以下是今日(四月二十四日)在立法會會議上簡慧敏議員的提問和財經事務及庫務局局長許正宇的書面答覆:
問題:
關於個人信貸資料的私隱保障,政府可否告知本會:
(一)是否知悉,過去六年,香港個人資料私隱專員公署(公署)向違反《個人資料(私隱)條例》(第486章)的信貸資料服務機構發出執行通知的個案宗數,以及該等個案的涉事機構、受影響人數、遵行執行通知的情況及因違反執行通知而被檢控的機構數目為何(以表列出);
(二)鑑於第486章並未設立強制性個人資料外泄通報機制,而個人資料私隱專員於本年二月十九日本會政制事務委員會會議上表示,公署正與政府共同審視設立有關機制的修例建議,有關工作的進展為何;
(三)鑑於據報,信貸資料服務機構環聯資訊有限公司於二○一八年被揭發轄下查閱個人信貸報告的網站存在資訊保安漏洞,當局及後有否持續監察其資訊保安水平及合規情況;如有,詳情為何;如否,原因為何;
(四)鑑於香港金融管理局(金管局)與行業公會合作,透過信貸資料平台引入多於一家個人信貸資料服務機構,並支持行業公會建立有關的平台「信資通」,但據悉該原訂於去年十二月推出的平台至今仍未推出,該平台的最新進展為何;
(五)鑑於據悉,行業公會已制訂《MCRA模式實務守則》,規定了信資通的獲選信貸資料服務機構和認可會員在個人資料的使用和保障等各個方面須遵守的標準和要求,在信資通仍未推出的情況下,當局有何措施監察信貸資料服務機構遵從《個人信貸資料實務守則》和第486章的情況;及
(六)鑑於中國人民銀行與金管局已同意簽署《關於跨境徵信互通業務試點的諒解備忘錄》,當局有何監管措施確保跨境徵信數據僅在粵港澳大灣區內安全有序流動,以及何時落實開展試點測試及實施工作?
答覆:
主席:
就簡慧敏議員問題的各部分,經諮詢政制及內地事務局及香港金融管理局(金管局)後,現答覆如下:
(一)就近年有信貸資料服務機構遭未經授權查閱個人資料的情況,個人資料私隱專員公署(公署)於二○一九年及二○二三年分別向環聯資訊有限公司(環聯)及軟媒科技有限公司(軟媒科技)發出執行通知,指示相關機構堵塞信貸資料庫的保安漏洞,包括要求環聯制定清晰的身分認證程序,以及要求軟媒科技更改密碼的設置以保障載有個人資料的資訊系統安全等。兩間機構手持的信貸資料分別涉及約540萬人及約18萬人。環聯及軟媒科技已根據上述執行通知的規定,落實相應的保安措施,以保障個人資料私隱。
(二)目前,公署正全面審視《個人資料(私隱)條例》(《私隱條例》)及擬訂具體的修例建議,包括設立強制性個人資料外洩通報機制、要求資料使用者制訂個人資料保留時限政策、賦權私隱專員判處行政罰款、直接規管資料處理者,以及釐清個人資料的定義等。公署正詳細研究其他司法管轄區的相關法例和經驗,同時考慮香港的實際情況,以便擬訂切實可行的修例建議以配合國際私隱保障的發展及加強個人資料私隱的保障。就強制性個人資料外洩通報機制方面,須考慮的包括個人資料外洩事故的定義、通報的門檻、通報的時限等。現時有關工作正積極進行中,待具體修例建議敲定後,公署會徵詢政府及立法會的意見,再按實際情況制定具體的修訂法例時間表。
(三)為持續監察環聯的個人資料保安水平及合規情況,公署已於二○二一年主動對環聯的個人資料系統進行視察,並隨後發表視察報告。視察結果顯示環聯在保障其持有的個人資料方面,符合《私隱條例》有關個人資料保安的規定,例如採用合約規範的方法對信貸提供者採取適當的系統存取控制措施等。
此外,公署亦於二○二三年六月主動對全港信貸資料服務機構進行循規審查,當中包括三間「信資通」模式下獲選的個人信貸資料服務機構(即環聯、諾華誠信及壹賬通),以了解相關機構就借款人的個人信貸資料所採取的保安措施及保留期限是否符合《私隱條例》的規定。公署在循規審查過程中未有發現該等機構有違反《私隱條例》相關規定的情況。
(四)金管局一直與香港銀行公會、香港有限制牌照銀行及接受存款公司公會,以及香港持牌放債人公會(統稱「行業公會」)緊密合作,透過信貸資料平台「信資通」引入多於一家個人信貸資料服務機構,以提升香港個人信貸資料服務機構的服務水平,並減低現時因市場只有一家商業營運的服務提供者而衍生的營運風險,特別是單點失誤的風險。
「信資通」一直按計劃有序推進。行業公會於二○二三年十一月二十日推出「信資通」試行計劃,期望獲選的信貸資料服務機構順利完成試行計劃後,可正式為公眾提供安全可靠的個人信貸資料服務。根據行業公會提供的資料,自試行計劃推出以來,超過一千名來自銀行、持牌放債人、平台營運商、行業公會和政府機構等近20個機構的員工先後參與該試行計劃,結果顯示,三家個人信貸資料服務機構在信貸報告的資料準確性和機構整體服務表現方面均符合行業公會訂立的要求。
行業公會因此於今年四月十八日宣布「信資通」將於四月二十六日起提供服務。
(五)根據行業公會提供的資料,三家個人信貸資料服務機構自二○二二年十一月獲選後,便需要根據《MCRA模式實務守則》的規定,遵守其資訊安全、系統管理和數據管理等業界嚴格要求。有關機構亦需定期向行業公會提交其對保障個人資料、資訊及網絡保安等方面的合規評估報告,以確保其遵守《個人資料(私隱)條例》、《個人信貸資料實務守則》和《MCRA模式實務守則》。行業公會會在「信資通」正式提供服務後,繼續檢視三家機構的營運情況。
(六)保障客戶信息安全是重中之重,金管局在推動任何信息互通方案的首要考慮都是確保牽涉到的信息要以安全、高效率且符合法律和法規要求的方式處理。在監管方面,金管局對銀行在保障信息安全方面有嚴格的監管要求和指引,以確保企業信息安全、保密及完整,防範該等信息在未經授權情況下被查閱或使用。就此,金管局正計劃發出監管通告,提醒香港銀行業界在處理徵信數據跨境傳輸時應遵守所有相關法律和監管要求,確保信息安全和有效風險管理。
中國人民銀行與金管局於今年一月二十四日推出深化香港和內地金融合作的「三聯通、三便利」政策措施,並且簽訂了《關於跨境徵信互通業務試點的諒解備忘錄》,建立由大灣區開始共同推動跨境徵信業務試點的合作安排,促進兩地跨境徵信信息互通,便利深港企業跨境融資。在跨境徵信業務試點計劃下,已經有多家香港銀行及徵信機構表示有興趣參與試點計劃,同時有個別試點方案已經開始進入內地有關部門的流程,相關機構會繼續進行對接,按部就班推展試點計劃,並且進行測試工作。