社評:環聯掌全港信貸資料 保安疏漏半年未堵塞

【明報社評】擁有本港逾500萬人信貸資料的環聯資訊(下稱環聯),網上保安被揭重大漏洞,猶如「無掩雞籠」。事隔近半年,環聯向銀行公會提交報告,惟因內容粗疏錯漏,遭公會「打回頭」。環聯大股東為美資公司,是本港唯一消費者信貸資料服務機構,手握香港市民最敏感的財務資料,有責任加強私隱保護,然而環聯遲遲未有提出堵塞保安漏洞方法,恢復網上查閱服務,報告未就整體保安情况提出任何意見或下結論,更叫外界驚訝。環聯拖拖拉拉,做法不能接受,當局有必要加強監管,同時引入競爭者,打破市場壟斷。

環聯與美政府部門合作

諮委有前情報國安官員

香港環聯前身於1982年成立,1999年由美國環聯(TransUnion)收購。環聯國際業務遍及多地,跟美國各級政府部門素有合作,美國環聯網站顯示,其諮詢委員會(Government Advisory Board)既有華府前高官、國土安全事務專家,還有國防部及中情局背景人士。曾任中情局資訊科技總監的Doug Wolfe,便於去年8月加入。根據美國環聯官網文章的描述,保護億計美國人信貸金融資料,事關國家安全大事,美國環聯作為「國家基建保護計劃」一部分,在這方面扮演重要角色。
相比之下,環聯對於香港居民信貸資料的保護,可謂差天共地。本報去年發現,環聯網上索閱資料程序出現嚴重漏洞,未有認清客戶身分便提供個人信貸資料,保安粗疏兒戲,理論上只要掌握竅門,任何人只需知悉某人身分證號碼,繳付有限費用,就可以「起底」取得其最敏感私隱資料。事件曝光後,環聯雖然暫停了網上查閱服務,並在立法會向公眾致歉,然而環聯處理港人敏感資料的粗鬆程度,着實令人費解。
環聯的信貸資料庫,擁有超過500萬香港居民的借貸資料,本地銀行將客戶資料託付給環聯管理,只要在香港申請過信用卡或按揭、借貸,不論國籍,環聯都有紀錄。對銀行而言,保障客戶資料是重中之重,當然期望環聯以嚴謹態度處理資料。金管局和銀行公會要求環聯遞交調查報告以及有所改善,始能恢復網上查閱服務。近年環聯積極開拓個人索閱信貸報告的市場,環聯為了生意,理應盡快完善系統堵塞保安漏洞,讓服務得以恢復,可是事隔差不多半年,環聯有關服務仍然未能恢復,急於索閱個人信貸報告的市民,現時唯有大清早親身到環聯辦公室排長龍輪籌。

民衆信貸資料陷風險

環聯完善有責勿拖拉

環聯向銀行公會提交的調查報告,證實部分網上登入環節存在嚴重(Critical)及高(High)風險。有銀行界人士指出,保安漏洞涉及公眾利益,正常應當在兩三個月內解決,然而環聯的報告,並未提出確切可行的堵塞保安漏洞方法;叫人更感驚訝的是,報告對於網上查閱系統的保安措施及整體保安情况,竟然沒有提出任何意見或下結論,內容還出現離譜錯誤,同一評估項目在不同章節被歸類為不同風險級別。調查報告如此馬虎粗疏,難免令人質疑環聯方面是否有心處理保安漏洞。
銀行公會批評報告不完整不一致,拒絕「收貨」,要求環聯重新修訂,提交「專業且全面」的獨立評估報告,問題是環聯並非銀行,不受金管局或銀行公會監管,嚴格來說,銀行公會只能要求環聯「積極配合」。公會向環聯提出多項要求,包括加強網絡系統安全、改善監控流程、委託獨立第三方機構評估保安新措施成效等,理論上環聯可以當作「耳邊風」。誠然,環聯與銀行唇齒相依,維持良好合作關係有利雙方,不過由於環聯的業務在港「只此一家」,銀行決定是否借錢給客戶,有時仍得靠環聯提供信貸資料,在這樣的壟斷市場環境,倘若環聯存心撒賴不合作,銀行界亦無可奈何。
香港是國際金融中心,在港居住的不止是香港市民,環聯手握本港大量敏感信貸財政資料,政府不能簡單視之為一般商業機構。倘若環聯拖拖拉拉,調查報告繼續敷衍了事,網絡保安問題遲遲沒有得到妥善解決,政府便應該介入,研究加強監管辦法。當局必須確保環聯全面提升保安水平,不能將貨就價,草草了事。當前國際形勢錯綜複雜,從保障私隱和安全角度考慮,政府對於環聯這類獨特商業機構,必須有足夠監管工具。政府有責任確保本港居民敏感財政資料不會輕易落入他人手中,當局應考慮各種可行措施,包括借鑑外國經驗,引入市場競爭對手,打破由一間美資公司壟斷全港個人信貸資料的局面。

Related Posts:

  • 做樓按擔保人注意事項? 一般有兩款擔保...  1. unlimited guarantee: 為借款作出冇限擔保  2. limited guarantee: 為借款作出有限擔保 (上限一般設定為該樓按金額及其相關利息及手續費開支)  作為擔保人..無論擔保型式係1或2, 有責任… Read More
  • 爭中標銀行KYCU 環聯暫未得手 銀公待保安漏洞報告完成才定奪 去年底出現保安事故的環聯資訊(TransUnion),是銀行公會籌設統一認證平台「專業資訊機構」(KYCU),提交解決方案的服務供應商之一。消息說,原屬招標大熱的環聯,目前仍列於供應商候選名單內,但篩選工作則處於懸置(on hold)狀態,當局會待環聯獨立顧問報告完成後再作定奪,據聞報告… Read More
  • KYCU源於小企開戶難 金管局之所以推動銀行公會,設立「認識你的客戶」(KYCU,Know Your Customer Utility)平台,源起於兩年前,中小微企及初創企業頻呼在港開戶困難的問題,每次到不同銀行開戶,做KYC盡職審查時,次次要「長篇大論」複述相同答問及遞交文件,於是催生建立統一規格的中央化KYCU平台。… Read More
  • 修正 TU https://www.transunion.hk/zh/assistance/investigating-potential-inaccuracies-on-your-credit-report不準確的資料可降低你的信貸評分,甚至可能是詐騙活動的徵兆。所以,一旦發現報告內有不準確的資料… Read More
  • 環聯信貸疑有嚴重漏洞 環聯:已凍結受影響賬戶 據明報報道,載有本港逾500萬人借貸資料的環聯資訊(TransUnion)現嚴重漏洞,記者發現只要憑目標人物的身份證號碼及公開資料,回答數條簡單問題,便能通過身份核證步驟。且以此方法取得公眾人物的信貸報告,內容包括其信貸評分、電話、地址、信貸帳戶號碼,和逾期還款等敏感資料。 相關新聞:【… Read More