新聞公報

Print Table
立法會五題:商業機構泄露個人資料

  以下是今日(十二月十二日)立法會會議上謝偉俊議員的提問和政制及內地事務局局長聶德權的答覆:
 
問題:

  繼國泰航空有限公司外泄逾900萬名乘客個人資料後,萬豪國際酒店集團亦外泄了全球近五億名客戶個人資料。另外,擁有逾500萬名市民信貸紀錄及個人資料的環聯資訊有限公司(環聯)的網站被揭發有嚴重資訊保安漏洞。有傳媒機構記者在獲取行政長官及財政司司長的個人資料後,成功冒認他們並從環聯網站取得其詳細信貸報告。有資訊科技界人士批評,該網站核證身份程序兒戲,資料庫猶如「無掩雞籠」任人查閱,令不法份子有機可乘。有多名市民反映,接二連三的資料外泄事件令他們懷疑商業機構是否有能力保障客戶資料安全,而當局是否束手無策。就此,政府可否告知本會:

(一)是否知悉,個人資料私隱專員公署(公署)對環聯進行循規審查進展;其審查範圍除環聯本身外,是否包括與環聯有業務往來機構或公司就保障環聯客戶個人資料安全的情況;

(二)因應最少有五個與環聯合作機構向市民提供網上免費查閱個人信貸資料服務,而部分有關網站要求用戶授權環聯將其資料轉移予合作機構或其海外伺服器,當局有否規管這類資料轉移;如否,有何跟進行動;當局有否評估環聯合作機構及其海外伺服器當有個人資料外泄時,對市民有何影響;及

(三)鑑於環聯的業務現時不受監管,而公署只能在個人資料外泄事故發生後才作處理,當局有否評估現行監管制度是否只是「無牙老虎」,未能保障市民個人資料私隱;當局會否考慮採取新措施或立法以主動作出規管;如會,詳情為何;如否,原因為何?

答覆:

主席:

  就謝偉俊議員的提問,我們諮詢過私隱專員公署(公署)、金融管理局(金管局)和財經事務及庫務局。在回答每部分的問題前,我希望先簡述一下信貸資料服務安排的相關背景資料。

  環聯資訊有限公司(環聯)是一所信貸資料服務機構。於一九九○年代中期,金管局就《銀行業條例》下的認可機構客戶借貸質素進行的研究建議,發現香港應成立一個得到認可機構更廣泛參與的全面信貸資料庫。金管局認為若在香港發展成熟的信貸資料服務安排,而所有認可機構(包括持牌銀行、有限制牌照銀行及接受存款公司)均積極參與該信貸資料服務機構,將可以使所有認可機構以及整個銀行業更好地了解和更準確地評估客戶信貸質素,令香港整體信貸風險得到更好管理。

  《個人資料(私隱)條例》於一九九六年實施後,為向本港的信貸資料服務機構提供實務性指引,公署在一九九八年二月發出《個人信貸資料實務守則》(《實務守則》)規管香港的信貸資料服務機構及信貸提供者對個人信貸資料的處理。該守則涵蓋資料的收集、準確性、使用、保安,以及查閱及改正資料要求等各方面。該《實務守則》至今曾作出四次修訂,最近一次修訂為二○一三年一月。

  金管局作爲銀行監管機構,於一九九八年三月向所有認可機構發出通函,建議它們在《實務守則》所訂的範圍內,透過信貸資料服務機構全面參與分享及使用信貸資料。同時,金管局亦規定,銀行在向信貸資料服務機構提供和使用信貸資料時,需要符合金管局的監管政策手冊相關監管要求。根據要求,認可機構若採用信貸資料服務機構的服務,應與該機構簽署正式合約,規定該機構制定有效的監控制度以確保遵守《個人資料(私隱)條例》及《實務守則》的有關規定。

  就謝議員問題的各部分,現回覆如下。

(一)公署於二○一八年十一月二十八日收到環聯的資料外洩事故通報,已於同日就事件展開循規審查。根據審查所得的資料,公署認為有合理理由相信環聯有違反《個人資料(私隱)條例》的規定,公署遂於十一月三十日決定根據《個人資料(私隱)條例》第38(b)條對環聯展開深入的循規調查。同日,公署亦向五間有提供網站平台或手機應用程式以查閱簡易版信貸報告的公司進行循規審查。

  鑑於事件可能涉及銀行向環聯提供的個人信貸資料的安全性,金管局和銀行業界都十分關注,金管局聯同銀行公會已經立刻和環聯進行溝通了解情況,銀行公會及銀行業界過去兩星期亦與環聯保持緊密溝通,向環聯提出一系列要求,包括要求環聯立即全面調查事件,及在完成全面調查和在資訊保安水平全面提升前,應即時暫停網上平台的個人信貸報告查詢服務,以保障銀行客戶的個人信貸資料。目前環聯已經暫停網上平台的個人信貸報告查詢服務。金管局會繼續聯同銀行公會與環聯跟進,包括要求環聯徹底檢視所有相關程序及措施,確保對個人信貸資料由收集、處理、儲存、保安、銷毀各方面均有足夠保障,達到認可機構要求的保安水平。金管局亦已經向公署作出通報,表示關注事件。金管局會繼續與公署保持緊密溝通。

(二)根據公署發出的《實務守則》的第3.21條,信貸資料服務機構不得把其持有的個人信貸資料移轉至香港境外,除非有關資料在是次移轉中的使用目的是與收集資料的原本目的相同或直接有關。不論個人資料被儲存於香港或海外,或被移轉至海外的資料處理者代爲處理,資料使用者均須按照條例的規定確保個人資料得以妥善處理。

(三)在現行的法律框架下,信貸資料服務機構並不受金管局監管。信貸資料服務機構(包括環聯),為香港銀行和其他信貸機構提供信貸資料服務,須遵守《個人資料(私隱)條例》及《實務守則》的有關規定。金管局作為銀行監管機構,要求銀行進行相關業務時,應遵守《個人資料(私隱)條例》的要求,確保在提供資料予和使用信貸資料服務機構時,客戶的個人資料獲得適當的保障。認可機構若採用信貸資料服務機構的服務,會與該機構簽署正式合約,規定該機構制定有效的個人信貸資料監控制度。如認可機構發現信貸資料服務機構採用不可接受的手法或嚴重違反應遵守《個人資料(私隱)條例》及《實務守則》的規定,認可機構可考慮終止與該信貸資料服務機構的業務關係。

  公署發出的《實務守則》的第3.12條亦規定信貸資料服務機構在日常運作中在保障個人信貸資料方面應採取適當的措施,防止所持有的個人信貸資料受到不當查閱,包括定期及經常監察及檢討資料庫的使用情況,藉以偵察及調查不尋常或不合常規的查閱或使用模式等。因應今次事件,我們會促請公署在完成循規調查後,參考調查結果全面檢討《實務守則》,考慮是否需要進一步作出修訂以完善守則的運作。

  多謝代主席。



2018年12月12日(星期三)
香港時間15時15分