林郑月娥信贷评级外泄　私隐专员揭环联信贷网认证违例存四大漏洞

载有540万人信贷资料的信贷资料库“环联”，去年11月被揭网上认证程序有漏洞，有传媒成功取得特首林郑月娥等数名公众人士的信贷报告。本港个人资料私隐专员黄继儿今日(9日)发表调查报告，指网上认证程序存在四个漏洞，认证程序违反《个人资料（私隐）条例》原则，指令环联纠正有关违反及防止再发生。

《报告》指出，在上述事故发生时，个人可透过环联网站及其五个伙伴的网站／手机程式申请及查取信贷报告。黄继儿认为，环联在网上认证程序中违反了《私隐条例》附表1保障资料第4(1) 原则（资料保安），并存在四大漏洞：

(1) 个人所输入的全名和出生日期无须与环联资料库的纪录完全脗合；
(2)“基于知识的认证”采用了 (a) 与个人年龄范围及生肖这些与环联独有交易无关的问题，及 (b) 过时而易被剔除的答案；
(3) 其他网站／手机程式的查取途径没有因个人未能通过某一网站／手机程式的认证程序而被封锁；及
(4) 非所有申请均使用双重认证。

私隐专员依据《私隐条例》第50(1)条行使其权力向环联送达执行通知，指令环联纠正有关违反及防止有关违反再发生。

资料显示及转移资料予伙伴不违规

此外，黄继儿认为， 环联使用个人资料作身分认证及向有关个人显示信贷资料的目的与收集资料的目的一致；另一方面，转移个人资料予其三个伙伴的目的则并非环联收集相关资料的原本目的或与该目的直接有关，如此转移需按照《私隐条例》附表1的保障资料第3(1)原则（资料使用）的规定取得有关个人的订明同意。私隐专员审视了申请程序的每个步骤，无发现如此转移违反上述的原则。

私隐专员向环联作出五项建议，包括转移信贷资料予伙伴不应是预设设定，环联应选择私隐侵犯程度较低的方式；当个人被要求同意环联转移信贷资料予伙伴时，未必确切知道会被转移的资料范围，建议环联列出有关资料，让个人选择哪些资料可转移予伙伴；每年进行不少于一次的审核，以确保伙伴有足够程度的资料保障水平；定期检讨网上认证程序；以及容许个人以较低费用查取信贷报告。

《明报》取得林郑月娥及陈茂波信贷报告

《明报》去年11月报道，测试发现只要持有目标人物的身份证号码及公开资料，回答简单问题，即可轻易通过核证并下载其详尽信贷报告，内容包括电话、地址、借贷及逾期还款纪录等多项敏感资料，该报依此方法，取得林郑月娥及财政司司长陈茂波等人的报告。