社评/确保个人信贷资料库数据安全
作者: 日期:2022年12月30日
筹备近两年的多间个人信贷资料库(MCRA)将公布招标结果,据悉最少有三间机构获选。这一结果将结束香港长期以来只有一间信贷资料服务机构的情况,对于提升本港信贷资料服务水平、完善信贷风险管理,以至强化金融安全等方面,都具有重要意义。但需要关注的是,基于金融信贷数据安全的重要性,有必要研究引入专门的法例,以提升监管力度,而非仅靠《个人私隐条例》及行业《实务守则》把关。
个人信贷资料库是全球各地信贷市场普遍设有的金融基础设施,其主要作用在于,方便信贷提供者查阅有关个人客户的信贷状况,从而协助信贷提供者改善其贷款及信贷风险管理决策。过去40年来,香港一直只有“环联”一间机构提供相关服务,“独市”之下欠缺必要的竞争,加上未有完善的规管,以致不断出现问题。尤其是在2018年,有传媒发现可以轻易获得一些知名人士的个人信贷资料。信贷资料“中门大开”,引起公众的强烈关注,金管局及银行公会等机构于是决定引入MCRA模式。
此次据悉将有最少三间机构中标,包括目前已经存在的“环联”。打破“独市”环境,对于健全信贷风险管理,提升服务水平,将起到积极促进作用,普通市民也能从更完善及透明的资料库服务中得益。特区政府有关部门的工作,应予肯定。但这是否意味着有关工作就告一段落?
银行公会早前回应查询时表示,会确保所有参与者及新平台符合资讯安全、系统管理和数据管理等业界严格要求,其中有关私隐资料的处理,必须满足个人资料私隐专员公署所订立的评估框架,确认参与者有能力满足资讯安全及个人资料私隐等的框架及法规要求。公会在企业管治和内部监控方面也定下准则,并成立专责小组,加强消费者保障及对相关机构的监察。相较以往,监管有所提升,但并不足够。
众所周知,提供信贷资料服务的机构,掌握着大量敏感个人资料数据,一旦洩露,往轻里说,会导致个人损失,往重里说,关乎金融安全和社会稳定,因此对其处理的个人资料进行有效监管和保护尤其重要。上周有报道称WhatsApp洩露约300万个香港用户资料的例子,就是一个教训。更何况,以往一间机构尚且爆出严重洩露事件,未来增至三间,情况又将如何?
目前香港信贷提供者须遵从的指引主要来自行业《实务守则》,以及《个人私隐条例》,而没有专门的监管法例。但参考其他地区如新加坡,多年前已订立《征信局法》监管特定信贷提供者,提升标准和要求,明确责任和罚责,包括要求必须保障资料的安全及完整性等,显然更为周全。需要指出的是,立法的重点不在于“惩罚”,而在于完善整个监管体系,这有利于信贷资料服务提供者,有利于香港金融市场的发展,也有利于有关部门的监管,有必要进行深入的研究,尽早提交立法会通过。
值得一提的是,从公布中标者到完成相关数据的过渡,仍有一段时间。据悉目前约有90间金融机构将以一级会员资格直接参与平台,但到市场正式进入全面多元竞争局面,预计要到明年中。有关部门必须确保过渡期的“无缝”连接,确保相关数据转换不出丝毫差错,以免影响声誉和信心。