公署揭TE信貸資料庫保安不足

個人資料私隱專員公署調查發現，有科技公司並無採取適當保安措施，財務公司可在未經借款人授權下，自行查閱並使用信貸資料庫的資料，違反《私隱條例》。涉事的「TE信貸資料庫」由「軟媒科技」營運，共有約680間財務公司可以查閱其資料庫，涉及約18萬名借款人的信貸資料。

私隱專員鍾麗玲透露，早前接獲投訴，有投訴人發現其信貸資料，在他不知情和未經同意下，被8間不認識的財務公司多次查閱，其中一間曾在7天內查閱3次。

根據調查，公署認為「軟媒科技」沒有採取適當措施防止個人信貸資料被不當查閱、處理或使用。「軟媒科技」曾稱，與財務公司所簽訂使用資料庫同意書，只假定財務公司會遵守使用目的，但不會審查財務公司是否有得到貸款人的同意及授權。

實際上，財務公司可在沒遵守要求下，只需每次繳付2元便可在5天內無限查閱同一位借款人的信貸資料。

公署又指，「軟媒科技」現時仍逾期保留5萬多宗，已完成還款超過5年的信貸紀錄，批評「軟媒科技」漠視條例規定，並增加了借款人個人資料外洩的風險。同時，「軟媒科技」的密碼管理薄弱，沒有採用強密碼政策，也沒有為密碼設定有效期，公署認為是不符合網絡安全的基本要求。

公署指出，在2021年至2023年3月間，軟媒科技共接獲66宗被不明公司查閱資料的投訴，當中有59宗投訴成立，顯示事件非冰山一角。根據資料庫的懲罰準則，只是根據犯規次數而禁止查詢資料庫1天至15天，直至第五次違規才會永久終止使用權。

公署已向「軟媒科技」發出執行通知，指示糾正違反事項，包括刪除逾期保留的信貸資料等，以及防止同類違反的行為再發生。軟媒科技須於3個月內向專員提供文件，證明已完成指示。

鍾麗玲表示，現時「TE信貸資料庫」的營運及管理，並不受行業守則及金融行業相關法例規管，令人憂慮。她建議任何信貸資料庫都應受法例、指引或發牌制度規管，信貸資料庫營運商也要實施私隱管理系統，將個人資料私隱保障納入機構的數據管治責任，並委任保障資料主任。◇

------------------

財務公司無授權下可查閱18萬借貸人資料