信貸資料庫無王管 須規管保障私隱

市民在財政拮据、急需現金周轉時，會向銀行或財務公司借錢，而財務公司在評估借貸人的還款能力時，往往會參考坊間一些信貸資料庫對借貸人的欠債資料和信貸紀錄。私隱專員公署發現一個載有18萬名借貸人資料的「TE信貸資料庫」，對客戶個人資料保障可謂不設防，任由680家財務公司在未經當事人同意下，用極低廉費用作無限次查閱。當局須盡快出招，包括考慮以發牌制度或立法，來堵塞這個漏洞，以保障個人私隱不被侵犯。

私隱專員公署早前收到市民投訴，指其在TE信貸資料庫內的個人信貸資料，在不知情和未經同意下，遭8家財務公司多次查閱，公署隨即展開調查，發現該資料庫的營運商軟媒科技犯了至少三宗罪。第一宗罪是保障借貸人資料不力。雖然查閱資料的財務公司，與軟媒科技簽訂使用資料庫同意書，規定事前須取得借貸人的同意和授權書，但就投訴人個案而言，軟媒科技沒有把好關，任由有關財務公司違規私自查閱，猶如「無掩雞籠」，確實違反《私隱條例》規定。
加強抽查增罰則威懾業界守法

第二宗罪是資料查閱不設限，最駭人聽聞的是財務公司只需花2元，便可在5天內無限次查閱借貸人的信貸資料。進入資料庫時須輸入密碼，但密碼強度不高，而且不設有效期，完全不符合《私隱條例》的網絡安全要求。

第三宗罪是違規儲存超過期限的資料。公署發現資料庫內有5萬宗已還款逾5年的信貸紀錄，屬於不必要保留，也是違反《私隱條例》。這意味即使借貸人已還清款項，仍可能收到財務公司的促銷電話，受到不必要滋擾。

公署已向軟媒科技發出通知，要求對方在3個月內將問題糾正，包括檢討財務公司查閱資料庫次數限制、查閱前須核實已取得借貸人的授權書、制定強密碼管理，以及刪除資料庫內的已屆滿5年的信貸資料等，若逾期仍未能改正過來，便考慮發出刑事檢控。

港人向來非常着重個人私隱，今次事件不但暴露了TE信貸資料庫管理不善，還凸顯個人信貸資料保障出現「無王管」的重大漏洞，因TE信貸資料庫並沒有加入「多家個人信貸資料服務機構」（MCRA）模式，故不受行業守則及金融行業相關法例監管。
宜以發牌或補貼規範財務公司

過去個人信貸資料庫一直由環聯獨市經營，在金管局推動下，銀行公會、存款公司公會和持牌放債人公會制訂MCRA模式，改由3家較具規模的平台負責營運信貸資料庫，打破環聯壟斷局面，而行業公會亦制定行業實務守則，為信貸資料庫在企業管治、內部監控、客戶個人資料的使用和安全等方面訂立標準。可是，小型財務公司受限於成本拒絕加入MCRA，而TE信貸資料庫以低廉費用作招徠，令信貸資料庫出現兩個不同模式，各自為政。

要堵塞這個私隱漏洞，短期私隱專員公署建議加強對MCRA以外的信貸資料庫的私隱保障排查，限令他們在期限內將問題糾正過來，並加強罰則以起阻嚇作用；監管當局可認真考慮提供一次性補貼幫助小型財務公司加入MCRA，既讓其受行業實務守則規範，也使系統的信貸資料更全面。長遠應針對信貸資料庫設立發牌制度，甚或立法，用法規進行監管。

至於借貸人在借貸時，應找一些具規模、信譽良好並加入MCRA的財務公司，至少個人信貸資料會受到一定保障，不怕遭人胡亂查閱。