環聯信貸報告保安漏洞 違私隱例

【本報訊】載有五百多萬名市民信貸紀錄的香港環聯資訊有限公司,去年底被揭索取信貸報告的程序疑出現保安漏洞,只要持有目標人物的身份證號碼及公開資料,回答簡單問題,就可輕易通過核證並下載有關人士的信貸報告。事隔一年,香港個人資料私隱專員公署昨公布調查報告,證實環聯在網上認證程序中,沒有採取所有切實可行的步驟確保資料受保障,違反《私隱條例》下的資料保安原則。

輕易通過認證查閱

私隱署的調查報告指出,環聯的網上認證程序存有漏洞,在輸入他人的全名或出生日期時,根本毋須與環聯資料庫的紀錄完全脗合,便可查閱個人的信貸報告。此外,認證過程亦採用與個人年齡範圍及生肖這些與環聯獨有交易無關的問題,或認證過程中仍採用已過時而被剔除的答案。

此外,調查又揭發其他網站或手機程式的查取途徑,沒有因個人未能通過認證程序而被封鎖,且非所有申請均使用雙重認證。

鑑於上述行為,私隱署認為環聯違反《私隱條例》下的資料保安原則,已通知環聯糾正問題。個人資料私隱專員黃繼兒建議,環聯定期檢討網上認證程序,當個人被要求轉移信貸資料予夥伴時,未必知被轉移的資料範圍,建議環聯應讓個人選擇可轉移的資料,確保個人資料受保障。

第一手消息請下載on.cc東網iPhone/iPad/Android/Windows Phone Apps