立法會十三題:保障市民的私隱
**************

  以下是今日(一月十六日)在立法會會議上張國鈞議員的提問和財經事務及庫務局局長劉怡翔的書面答覆:
 
問題:
 
  環聯資訊有限公司(環聯)是香港主要的信貸資料服務機構,擁有540萬名市民的個人資料和信貸紀錄。早前,有記者從公開渠道收集到某些公眾人物的個人資料,並利用有關資料從環聯的網站取得該等人士的信貸紀錄,從而揭發該網站有嚴重的保安漏洞。此事件,加上近期另有多宗商業機構大規模外洩客戶個人資料的事件發生,引起公眾十分關注商業機構的資訊保安問題。就此,政府可否告知本會:
 
(一)是否知悉,環聯收集市民信貸資料的渠道及範圍;
 
(二)鑑於現時市民如表明不同意金融機構向環聯提供其個人資料和查閱其信貸紀錄,金融機構便不會批准其私人貸款或信用卡申請,政府會否檢討及改善此情況,以期加強保障市民的私隱;
 
(三)有否研究其他司法管轄區如何監管金融機構處理其客戶的個人資料和信貸紀錄;
 
(四)會否檢討信貸資料服務機構的角色,並考慮將該類機構納入香港金融管理局的監管範圍;如會,詳情為何;如否,原因為何;
 
(五)鑑於在互聯網上輕易搜尋到政府官員和議員等公職人員的某些個人資料,政府會否研究如何在不削弱施政透明度的前提下,加強保障該等人士的個人資料免被濫用;及
 
(六)會否研究賦予個人資料私隱專員公署更大的執法權力,以加強保障市民的私隱?
 
答覆:
 
主席:
 
(一)環聯主要從信貸提供者、公眾記錄及個別人士三種來源收集信貸資料。環聯收集信貸資料的範圍,受個人資料私隱專員(私隱專員)發出的《個人信貸資料實務守則》(《實務守則》)規範,當中包括(詳見該實務守則第3.1條):
 
(i)個人的一般資料(例如姓名、地址、聯絡資料、出生日期、香港身份證號碼或旅行證件號碼);
(ii)個人信貸資料(例如信貸申請資料、帳戶一般資料、帳戶還款資料);及
(iii)公眾記錄及相關資料(例如追收欠債的法律行動、欠款的裁決,宣布或解除破產的資料)。
 
(二)適當的風險管理對信貸市場的日常運作和長遠發展起着積極的作用。對銀行來說,當客戶向銀行申請貸款、信用卡、或其他借貸服務時,利用信貸資料服務機構的個人信貸資料來評估信貸申請及進行信貸檢討,是銀行信貸風險管理制度的必要部分。銀行在掌握充分資料的情況下,可以更準確地評估客戶的信貸質素,從而更有效地管理信貸風險,減少壞帳,確保銀行體系穩健,亦可令信貸紀錄良好的借款人獲得較低的借貸成本。
 
(三)雖然世界各地對信貸資料服務機構的監管安排不盡相同,但主要以保障個人資料私隱的政策角度出發。香港的現行安排,即在收集客戶的個人資料時,要求銀行須採取合理切實可行的步驟,向客戶提供有關的「收集個人資料聲明」,在國際上亦是一個相當普遍的安排。
 
(四)環聯的事件牽涉一些客戶的資料可能被不當取用,是個人資料私隱保障的事件。《個人資料(私隱)條例》(《私隱條例》)現時已經有清晰的法律條文保障個人資料私隱。在《私隱條例》下,信貸資料服務機構為香港銀行和其他信貸機構提供信貸資料服務時必須遵守《私隱條例》及私隱專員根據該條例下發出的《實務守則》。《實務守則》涵蓋資料的收集、準確性、使用、保安,以及查閱及更改資料等各方面要求,包括規定信貸資料服務機構在日常運作中應採取適當的措施保障個人信貸資料,防止不當取閱。私隱專員負責有關《私隱條例》及《實務守則》的執法及監管工作。
 
  從金融市場規管的角度而言,香港金融管理局(金管局)沒有計劃監管信貸資料服務機構。金管局監管銀行的目的,是保障存戶和促進銀行體系的穩定與健全。信貸資料服務並不會影響存戶及銀行體系的安全,因此環聯與銀行的其他第三方服務供應商一樣,並不需受金管局監管。保障個人資料私隱的監管工作,將會繼續由私隱專員負責。金管局則會參照私隱專員正在進行的相關調查的結果,協助私隱專員與銀行業界溝通,檢視銀行業與信貸資料服務機構之間的合約安排是否有可以改善之處。
 
(五)及(六)《私隱條例》的保障適用於所有資料當事人。在公共領域(包括互聯網)取得的個人資料,不論資料當事人的身分,同樣受《私隱條例》的保障。政府對修訂及改善《私隱條例》持開放態度。目前,政制及內地事務局已聯同個人資料私隱專員公署(公署)開展檢視《私隱條例》相關規定和罰則的工作,以及研究設立強制性資料外洩通報機制等建議。公署正就近期的個人資料外洩事故進行循規調查。政府會密切注視公署的調查,並因應調查結果及公署的建議決定如何改善《私隱條例》以使公署有效加強規管個人資料的保障。



2019年1月16日(星期三)
香港時間14時48分