立法會五題 商業機構泄露個人資料
陳振英議員:
代理主席,對於這次環聯的資料外泄事件,有人認為是由該公司本身的業務模型(business model)造成。
請問局長,假如經調查後,發現問題確實在於該企業本身的業務經營模型,則根據現行的法例,除了涉事機構本身外,監管機構可如何介入,並進行一些相關調整呢?
政制及內地事務局局長:
代理主席,感謝陳議員的補充質詢。正如我已在剛才的分析中指出,整件事件關乎兩方面:其一,是有關處理個 人資料時對私隱的保障;其二,是關乎行業監管方面,我們須考慮應以何種模式做好個人信貸風險管理。
就目前情況而言,一如我在主體答覆中指出,現行的”模式”於 1990 年代初期建立,信貸提供者透過將相關資料放在環聯信貸資料服務機構這個平台上,進行整體信貸風險的管理。
在監管的角度來看,金管局是監管銀行的機構,而環聯卻是以一個商業機構的模式運作。觀乎這次事件,銀行有必要檢視本身與環聯或信貸資料服務機構之間的合約,能否有效確保個人信貸資料得到妥 善處理及保護;第二,信貸資料服務機構與其他第三方平台之間,究竟是以甚麼形式建立業務關係?有否涉及資料移轉?大家的業務關係是否獲法律承認?這些事宜實在需要仔細研究。
最後,陳議員問及商業運作的模式或整體監管的模式是否適切,以及是否有需要改善的地方。我相信財經事務及庫務局及金管局亦會檢視此事件的調查結果及跟進各個環節的問題。事實上,世界其他地 方的同類監管制度即使會有差異,也必會從保障私隱,以及金融業監管這兩方面作出考慮。因此,兩方面的機構都會有角色參與。