立法會會議 書面質詢 – 信貸資料服務機構的監管

立法會第十六條信貸資料服務機構的監管

陳振英議員的提問問題:

環聯資訊有限公司(“環聯”)是本港唯一一間信貸資料服務機構,持有超過500萬名市民的個人資料和信貸紀錄。環聯於2018年被揭發轄下查閱個人信貸報告網站有嚴重的資訊保安漏洞。隨後,香港銀行公會(“銀行公會”)要求環聯暫停服務,以及全面調查事件和提升其資訊保安水平。環聯已於今年7月全面恢復服務。就此,政府可否告知本會:

(一) 鑒於個人資料私隱專員公署(“公署”)於2013年1月最後一次修訂《個人信貸資料實務守則》(“《守則》”),是否知悉公署有否(i)因應上述事件檢討《守則》,以及(ii)定期評估信貸資料服務機構的資訊保安水平是否達到最新的國際標準;若有,詳情為何;若否,原因為何;

(二) 香港金融管理局(“金管局”)和銀行公會就引入多於一間信貸資料服務機構而進行的工作進展為何,以及何時落實;及

(三) 鑒於信貸資料服務與金融服務業息息相關,政府會否修訂法例,把提供該類服務的機構納入金管局或其他法定機構的監管範圍;若會,立法時間表為何;若否,原因為何?

財經事務及庫務局局長許正宇的書面答覆:

經諮詢政制及內地事務局及香港金融管理局(金管局)後,我們就問題各部分的回覆如下:

(一)《個人信貸資料實務守則》(《信貸實務守則》) 是個人資料私隱專員公署(公署)按《個人資料(私隱)條例》(《私隱條例》) 第12條所發出,旨在為香港的信貸資料服務機構及信貸提供者就如何處理個人信貸資料提供實務指引。《信貸實務守則》涵蓋資料的收集、準確性、使用、保安,以及查閱及改正資料要求等方面,以協助香港的信貸資料服務機構及信貸提供者遵從《私隱條例》的各項規定,包括保障資料的原則和要求。

《信貸實務守則》列明,作為良好的行事方法,信貸資料機構須聘用獨立循規審核人,定期就信貸資料機構提供個人信貸資料服務的方法進行循規審核,包括審核其資料庫內的個人信貸資料的保安安排,以符合私隱專員指定的相關標準。公署會因應國際發展不時檢討適用的標準。

就問題涉及的相關個案,公署已根據《私隱條例》作出跟進,並向相關機構提出改善建議,包括要求其設立有利於保障私隱的預設設定、讓個人選擇轉移資料的種類、管理收取個人資料的對象,以及定期檢討網上認證程序等。公署亦已向該機構送達執行通知,指令其糾正違反《私隱條例》的事項及防止類似事件再發生。該機構其後已依從執行通知的規定作出改善,日後亦會繼續根據《信貸實務守則》的要求,向私隱專員定期呈交有關作業方式的審核報告。

(二)金管局一直與香港銀行公會、香港存款公司公會和香港持牌放債人公會(統稱「行業公會」)商討關於引入多於一家個人信貸資料服務機構的建議,並積極落實相關安排,希望藉此提升個人信貸資料服務機構的服務水平,改善現時因市場只有一家商業營運的服務提供者而衍生的營運風險,特別是單點失誤的風險。

金管局和行業公會對於建議下的新運作模式已達成共識,在引入多於一家個人信貸資料服務機構的同時,為避免多點對接所衍生的問題,計劃構建一個中介平台,為各家信貸提供者(包括銀行和放債人)與各家個人信貸資料服務機構提供介面連接。行業公會正積極進行各項籌備工作,包括制定《行業實務守則》,為信貸資料服務機構在企業管治、内部監控、客戶個人資料的使用和安全等方面訂立標準;以及成立一個管治小組,負責執行《行業實務守則》,進一步加強保障個人信貸資料及消費者。金管局將會認可該《行業實務守則》,並修訂《監管政策手冊》內有關「透過信貸資料服務機構共用個人信貸資料」的指引,落實銀行在新安排開通後須透過中介平台與個人信貸資料服務機構連接及遵守《行業實務守則》的規管要求。

鑑於項目較為複雜,行業公會及其委聘的第三方顧問公司正與金管局釐清細節,並徵詢公署、消費者委員會、業界及相關持份者的意見。當準備就緒,行業公會將會就提供個人信貸資料服務進行招標,其後中介平台和個人信貸資料服務機構將會進行系統開發和保安測試,預期新系統將會於2022年底投入服務。

(三)在現行的法律框架下,個人資料受到《私隱條例》所保障。個人信貸資料服務機構須遵守該條例的規定,公署發出的《信貸實務守則》亦規管個人信貸資料的處理。《信貸實務守則》涵蓋個人信貸資料的收集、準確性、使用、保安,以及查閱及改正資料要求,規定個人信貸資料機構在日常運作中須採取適當的措施,以防止所持有的個人信貸資料受到不當查閱或不當處理,包括須定期及經常監察及檢討資料庫的使用情況,藉以偵察及調查任何不尋常或不合常規的查閱或使用模式。雖然當局沒有計劃就信貸資料服務機構制訂特定的法律框架,但金管局和行業公會將透過《信貸實務守則》再配合《行業實務守則》,進一步加強個人信貸資料安全及保障消費者權益。