黃繼兒：事主盼放下 「偷拍安心」無法查

【明報專訊】藝人許志安及黃心穎於車廂內被偷拍事件，早前引起全城關注，個人資料私隱專員公署多次公開呼籲當事人向公署投訴，以便調查。私隱專員黃繼兒昨再次回應事件，稱曾去信予當事人的公司及代理人，並獲書面回覆稱「希望將事件放低」，故在未獲授權下，法律上私隱專員無法採取更多行動，但公署仍會與業界及政府部門溝通。

黃繼兒昨表示，公署一直關心車廂偷拍事件當事人，事件「好大可能違規」，因為明顯在沒得到當事人同意或當事人不知情下，得到及公開有關影像資料。公署一直希望事主協助調查，但若對方無意跟進，公署就「無能為力」，因法律上未授權私隱專員採取更多行動。

對於的士車廂安裝攝錄器材，黃繼兒認為有其好處，可助防止罪案，但對乘客而言亦有弊處，如侵犯私隱，需平衡各方利益，會繼續與業界及政府部門溝通，研究規管安裝攝錄器材，以及收集、處理和使用所得資料。

至於信貸資料庫環聯出現保安漏洞，黃繼兒表示，已就事件展開循規審查，已掌握到一些資料，有理由相信環聯可能違反守則，事件仍在調查。黃期望可得到不同方面的配合，會盡快調查事件，但亦會給予環聯機會查找事實，做好準備。

Read More

請問而家仲有咩方法可以check到自己TU?

no!親身去環聯睇(可網上約時間)，但都係要親身去，只開星期1-5

Read More

不受金管局銀行公會監管 議員斥態度拖拉

香港環聯信貸資料庫內有540萬個消費者的信貸紀錄，然而環聯資訊有限公司並非銀行，不受金管局或銀行公會監管，銀行公會一直稱「只能要求環聯積極配合」。資訊科技界立法會議員莫乃光表示，在目前機制下，金管局及銀行公會只能通過銀行向環聯施壓，批評環聯至今態度仍是「拖拖拉拉」。環聯網上查閱服務重開無期，大批市民因此要親身到環聯排隊拿籌索閱個人信貸報告。

自環聯停止提供網上查閱服務後，現時市民欲查閱及索取個人信貸報告，須先在環聯網站預約。本報記者上周五所見，網站排期最快也要兩個月後，即7月23日才有檔期。

網上服務未重開 索報告現人龍

對於部分市民急欲索取報告，環聯每日在尖沙嘴的辦公室門外派籌，供市民即場排隊索閱。記者上周五到場觀察，早上8時多已有數十名市民輪候。職員表示每日會派約80個籌，並稱「日日都好多人來排隊」，承認排在較後位置的市民，要待有人放棄網上預約才能即日補上位置。

資訊科技界立法會議員莫乃光認為，本港銀行將客戶資料交給環聯牟利，但環聯至今仍「拖拖拉拉」，而環聯並非銀行，在目前機制下，金管局及銀行公會只能通過銀行向環聯施壓。

金融界立法會議員陳振英表示，環聯有權選擇不交報告，但或會破壞與本港銀行的關係，對現有業務模式有重大負面影響，「環聯依賴銀行提供和更新客戶個人信貸資料，一定要和銀行好好合作」。

有銀行業界人士稱，環聯在本港主要收入來源並非個人客戶，而是銀行及金融機構等商業客戶，而且環聯暫停網上查閱服務後，仍可要求個人客戶親身到環聯辦公室查詢，估計對環聯影響有限。

Read More

Editorial : TransUnion security loopholes remain unplugged

THE security of the online service of TransUnion, who holds the credit information of over five million people in Hong Kong, was found to contain major flaws. TransUnion submitted a report to the Hong Kong Association of Banks (HKAB) six months after the flaws were exposed. However, the report was written in a slipshod manner and has been rejected by the HKAB. TransUnion's majority shareholder is a US‑based company. It is the sole consumer credit information service agency in Hong Kong. Since it holds the most sensitive financial information of Hong Kong citizens, it is obliged to strengthen privacy protection. However, TransUnion has failed to put forth any method to plug the security loopholes and reopen its online credit report service. What is even more shocking is that the report does not make a comment or draw a conclusion regarding the overall security situation. The government should strengthen its regulation of TransUnion and introduce competitors to prevent monopolies in the market.

Last year this newspaper identified a serious flaw in TransUnion's online procedures for obtaining data. A client whose identity was not ascertained could easily obtain personal credit data online. The security measures in place were unsophisticated and ridiculous. After the loopholes came to light, TransUnion suspended its online credit report service and apologised to the public at the Legislative Council.

In the investigation report submitted to the HKAB, TransUnion confirms that the risks of some of its online login procedures are "critical" and "high". However, it does not suggest any way to close the security loopholes. What is more shocking is that the report does not make a comment or draw a conclusion regarding the security measures and the overall security situation of TransUnion's online credit report service. A ridiculous error is also found in the report. An item for evaluation falls into different risk classifications in different chapters. Given the sloppiness and carelessness of the report, it is inevitable that the public is doubtful about TransUnion's intention to tackle its security loopholes.

