案已经开始进入内地有关部门的流程,相关机构会继续进行对接,按部就班推展试点计划,并且进行测试工作。
完
2024年4月24日(星期三)
香港时间12时10分
香港时间12时10分