立法会五题:商业机构泄露个人资料
****************
问题:
继国泰航空有限公司外泄逾900万名乘客个人资料后,万豪国际酒店集团亦外泄了全球近五亿名客户个人资料。另外,拥有逾500万名市民信贷纪录及个人资料的环联资讯有限公司(环联)的网站被揭发有严重资讯保安漏洞。有传媒机构记者在获取行政长官及财政司司长的个人资料后,成功冒认他们并从环联网站取得其详细信贷报告。有资讯科技界人士批评,该网站核证身份程序儿戏,资料库犹如「无掩鸡笼」任人查阅,令不法份子有机可乘。有多名市民反映,接二连三的资料外泄事件令他们怀疑商业机构是否有能力保障客户资料安全,而当局是否束手无策。就此,政府可否告知本会:
(一)是否知悉,个人资料私隐专员公署(公署)对环联进行循规审查进展;其审查范围除环联本身外,是否包括与环联有业务往来机构或公司就保障环联客户个人资料安全的情况;
(二)因应最少有五个与环联合作机构向市民提供网上免费查阅个人信贷资料服务,而部分有关网站要求用户授权环联将其资料转移予合作机构或其海外伺服器,当局有否规管这类资料转移;如否,有何跟进行动;当局有否评估环联合作机构及其海外伺服器当有个人资料外泄时,对市民有何影响;及
(三)鉴于环联的业务现时不受监管,而公署只能在个人资料外泄事故发生后才作处理,当局有否评估现行监管制度是否只是「无牙老虎」,未能保障市民个人资料私隐;当局会否考虑采取新措施或立法以主动作出规管;如会,详情为何;如否,原因为何?
答覆:
主席:
就谢伟俊议员的提问,我们谘询过私隐专员公署(公署)、金融管理局(金管局)和财经事务及库务局。在回答每部分的问题前,我希望先简述一下信贷资料服务安排的相关背景资料。
环联资讯有限公司(环联)是一所信贷资料服务机构。于一九九○年代中期,金管局就《银行业条例》下的认可机构客户借贷质素进行的研究建议,发现香港应成立一个得到认可机构更广泛参与的全面信贷资料库。金管局认为若在香港发展成熟的信贷资料服务安排,而所有认可机构(包括持牌银行、有限制牌照银行及接受存款公司)均积极参与该信贷资料服务机构,将可以使所有认可机构以及整个银行业更好地了解和更准确地评估客户信贷质素,令香港整体信贷风险得到更好管理。
《个人资料(私隐)条例》于一九九六年实施后,为向本港的信贷资料服务机构提供实务性指引,公署在一九九八年二月发出《个人信贷资料实务守则》(《实务守则》)规管香港的信贷资料服务机构及信贷提供者对个人信贷资料的处理。该守则涵盖资料的收集、准确性、使用、保安,以及查阅及改正资料要求等各方面。该《实务守则》至今曾作出四次修订,最近一次修订为二○一三年一月。
金管局作爲银行监管机构,于一九九八年三月向所有认可机构发出通函,建议它们在《实务守则》所订的范围内,透过信贷资料服务机构全面参与分享及使用信贷资料。同时,金管局亦规定,银行在向信贷资料服务机构提供和使用信贷资料时,需要符合金管局的监管政策手册相关监管要求。根据要求,认可机构若采用信贷资料服务机构的服务,应与该机构签署正式合约,规定该机构制定有效的监控制度以确保遵守《个人资料(私隐)条例》及《实务守则》的有关规定。
就谢议员问题的各部分,现回覆如下。
(一)公署于二○一八年十一月二十八日收到环联的资料外泄事故通报,已于同日就事件展开循规审查。根据审查所得的资料,公署认为有合理理由相信环联有违反《个人资料(私隐)条例》的规定,公署遂于十一月三十日决定根据《个人资料(私隐)条例》第38(b)条对环联展开深入的循规调查。同日,公署亦向五间有提供网站平台或手机应用程式以查阅简易版信贷报告的公司进行循规审查。
鉴于事件可能涉及银行向环联提供的个人信贷资料的安全性,金管局和银行业界都十分关注,金管局联同银行公会已经立刻和环联进行沟通了解情况,银行公会及银行业界过去两星期亦与环联保持紧密沟通,向环联提出一系列要求,包括要求环联立即全面调查事件,及在完成全面调查和在资讯保安水平全面提升前,应即时暂停网上平台的个人信贷报告查询服务,以保障银行客户的个人信贷资料。目前环联已经暂停网上平台的个人信贷报告查询服务。金管局会继续联同银行公会与环联跟进,包括要求环联彻底检视所有相关程序及措施,确保对个人信贷资料由收集、处理、储存、保安、销毁各方面均有足够保障,达到认可机构要求的保安水平。金管局亦已经向公署作出通报,表示关注事件。金管局会继续与公署保持紧密沟通。
(二)根据公署发出的《实务守则》的第3.21条,信贷资料服务机构不得把其持有的个人信贷资料移转至香港境外,除非有关资料在是次移转中的使用目的是与收集资料的原本目的相同或直接有关。不论个人资料被储存于香港或海外,或被移转至海外的资料处理者代爲处理,资料使用者均须按照条例的规定确保个人资料得以妥善处理。
(三)在现行的法律框架下,信贷资料服务机构并不受金管局监管。信贷资料服务机构(包括环联),为香港银行和其他信贷机构提供信贷资料服务,须遵守《个人资料(私隐)条例》及《实务守则》的有关规定。金管局作为银行监管机构,要求银行进行相关业务时,应遵守《个人资料(私隐)条例》的要求,确保在提供资料予和使用信贷资料服务机构时,客户的个人资料获得适当的保障。认可机构若采用信贷资料服务机构的服务,会与该机构签署正式合约,规定该机构制定有效的个人信贷资料监控制度。如认可机构发现信贷资料服务机构采用不可接受的手法或严重违反应遵守《个人资料(私隐)条例》及《实务守则》的规定,认可机构可考虑终止与该信贷资料服务机构的业务关系。
公署发出的《实务守则》的第3.12条亦规定信贷资料服务机构在日常运作中在保障个人信贷资料方面应采取适当的措施,防止所持有的个人信贷资料受到不当查阅,包括定期及经常监察及检讨资料库的使用情况,藉以侦察及调查不寻常或不合常规的查阅或使用模式等。因应今次事件,我们会促请公署在完成循规调查后,参考调查结果全面检讨《实务守则》,考虑是否需要进一步作出修订以完善守则的运作。
多谢代主席。
完
2018年12月12日(星期三)
香港时间15时15分
香港时间15时15分