私隱專員:環聯認證程序存4漏洞 違私隱條例

金融經濟 21:29 2019/12/09

分享:

個人資料私隱專員指環聯網上認證程序出現4個漏洞,要求對方糾正

信貸資料庫環聯去年保安系統出現漏洞,以致第三者可索閱公眾人物的信貸報告、地址等紀錄。個人資料私隱專員發表調查報告,指環聯網上認證程序出現4個漏洞,並批評環聯在網上認證程序中沒有採取所有切實可行的步驟,以保障用戶個人資料不受未經准許的查閱,違反了《個人資料(私隱)條例》下有關資料保安的保障資料原則。

私隱專員指出,該4個漏洞為:

(1) 個人所輸入的全名和出生日期毋須與環聯資料庫的紀錄完全脗合;

(2)「基於知識的認證」採用了與個人年齡範圍及生肖這些與環聯獨有交易無關的問題,及過時而易被剔除的答案;

(3) 其他網站或手機程式的查取途徑沒有因個人未能通過認證程序而被封鎖;

(4) 非所有申請均使用雙重認證。

私隱專員已向環聯送達執行通知,要求環聯糾正有關問題,及防止有關問題再發生。私隱專員就此向環聯提出五點建議:

(1) 應該選擇私隱侵犯程度較低的方式轉移信貸資料予夥伴,而非預設設定;

(2) 應讓個人選擇哪些資料可轉移予夥伴;

(3) 應每年進行至少一次審核,以確保夥伴有足夠程度的資料保障水平;

(4) 應由內部人員或第三方專家定期檢討網上認證程序,以查找及修補漏洞,並改善認證程序;

(5) 應檢討其收費架構,並向個人提供以較低費用取得信貸報告但不提供其他附加服務的選擇。

責任編輯:謝智聰

緊貼財經時事新聞分析,讚好hket Facebook 專版