吸取環聯事件教訓　堵塞洩漏私隱漏洞

2019-01-08

載有全港540萬市民信貸記錄的香港環聯資訊有限公司（「環聯」），去年被傳媒揭發保安漏洞事件，包括行政長官在內的官員信貸資料外洩。立法會財經事務委員會昨日討論有關事件，環聯向公眾致歉，卻批評有傳媒故意冒充他人。問題是，正因為環聯系統有漏洞，留下可乘之機，才讓傳媒通過冒認取得別人的資料；環聯不檢討自己，卻將資料外洩的責任推向傳媒，難以服眾。環聯掌握大量市民私隱，又擁有獨一無二的市場地位，卻不受銀行公會和金管局監管，更顯示監管上的漏洞。當局既需調查事件，對過失作出事後懲罰，更應堵塞保障私隱的監管漏洞，做好事前防禦，杜絕類似事件重演。

有傳媒去年11月發現，只要憑目標人物的身份證號碼及公開資料，回答簡單問題，便能通過環聯的身份認證程序，取得載有信貸評分、逾期還款等敏感資料的信貸報告。傳媒以此方法取得行政長官林鄭月娥及財政司司長陳茂波等人的信貸報告。事件經報道後，引起市民對個人私隱外洩的關注和擔憂。

昨日立法會財經事務委員會上，環聯首次對受影響人士致歉，稱已採取額外保安措施和聘請獨立第三方機構審查公司的安全架構和實施情況。但環聯強調，事件並非數據洩漏，而是一宗「有目的故意冒認他人」的事件。這種態度令人側目。環聯掌握大量市民個人資料和財務狀況私隱，其系統安全防衛卻如「無掩雞籠」。市民的信貸資料極其敏感，本來就不應該隨便供人查閱，必須要有驗證密碼、雙重認證等嚴密防護措施。傳媒以行政長官等人士的公開資料，輕易登入環聯的系統，並取得有關信貸資料，只是出於公眾利益揭露問題。若是黑客或其他別有用心之人來搞事，後果不堪設想。環聯不感謝傳媒替其發現漏洞，以利亡羊補牢，反而有埋怨之意，似乎出問題的是傳媒而非環聯，實在說不過去。

事件發生後，多個監管部門都將焦點放在個人私隱的安全保障，而非掌握個人私隱機構的監管。環聯掌握着540萬人、共近9000萬份信貸報告，這些報告是各間銀行交予其保管，環聯則好像中介般，給有需要的機構或個人查閱。但環聯並非銀行，不受銀行公會監管，而用戶信貸資料亦毋須受金管局監管，這就存在明顯的監管漏洞。其實，任何涉及使用個人資料的機構，均要遵守《個人資料(私隱)條例》，當局有必要加強監管，以策安全。

另一方面，環聯與銀行有合作關係，環聯的服務出了問題，銀行按道理可以施壓，要求環聯改善服務、增強對資料的安全保障。但現時全港業界只有環聯一間共用信貸資料庫，無論銀行還是市民，無其他選擇。政府有必要考慮引入其他參與者，通過競爭促使市場良性發展。

近年本港銳意發展創新科技，相關產業極度依賴大量的公眾數據作為基礎，信息安全是創科健康發展的重要基礎。但是，去年國泰940萬客戶資料外洩和環聯事件，反映連本港的大企業，在信息安全方面也存在重大紕漏，若再不改善，恐成為窒礙本港創科發展的短板。

政府必須正視問題，不能單純依賴事後懲罰，更要強化事前監管，對掌握大量市民私隱的企業，必須主動了解其安全措施是否足夠，提出具體的保安要求和操作指引；同時更新本港私隱條例，加強立法，保障市民在安全的前提下，享用信息科技的便捷。

讀文匯報PDF版面

吸取環聯事件教訓 堵塞洩漏私隱漏洞

吸取環聯事件教訓　堵塞洩漏私隱漏洞