【明報社評】擁有本港逾500萬人信貸資料的環聯資訊(下稱環聯),網上保安被揭重大漏洞,猶如「無掩雞籠」。事隔近半年,環聯向銀行公會提交報告,惟因內容粗疏錯漏,遭公會「打回頭」。環聯大股東為美資公司,是本港唯一消費者信貸資料服務機構,手握香港市民最敏感的財務資料,有責任加強私隱保護,然而環聯遲遲未有提出堵塞保安漏洞方法,恢復網上查閱服務,報告未就整體保安情况提出任何意見或下結論,更叫外界驚訝。環聯拖拖拉拉,做法不能接受,當局有必要加強監管,同時引入競爭者,打破市場壟斷。
環聯與美政府部門合作
諮委有前情報國安官員
香港環聯前身於1982年成立,1999年由美國環聯(TransUnion)收購。環聯國際業務遍及多地,跟美國各級政府部門素有合作,美國環聯網站顯示,其諮詢委員會(Government Advisory Board)既有華府前高官、國土安全事務專家,還有國防部及中情局背景人士。曾任中情局資訊科技總監的Doug Wolfe,便於去年8月加入。根據美國環聯官網文章的描述,保護億計美國人信貸金融資料,事關國家安全大事,美國環聯作為「國家基建保護計劃」一部分,在這方面扮演重要角色。
相比之下,環聯對於香港居民信貸資料的保護,可謂差天共地。本報去年發現,環聯網上索閱資料程序出現嚴重漏洞,未有認清客戶身分便提供個人信貸資料,保安粗疏兒戲,理論上只要掌握竅門,任何人只需知悉某人身分證號碼,繳付有限費用,就可以「起底」取得其最敏感私隱資料。事件曝光後,環聯雖然暫停了網上查閱服務,並在立法會向公眾致歉,然而環聯處理港人敏感資料的粗鬆程度,着實令人費解。
環聯的信貸資料庫,擁有超過500萬香港居民的借貸資料,本地銀行將客戶資料託付給環聯管理,只要在香港申請過信用卡或按揭、借貸,不論國籍,環聯都有紀錄。對銀行而言,保障客戶資料是重中之重,當然期望環聯以嚴謹態度處理資料。金管局和銀行公會要求環聯遞交調查報告以及有所改善,始能恢復網上查閱服務。近年環聯積極開拓個人索閱信貸報告的市場,環聯為了生意,理應盡快完善系統堵塞保安漏洞,讓服務得以恢復,可是事隔差不多半年,環聯有關服務仍然未能恢復,急於索閱個人信貸報告的市民,現時唯有大清早親身到環聯辦公室排長龍輪籌。
民衆信貸資料陷風險
環聯完善有責勿拖拉
環聯向銀行公會提交的調查報告,證實部分網上登入環節存在嚴重(Critical)及高(High)風險。有銀行界人士指出,保安漏洞涉及公眾利益,正常應當在兩三個月內解決,然而環聯的報告,並未提出確切可行的堵塞保安漏洞方法;叫人更感驚訝的是,報告對於網上查閱系統的保安措施及整體保安情况,竟然沒有提出任何意見或下結論,內容還出現離譜錯誤,同一評估項目在不同章節被歸類為不同風險級別。調查報告如此馬虎粗疏,難免令人質疑環聯方面是否有心處理保安漏洞。
銀行公會批評報告不完整不一致,拒絕「收貨」,要求環聯重新修訂,提交「專業且全面」的獨立評估報告,問題是環聯並非銀行,不受金管局或銀行公會監管,嚴格來說,銀行公會只能要求環聯「積極配合」。公會向環聯提出多項要求,包括加強網絡系統安全、改善監控流程、委託獨立第三方機構評估保安新措施成效等,理論上環聯可以當作「耳邊風」。誠然,環聯與銀行唇齒相依,維持良好合作關係有利雙方,不過由於環聯的業務在港「只此一家」,銀行決定是否借錢給客戶,有時仍得靠環聯提供信貸資料,在這樣的壟斷市場環境,倘若環聯存心撒賴不合作,銀行界亦無可奈何。
香港是國際金融中心,在港居住的不止是香港市民,環聯手握本港大量敏感信貸財政資料,政府不能簡單視之為一般商業機構。倘若環聯拖拖拉拉,調查報告繼續敷衍了事,網絡保安問題遲遲沒有得到妥善解決,政府便應該介入,研究加強監管辦法。當局必須確保環聯全面提升保安水平,不能將貨就價,草草了事。當前國際形勢錯綜複雜,從保障私隱和安全角度考慮,政府對於環聯這類獨特商業機構,必須有足夠監管工具。政府有責任確保本港居民敏感財政資料不會輕易落入他人手中,當局應考慮各種可行措施,包括借鑑外國經驗,引入市場競爭對手,打破由一間美資公司壟斷全港個人信貸資料的局面。