香港最大個人信貸資料庫公司環聯資訊(TransUnion),被傳媒揭露其保安系統有嚴重漏洞,特首林鄭月娥等高官的信貸報告輕易被人查閱。環聯和另一間管理商業信貸資料的鄧白氏(Dun & Bradstreet)同為美資公司,竟全盤掌控了本港每個人、每家企業的信貸狀況,如果這兩家公司對掌握的敏感資訊沒有妥善管理,在現時「無罰則、無王管」的荒謬情況下,香港經濟將面臨大災難。據了解,事件揭發後惹來北京高度關注,港府亦在快馬加鞭審視情況,並積極考慮規管可行性。
文:潘翠華
香港一直致力打造成「智慧城市」,但「環聯洩密」一事卻揭示香港作為國際金融中心的條件非常脆弱。有記者日前嘗試冒充特首林鄭月娥及財政司司長陳茂波在內的幾名高官,於環聯網上索取個人信貸紀錄,原來只需登記開戶,付款280港元,再輸入姓名、身份證號碼、出生日期、電話,並回答幾條選擇題,一份完整而詳盡的個人信貸報告,包括電話、地址、信用卡資料、信貸評分、還款記錄等,均一覽無遺。即使記者在選擇題環節中,全部選擇「以上皆不適用」,亦可成功過關取得報告。
環聯——
聘任美國中央情報局高官
根據公司註冊處資料,環聯資訊大股東為美資公司TransUnion Netherlands I B.V.,擁有超過一半股份,其餘7個股東包括東亞銀行、恆生財務、匯豐銀行等。TransUnion的諮詢委員會(Government Advisory Board)成員中,聘有多名熟悉資訊科技及情報的專家,其中包括情報和國家安全聯盟(INSA)主席Charles Alsup,曾任中央情報局資訊科技總監(Chief Information Officer)的Doug Wolfe亦於今年8月加入該公司。環聯公司主席及行政總裁James M. Peck及董事Suzanne P. Clark等,亦熟悉資訊科技。
鄧白氏——
四位前美國總統曾任職高層
另外,在香港最大的商業信貸資料管理公司鄧白氏,同為美資公司,總部設在美國新澤西州,創辦人為Lewis Tappan,於1841年在紐約創設第一家商業徵信所。四位美國前總統亞伯拉罕·林肯(Abraham Lincoln)、尤利西斯·辛普森·格蘭特(Ulysses S. Grant)、格羅弗·克里夫蘭(Grover Cleveland)及 威廉·麥金利(William McKinley),均曾任職於鄧白氏。目前,鄧白氏在37個國家及地區設有分公司或辦事處,包括中國和新加坡,向全球客戶提供12種信用產品、11種徵信服務以及各種信用管理用途的軟件,還在50個國家和地區替客戶開展追帳業務。
香港所有個人及公司的重要信貸資料,全部落入這兩家美資公司手上,情況令人擔憂。而更讓人無語的是,環聯不屬於銀行,因此金融管理局無法監管,只能責成銀行公會要求環聯提升認證程序。縱使環聯今次嚴重出錯,但現時香港市場中,竟沒有第二間公司能短期內取代環聯這家百年老店的地位。
私隱曝光,市民心慌。本月(十二月)12日政制及內地事務局局長聶德權在立法會接受質詢時,只表示政府會從個人資料私隱保障,以及行業監管兩方面着手處理,惟到目前仍未透露具體情況。有議員質疑,當局反應緩慢,未能掌握事件的敏感性及嚴重性。
葛珮帆:應設《網絡安全法》加重刑罰
據了解,事件已引起北京高度關注,而港府亦急謀規管可行性。但要該如何管?立法會資訊科技及廣播事務委員會主席葛珮帆建議,本港應參考歐盟的GDPR(通用數據保障條例),針對外洩資料的機構,需於72小時內向當局通報,而且罰則非常重。第一級罰款以該企業整個集團的年度全球總營業額 2% 或 1千萬歐元(約0.92億港元)為標準;而第二級罰款則為該企業整個集團的年度全球總營業額 4% 或 2 千萬歐元(約1.84億港元)作依歸。
此外,內地於2015年亦已實施《網絡安全法》,防止網絡恐怖襲擊、網路詐騙等行為,如甚麼機構可擁有幾多個人資料?存放多久?甚麼形式?何時銷毀等等,都要透明公開。香港亦應與時俱進。葛珮帆認為,法例修改後,能有效規範環聯等機構,以及一旦資料外洩後,都可以有相應補救措施。
莫乃光:環聯犯錯不能沒有代價
資訊科技界立法會議員莫乃光認為,環聯最大問題是「無王管」,加上本港私隱條例過於落後,等同「無牙老虎」,且罰款上限只是5萬港元,根本毫無阻嚇力。他強調,未來必需定立監管角色,是政府也好,金管局也好,銀行公會都好,不能讓環聯犯錯而沒有代價。他又指,應考慮私隱條例是否需要作出修改,包括機構使用者是否有權要求機構透露資料?資料庫可存有使用者的甚麼資料等等。他又建議香港可效法美國,市民擁有主動權,向資料庫提供者要求短暫性開啟或關閉查閱信貸功能。
