2信貸資料服務機構遭未經授權查閱個人資料　涉及人數逾558萬

市民申請私人貸款時需要提交個人資料，議員簡慧敏今日(24日)就個人信貸資料的私隱保障事宜，向財經事務及庫務局提出書面質詢。個人資料私隱專員公署（下稱公署）證實，分別於2019及2023年，有兩家信貸資料服務機構遭未經授權查閱個人資料的情況，最多影響人數的機構，涉及手持的信貸資料人數高達540萬，另一間涉及18萬人，合共約558萬人受影響。公署稱正全面審視《個人資料（私隱）條例》（《私隱條例》）及擬訂具體的修例建議，包括設立強制性個人資料外洩通報機制及要求資料使用者制訂個人資料保留時限政策等。

公署回覆指，就近年有信貸資料服務機構遭未經授權查閱個人資料的情況，公署於2019年及2023年，分別向環聯資訊有限公司（環聯）及軟媒科技有限公司（軟媒科技）發出執行通知，指示相關機構堵塞信貸資料庫的保安漏洞，包括要求環聯制定清晰的身分認證程序，以及要求軟媒科技更改密碼的設置以保障載有個人資料的資訊系統安全等。

兩間機構手持的信貸資料分別涉及約540萬人及約18萬人。環聯及軟媒科技已根據上述執行通知的規定，落實相應的保安措施，以保障個人資料私隱。為持續監察環聯的個人資料保安水平及合規情況，公署已於2021年主動對環聯的個人資料系統進行視察，並隨後發表視察報告。視察結果顯示環聯在保障其持有的個人資料方面，符合《私隱條例》有關個人資料保安的規定，例如採用合約規範的方法對信貸提供者採取適當的系統存取控制措施等。

公署正全面審視《個人資料（私隱）條例》（《私隱條例》）及擬訂具體的修例建議，包括設立強制性個人資料外洩通報機制、要求資料使用者制訂個人資料保留時限政策、賦權私隱專員判處行政罰款、直接規管資料處理者，以及釐清個人資料的定義等。