持目標人物個資即可任睇信貸報告　私隱署證環聯違例

載有500多萬名市民信貸紀錄的香港環聯資訊有限公司，去年底被揭索取信貸報告的程序懷疑出現保安漏洞，只要持有目標人物的身份證號碼及公開資料，回答簡單問題，就可輕易通過核證並下載信貸報告。事隔一年，香港個人資料私隱專員公署今(9日)公布調查報告，證實環聯在網上認證程序中，沒有採取所有切實可行的步驟確保資料受保障，其網上認證程序存有漏洞，違反《私隱條例》下的資料保安原則。

公署的調查報告指出，環聯的網上認證程序有漏洞，在輸入全名或出生日期時，根本毋須與環聯資料庫的紀錄完全脗合便可查閱個人信貸報告；認證過程採用了與個人年齡範圍及生肖這些與環聯獨有交易無關的問題，或認證過程中仍採用已過時而被剔除的答案。

此外，調查又揭發其他網站或手機程式的查取途徑，沒有因個人未能通過認證程序而被封鎖，且非所有申請均使用雙重認證。鑑於上述行為，公署認為環聯違反《私隱條例》下的資料保安原則。公署已通知環聯糾正問題。

私隱專員黃繼兒建議環聯定期檢討網上認證程序；當個人被要求轉移信貸資料予夥伴時，未必知被轉移的資料範圍，建議環聯應讓個人選擇可轉移的資料，確保個人資料受保障。