林鄭月娥信貸評級外洩 私隱專員揭環聯信貸網認證違例存四大漏洞
載有540萬人信貸資料的信貸資料庫「環聯」,去年11月被揭網上認證程序有漏洞,有傳媒成功取得特首林鄭月娥等數名公眾人士的信貸報告。本港個人資料私隱專員黃繼兒今日(9日)發表調查報告,指網上認證程序存在四個漏洞,認證程序違反《個人資料(私隱)條例》原則,指令環聯糾正有關違反及防止再發生。
《報告》指出,在上述事故發生時,個人可透過環聯網站及其五個夥伴的網站/手機程式申請及查取信貸報告。黃繼兒認為,環聯在網上認證程序中違反了《私隱條例》附表1保障資料第4(1) 原則(資料保安),並存在四大漏洞:
(1) 個人所輸入的全名和出生日期無須與環聯資料庫的紀錄完全脗合;
(2)「基於知識的認證」採用了 (a) 與個人年齡範圍及生肖這些與環聯獨有交易無關的問題,及 (b) 過時而易被剔除的答案;
(3) 其他網站/手機程式的查取途徑沒有因個人未能通過某一網站/手機程式的認證程序而被封鎖;及
(4) 非所有申請均使用雙重認證。
私隱專員依據《私隱條例》第50(1)條行使其權力向環聯送達執行通知,指令環聯糾正有關違反及防止有關違反再發生。
資料顯示及轉移資料予夥伴不違規
此外,黃繼兒認為, 環聯使用個人資料作身分認證及向有關個人顯示信貸資料的目的與收集資料的目的一致;另一方面,轉移個人資料予其三個夥伴的目的則並非環聯收集相關資料的原本目的或與該目的直接有關,如此轉移需按照《私隱條例》附表1的保障資料第3(1)原則(資料使用)的規定取得有關個人的訂明同意。私隱專員審視了申請程序的每個步驟,無發現如此轉移違反上述的原則。
私隱專員向環聯作出五項建議,包括轉移信貸資料予夥伴不應是預設設定,環聯應選擇私隱侵犯程度較低的方式;當個人被要求同意環聯轉移信貸資料予夥伴時,未必確切知道會被轉移的資料範圍,建議環聯列出有關資料,讓個人選擇哪些資料可轉移予夥伴;每年進行不少於一次的審核,以確保夥伴有足夠程度的資料保障水平;定期檢討網上認證程序;以及容許個人以較低費用查取信貸報告。
《明報》取得林鄭月娥及陳茂波信貸報告
《明報》去年11月報道,測試發現只要持有目標人物的身份證號碼及公開資料,回答簡單問題,即可輕易通過核證並下載其詳盡信貸報告,內容包括電話、地址、借貸及逾期還款紀錄等多項敏感資料,該報依此方法,取得林鄭月娥及財政司司長陳茂波等人的報告。