TE信貸資料庫涉收$2任財務公司查閱借款人資料5日　私隱署促糾正

個人資料私隱專員公署今日（1日）發表《調查報告：未經授權查閱 TE 信貸資料庫的信貸資料》，發現營運公司軟媒科技在保障個人資料，而採取的保安措施，及保留信貸資料的時限方面存在不足，財務公司可以在沒有借款人授權下，在資料庫查閱借款人的信貸紀錄，做法違涉反私隱條例。

公署昨日（5月31日）已向軟媒科技發出執行通知，指示軟媒科技糾正其違反事項，包括制定政策核實財務公司查閱時，已取得借款人的授權書。軟媒科技須於三個月內︶向專員提供文件，證明已完成指示。

個人資料私隱專員公署發現營運公司軟媒科技在保障個人資料所採取的保安措施及保留信貸資料的時限方面存在三項不足，包括薄弱密碼管理。(江麗盈攝)

個人資料私隱專員公署發表《調查報告：未經授權查閱 TE 信貸資料庫的信貸資料》，發現該資料庫營運公司軟媒科技，在保障個人資料所採取的保安措施，及保留信貸資料的時限方面，存在三項不足，包括：

1/未有採取適當的措施防止個人信貸資料受到不當查閱、處理或使用

2/薄弱的密碼管理

3/逾期保留已完成還款超過五年的信貸紀錄

私隱專員鍾麗玲指，事件源於一名投訴人2021年12月接獲相熟財務公司通知，指其 TE 信貸資料庫内的信貸資料，被八間他不認識的財務公司多次查閱，其中一間更七日內查閱三次。投訴人遂向私隱專員公署投訴 TE 信貸資料庫沒有足夠保安措施保障他的個人資料。

在調查期間，TE信貸資料庫營運公司軟媒科技曾稱，因與財務公司簽訂協議書，假定這些公司都會遵守使用目的，也不會審查這些財務公司是否有借款人的同意及授權書。鍾麗玲指，這種情況下，財務公司可以在沒有借款人同意下，向資料庫繳付2元，便可於五日內無限次查閱同一借款人的信貸資料。

私隱專員鍾麗玲（江麗盈攝）

署方也向八間曾查閱投訴人信貸資料的財務公司，了解為何未能出示借貸人授權書，其中三間公司稱，因投訴人最近曾查詢貸款；另有三間則稱投訴人以往曾申請貸款。

軟媒科技在2021年至2023年3月，有66宗涉被不明公司查詢資料的投訴，有近九成調查後投訴成立。鍾麗玲續指，據資料庫的懲罰準則，要有五次違規才會永久終止使用權限。她直言懲罰有欠阻嚇性，而違規更是要靠借款人投訴，軟媒科技才會知道。

鍾麗玲表明，相關的營運及做法有違反私隱條例，遺憾營運商軟媒科技沒採取適當保安措施。她又指，相關資料庫現時不受行業守則規管，也不受金融行業相關法例規定，情況不理想，建議任何信貸資料庫的營運及管理應受規範或監管。鍾麗玲表示，因應今次調查發現的情況，署方正考慮對類似的信貸資料庫進行排查。

調查也發現，軟媒科技並沒有因應相關資料的數量及性質，而採用強密碼政策；亦沒有為密碼設定有效期。公署指，相關密碼的設置並不符合網絡安全的基本要求，顯示軟媒科技在個人資料的保安方面明顯不足。

另外，軟媒科技現時仍然保留五萬多宗已完成還款超過五年的信貸紀錄。鍾麗玲指，這屬不必要的逾期保留，除漠視私隱條例的規定外，亦增加了相關借款人個人資料外洩的風險。鍾麗玲也建議借款人主動查閱自己的借貸紀錄，如已完成還款逾5年發現平台仍保留紀錄，借貸人應要求相關平台刪除。

公署昨日（5月31日）已向軟媒科技發出執行通知，指示糾正其違反事項，包括刪除完成還款已滿五年的信貸資料、制定政策以核實財務公司查閱時，已取得借款人的授權書等，以及防止同類違反的行為再發生。軟媒科技須於三個月內向專員提供文件，證明已完成指示。如相關公司未有完成指示，署方會提出刑事檢控。