仗義執言:吸取洩私隱教訓

掌握五百多萬港人信貸紀錄的環聯資訊,去年被傳媒揭發保安系統有漏洞,令客戶信貸資料外洩。現時信貸資料服務機構受《私隱資料(個人)條例》規管,但私隱條例過時,罰則過輕,如「無牙老虎」,未能有效阻嚇信貸資料服務機構。銀行處理客戶個人資料受到金管局的監管,但當資料轉移到環聯及有關機構時,卻只受《私隱資料(個人)條例》及《個人信貸資料實務守則》規管,環聯在接近無王管的情形下,可任意讓其他人取閱個人資料,這是很嚴重的缺失,亦反映政府在監管環聯及同類機構上存在漏洞。

個人信貸資料屬於資料持有人,市民絕對有權拒絕銀行將個人資料轉交環聯及第三方機構。現時金管局並沒有就銀行將客戶個人資料轉讓給第三方作出規管,令市民私隱缺乏保障,第三方機構更可將資料再轉讓及轉售,利用個人資料牟利,出賣市民私隱。

實際上,本港過去亦曾多次發生資料外洩,或未經客戶同意就披露或出售資料予第三方的情況,如去年國泰九百四十萬客戶資料外洩事件,反映本港企業在訊息安全方面存在重大漏洞。

政府有責任確保市民的私隱資料得到高度保護,必須重新檢視對信貸資料服務機構的監管,例如跟銀行一樣受金管局監管,而金管局亦應規管銀行將客戶個人資料給予第三方,並考慮由金管局設立市民信貸資料庫,由政府直接監管。政府亦應盡快訂立網絡私隱安全法,規管出售轉讓敏感個人資料的做法。