环联资料外泄　私隐专员黄继儿：设计存漏洞　审查料数月后有结果

《明报》报道环联资讯（TransUnion）存有资料漏洞，只须持有个别人士的身分证号码及公开资料，并回答简单问题，即可轻易通过核证，甚至下载其详尽信贷报告，及电话、地址、借贷及逾期还款纪录等敏感资料。
私隐专员黄继儿今日（29日）接受商业电台节目的电话访问时称，事件或涉及设计上的漏洞，称现已加设密码认证等措施，以堵塞漏洞。他称公署已开展循规审查，料数个月后有结果。

根据明报报道，只须持有目标人物的身分证号码及公开资料，后回答3条“五选一”选择题，如年龄等，即可轻易通过核证并下载其详尽信贷报告。报告中包括电话、地址、借贷及逾期还款纪录等敏感资料，报章甚至以此方法取得本港最高级官员，包括特首林郑月娥及管理财金事务的财政司长陈茂波等人的报告。

私隐专员黄继儿于访问中称，周三接获环联通报，称有不正常的资料外泄，其后署方联络环联，双方先就堵截漏洞方法交换意见，以保障客户个人资料。

私隐署曾建议多重认证方法堵漏洞

他称，署方曾建议以多重认证方法堵截漏洞，其后环联采用一次性密码认证，以确认客户身份。署方分别从机构网页、中介网页及应用程式作测试，结果发现三个方法同存有设计上的漏洞，可轻易取得个人资料。署方已开展循规审查，但受资源所限，或须数个月后才有结果。

他称即使机构已完善有关设计，但并非划上句号，于调查后会劝喻、警告相关机构，以免再发生类似情况。至于有关报章有否违反私隐条例，他称若新闻报道涉及大众利益，一般可获得豁免。