私隐署:环联4漏洞违原则 发通知促改善 不执行始违例(组图)

发布 : 2019-12-10  来源 : 明报新闻网


用微信扫描二维码,分享至好友和朋友圈

加关注


明声网温哥华 微信公众号






【明报专讯】本报去年揭发载有逾500万人信贷资料的环联资讯(TransUnion)出现保安漏洞,透过虚构身分可辗x??通过核证,从而取得他人信贷资料。私隐专员公署其后就此向环联调查,昨日发表报告,称环联的网上认证程序有4项漏洞,违反了《个人资料(私隐)条例》下有关资料保安的保障资料原则,已向环联送达执行通知,要求改善;若环联不执行才会触犯条例。

环联香港发言人回应称正考虑有关报告,并会作出适当的后续步骤。发言人又说,环联就事件及对顾客所造成的不便感到遗憾,已加强网上信贷报告服务的保安措施,并聘请了一间信誉良好的第三方机构检视新系统,亦加强了针对网路保安的监控。发言人强调,环联十分重视资料安全,并不断审视及改善程式以识别和打击日益复杂的网路犯罪活动,同时让消费者更方便地查阅个人资讯。环联未有回应预计佾x??重启网上信贷资料查询。

环联:对顾客不便感遗憾 第三方检视系统

私隐署的报告提到,环联在网上认证程序中没有采取所有切实可行的步骤,以确保由其持有的个人资料受保障,不受未获准许或意外地被查阅或使用,因而违反了《私隐条例》下有关资料保安的保障资料原则。报告指出,私隐专员去年11月26至28日在环联网站及5个伙伴的网站或手机程式做了20次网上申请信贷报告程序,测试显示只要输入正确的姓名及香港身分证号码,无论输入的出生日期或电话号码是否正确,「基于知识的认证」均会进入下一步,即提出3或5条选择题,而即使有一条问题回答错误,信贷报告仍可被查取。

署方实测 认证答错照过关

因此,调查结果显示环联在资料保安方面的网上认证程序存在4项漏洞,包括(1)个人所输入的全名和出生日期毋须与环联资料库的纪录完全?合;(2)有关认证的问题部分与环联独有的交易无关及答案因过时而易被剔除;(3)其他网站或手机程式的查取途径,没有因未能通过某一网站或手机程式的认证程序而被封锁,变相可无限尝试,以及(4)非所有申请均使用双重认证。

私隐专员已向环联送达执行通知,指令环联停止在未经单次密码认证下在网上发放信贷报告,或须作亲身认证等。根据《私隐条例》,如在完成调查后发现资料使用者违反条例规定,私隐专员可发出执行通知,指令纠正;违反专员发出的执行通知才属犯罪,最高可被罚款甚至监禁。

至于在资料使用方面,调查报告指出环联的资料显示及转移资料予伙伴并不违规。私隐专员另向环联提出5项建议,包括定期检讨网上认证程序(见另稿)。

本报去年揭露环联的保安漏洞,经本报测试后发现,只需持有目标人物的身分证号码及公开资料,回答简单问题例如年龄后,即可通过核证并取得其详细信贷报告,当中包括借贷及逾期还款等多项敏感资料。

■明报报料热线:inews@mingpao.com / 9181 4676