The HKAB has rejected TransUnion's report, criticising it for being incomplete and having discrepancies. TransUnion has been asked to revise the report and provide a "full and professional" independent review. The crux of the matter is that TransUnion is not under the supervision of the Hong Kong Monetary Authority or the HKAB. The latter has made a number of requests to TransUnion, including enhancing the safety of its online system, improving the monitoring processes, and appointing an independent third party to assess the effectiveness of its remedial measures, etc. However, TransUnion may very well turn a deaf ear to these requests. Since it is the sole company that provides such kind of service in Hong Kong, the banks have to rely on it sometimes for credit information to make decisions on whether they should lend money to certain clients. In a monopolised market, there is nothing the bank can do if TransUnion deliberately thwarts the requests of the HKAB and does not cooperate.

Hong Kong is an international financial centre and TransUnion holds a large amount of sensitive credit and financial information of Hong Kong. The government should not regard the company simply as an average commercial entity. If the online security problems of TransUnion are not resolved properly soon, the government should intervene by exploring ways to strengthen supervision of the company. The government has the responsibility to ensure that sensitive financial information of Hong Kong residents will not fall into the hands of other people. All practical measures, including introducing competition into the market, should be considered to end the monopoly of an American‑based company on the personal credit information of Hong Kong.

Read More

被批「不完整無結論」 認部分查閱環節高風險 環聯保安漏洞報告 銀公「打回頭」

【明報專訊】環聯網上查閱信貸報告服務去年被揭保安漏洞，金管局及銀行公會要求環聯遞交調查報告及改善，始能重開服務。事隔近半年，本報獲悉環聯早前已向銀行公會提交報告，證實部分網上登入環節屬嚴重（Critical）及高（High）風險。不過，銀行公會不滿報告內容，上月底向環聯發信，批評報告不完整、出錯及無任何結論，要求環聯重新修訂報告內容。

促加強安全改善監控

由第三方評估成效

銀行公會回覆，初步發現環聯網上信貸資料服務平台存在漏洞，須審視和加強網絡系統安全，改善監控流程和管理質素；環聯須提交專業且全面的獨立評估報告，有需要時要提供報告以外的補充資料，亦須委託獨立第三方機構評估措施執行的成效，在落實所有改善措施前，環聯仍會暫停有關服務。

消息：不排除再引入信貸機構

消息稱，公會已收到報告初稿，並向環聯發信提出問題，要求在合理時間回覆，目前不排除任何可保障客戶資料的可能性，包括引入多一間個人信貸資料機構。

金管局則回覆，已與銀行公會要求環聯委託獨立專家檢視保安及身分認證等程序，環聯完成全面保安檢視和在確認保安水平全面提升前，仍會暫停網上查閱服務。

個人資料私隱專員公署則稱，正就事件作循規調查，完成後會按法例決定是否公布結果。

環聯：會持續加強查詢程序

環聯回覆稱，會持續加強網上消費者信貸報告查詢程序，服務恢復後，將立即對外公布。撰寫報告的獨立顧問畢馬威（KPMG）則拒絕回應。

獨立顧問畢馬威撰報告

本報獲悉，被揭保安漏洞後，環聯聘用畢馬威調查，並於今年3月完成長25頁的報告，包括分析環聯網上個人查閱服務不同環節的風險，並將15項「調查發現（findings）」歸類為5個風險級別，當中有一項被歸類為嚴重（Critical），3項被歸類為高風險（High），其餘則為中（Medium）、低（low）和無風險（Informational）。

環聯於上月15日與銀行公會討論該份報告，惟銀行公會並不滿意報告內容。銀行公會上月25日向環聯發出5頁信件，本報得悉當中內容，信中批評報告並無就網上查閱系統的保安措施及整體保安情况，提出任何意見或下結論，形容報告並不完整（incomplete），又稱報告內容出現明顯不一致（discrepancies）的錯處，同一評估項目在不同章節被歸類為不同風險級別，要求環聯盡快重新修訂報告。

銀行公會又在信中提到，環聯須示範新保安措施如何保障客戶，而恢復網上服務至少一周前，須向公會提交計劃書（見表）。

事隔半年交報告

陳振英：兩三月可完成

金融界立法會議員陳振英稱，本報獲得的信件及報告內容與他所知一致，質疑報告已將部分網上查閱程序列為嚴重及高風險，環聯應立即補救，沒理由事隔半年仍未完成正式報告。他又表示，保安漏洞涉及公眾利益，正常應在兩三個月內完成，「至今應該無人覺得滿意（交報告）時間」。

陳振英指出，環聯提交的報告無提出確切可行的堵塞保安漏洞方法，肯定銀行公會有不滿，促請環聯盡快找出漏洞的關鍵，全面加強私隱保護系統，若環聯事件長時間未有進展，他考慮在立法會跟進。

