信贷资料库无王管 须规管保障私隐

市民在财政拮据、急需现金周转时，会向银行或财务公司借钱，而财务公司在评估借贷人的还款能力时，往往会参考坊间一些信贷资料库对借贷人的欠债资料和信贷纪录。私隐专员公署发现一个载有18万名借贷人资料的「TE信贷资料库」，对客户个人资料保障可谓不设防，任由680家财务公司在未经当事人同意下，用极低廉费用作无限次查阅。当局须尽快出招，包括考虑以发牌制度或立法，来堵塞这个漏洞，以保障个人私隐不被侵犯。

私隐专员公署早前收到市民投诉，指其在TE信贷资料库内的个人信贷资料，在不知情和未经同意下，遭8家财务公司多次查阅，公署随即展开调查，发现该资料库的营运商软媒科技犯了至少三宗罪。第一宗罪是保障借贷人资料不力。虽然查阅资料的财务公司，与软媒科技签订使用资料库同意书，规定事前须取得借贷人的同意和授权书，但就投诉人个案而言，软媒科技没有把好关，任由有关财务公司违规私自查阅，犹如「无掩鸡笼」，确实违反《私隐条例》规定。
加强抽查增罚则威慑业界守法

第二宗罪是资料查阅不设限，最骇人听闻的是财务公司只需花2元，便可在5天内无限次查阅借贷人的信贷资料。进入资料库时须输入密码，但密码强度不高，而且不设有效期，完全不符合《私隐条例》的网络安全要求。

第三宗罪是违规储存超过期限的资料。公署发现资料库内有5万宗已还款逾5年的信贷纪录，属于不必要保留，也是违反《私隐条例》。这意味即使借贷人已还清款项，仍可能收到财务公司的促销电话，受到不必要滋扰。

公署已向软媒科技发出通知，要求对方在3个月内将问题纠正，包括检讨财务公司查阅资料库次数限制、查阅前须核实已取得借贷人的授权书、制定强密码管理，以及删除资料库内的已届满5年的信贷资料等，若逾期仍未能改正过来，便考虑发出刑事检控。

港人向来非常着重个人私隐，今次事件不但暴露了TE信贷资料库管理不善，还凸显个人信贷资料保障出现「无王管」的重大漏洞，因TE信贷资料库并没有加入「多家个人信贷资料服务机构」（MCRA）模式，故不受行业守则及金融行业相关法例监管。
宜以发牌或补贴规范财务公司

过去个人信贷资料库一直由环联独市经营，在金管局推动下，银行公会、存款公司公会和持牌放债人公会制订MCRA模式，改由3家较具规模的平台负责营运信贷资料库，打破环联垄断局面，而行业公会亦制定行业实务守则，为信贷资料库在企业管治、内部监控、客户个人资料的使用和安全等方面订立标准。可是，小型财务公司受限于成本拒绝加入MCRA，而TE信贷资料库以低廉费用作招徕，令信贷资料库出现两个不同模式，各自为政。

要堵塞这个私隐漏洞，短期私隐专员公署建议加强对MCRA以外的信贷资料库的私隐保障排查，限令他们在期限内将问题纠正过来，并加强罚则以起阻吓作用；监管当局可认真考虑提供一次性补贴帮助小型财务公司加入MCRA，既让其受行业实务守则规范，也使系统的信贷资料更全面。长远应针对信贷资料库设立发牌制度，甚或立法，用法规进行监管。

至于借贷人在借贷时，应找一些具规模、信誉良好并加入MCRA的财务公司，至少个人信贷资料会受到一定保障，不怕遭人胡乱查阅。