明報記者 梁崇碧

Read More

社評：環聯掌全港信貸資料 保安疏漏半年未堵塞

【明報社評】擁有本港逾500萬人信貸資料的環聯資訊（下稱環聯），網上保安被揭重大漏洞，猶如「無掩雞籠」。事隔近半年，環聯向銀行公會提交報告，惟因內容粗疏錯漏，遭公會「打回頭」。環聯大股東為美資公司，是本港唯一消費者信貸資料服務機構，手握香港市民最敏感的財務資料，有責任加強私隱保護，然而環聯遲遲未有提出堵塞保安漏洞方法，恢復網上查閱服務，報告未就整體保安情况提出任何意見或下結論，更叫外界驚訝。環聯拖拖拉拉，做法不能接受，當局有必要加強監管，同時引入競爭者，打破市場壟斷。

環聯與美政府部門合作

諮委有前情報國安官員

香港環聯前身於1982年成立，1999年由美國環聯（TransUnion）收購。環聯國際業務遍及多地，跟美國各級政府部門素有合作，美國環聯網站顯示，其諮詢委員會（Government Advisory Board）既有華府前高官、國土安全事務專家，還有國防部及中情局背景人士。曾任中情局資訊科技總監的Doug Wolfe，便於去年8月加入。根據美國環聯官網文章的描述，保護億計美國人信貸金融資料，事關國家安全大事，美國環聯作為「國家基建保護計劃」一部分，在這方面扮演重要角色。

相比之下，環聯對於香港居民信貸資料的保護，可謂差天共地。本報去年發現，環聯網上索閱資料程序出現嚴重漏洞，未有認清客戶身分便提供個人信貸資料，保安粗疏兒戲，理論上只要掌握竅門，任何人只需知悉某人身分證號碼，繳付有限費用，就可以「起底」取得其最敏感私隱資料。事件曝光後，環聯雖然暫停了網上查閱服務，並在立法會向公眾致歉，然而環聯處理港人敏感資料的粗鬆程度，着實令人費解。

環聯的信貸資料庫，擁有超過500萬香港居民的借貸資料，本地銀行將客戶資料託付給環聯管理，只要在香港申請過信用卡或按揭、借貸，不論國籍，環聯都有紀錄。對銀行而言，保障客戶資料是重中之重，當然期望環聯以嚴謹態度處理資料。金管局和銀行公會要求環聯遞交調查報告以及有所改善，始能恢復網上查閱服務。近年環聯積極開拓個人索閱信貸報告的市場，環聯為了生意，理應盡快完善系統堵塞保安漏洞，讓服務得以恢復，可是事隔差不多半年，環聯有關服務仍然未能恢復，急於索閱個人信貸報告的市民，現時唯有大清早親身到環聯辦公室排長龍輪籌。

民衆信貸資料陷風險

環聯完善有責勿拖拉

環聯向銀行公會提交的調查報告，證實部分網上登入環節存在嚴重（Critical）及高（High）風險。有銀行界人士指出，保安漏洞涉及公眾利益，正常應當在兩三個月內解決，然而環聯的報告，並未提出確切可行的堵塞保安漏洞方法；叫人更感驚訝的是，報告對於網上查閱系統的保安措施及整體保安情况，竟然沒有提出任何意見或下結論，內容還出現離譜錯誤，同一評估項目在不同章節被歸類為不同風險級別。調查報告如此馬虎粗疏，難免令人質疑環聯方面是否有心處理保安漏洞。

銀行公會批評報告不完整不一致，拒絕「收貨」，要求環聯重新修訂，提交「專業且全面」的獨立評估報告，問題是環聯並非銀行，不受金管局或銀行公會監管，嚴格來說，銀行公會只能要求環聯「積極配合」。公會向環聯提出多項要求，包括加強網絡系統安全、改善監控流程、委託獨立第三方機構評估保安新措施成效等，理論上環聯可以當作「耳邊風」。誠然，環聯與銀行唇齒相依，維持良好合作關係有利雙方，不過由於環聯的業務在港「只此一家」，銀行決定是否借錢給客戶，有時仍得靠環聯提供信貸資料，在這樣的壟斷市場環境，倘若環聯存心撒賴不合作，銀行界亦無可奈何。

香港是國際金融中心，在港居住的不止是香港市民，環聯手握本港大量敏感信貸財政資料，政府不能簡單視之為一般商業機構。倘若環聯拖拖拉拉，調查報告繼續敷衍了事，網絡保安問題遲遲沒有得到妥善解決，政府便應該介入，研究加強監管辦法。當局必須確保環聯全面提升保安水平，不能將貨就價，草草了事。當前國際形勢錯綜複雜，從保障私隱和安全角度考慮，政府對於環聯這類獨特商業機構，必須有足夠監管工具。政府有責任確保本港居民敏感財政資料不會輕易落入他人手中，當局應考慮各種可行措施，包括借鑑外國經驗，引入市場競爭對手，打破由一間美資公司壟斷全港個人信貸資料的局面。

Read More

TU 一個混蛋遊戲

如果你比較TU評分，你會發現每個年級範圍都不相等。由於範圍窄，你最有可能在C到G之間上下波動。從信用報告中賺錢是一個混蛋的伎倆

Read More