KYC為何這麼重要 (方保僑)

By on December 5, 2018

本文作者方保僑為香港互動市務商會會長,為《信報》撰寫專欄「科網人語」

不論是申請信用卡或者按揭,最終大部分的信貸資料都會儲入環聯這個信貸系統。(Freepik網上圖片)

不論是申請信用卡或者按揭,最終大部分的信貸資料都會儲入環聯這個信貸系統。(Freepik網上圖片)

目前擁有全港超過500萬人借貸紀錄的環聯資訊(TransUnion),上星期被傳媒揭發, 在登入查閱個人信貸紀錄時,竟存在嚴重的保安漏洞,只須填上身份證號碼,回答3條簡單問題,就可以取得一份別人的個人信貸評級報告,內容包括個人信貸評級、地址、電話、信用卡餘額及按揭貸款等詳盡資料。登記問題多數以選擇題形式作答,所以能「幸運地」選中答案的機會率極高,而由於身份證號碼及一些個人資料,在許多政府的註冊或登記服務也可以查冊到,所以有機會被不法分子盜取這些資料以取得信貸評級報告,再進行一些非法活動。事件發生後,金管局及私隱專員公署即時責成環聯資訊,敦促立即提升系統保安,以支援一次性密碼作為驗證,惟環聯資訊最終仍要暫時關閉網上消費者信貸報告查詢服務,直至另行通知為止。

幸好是次嚴重的保安事故是由傳媒揭發,才避免了一場大型資料外洩事故,明顯地,是次事故是因為環聯資訊未有做好KYC(認識你的客戶),令到不法分子可以輕易地取得其他人的信貸評級報告。在網上討論區,亦有很多「苦主」正在討論,他們認為有部分財務公司,可能已一早察覺到這個漏洞,利用不法手段得回來的信貸評級報告,尋找債台高築的人繼續借貸。

這件事的背後還延伸了一些問題,現在你不論是申請信用卡或者按揭,最終大部分的信貸資料都會儲入環聯這個信貸系統,以供其他銀行、信用卡公司或第三方平台查閱,這樣的做法好像是「約定俗成」,多年來也沒有人表示懷疑,但其實這種做法是否等於販賣客戶的個人資料?雖然在申請信用卡或者按揭的時候,多數會有免責聲明,但是法律上和道德上是否仍然存在灰色地帶?這些也是值得我們去探討的問題。

更有趣的是,環聯資訊今年初表示將會重點發展eKYC,協助客戶在虛擬銀行遙距開戶,包括可以驗證身份及其他文件,亦有意參與金管局「專業資訊機構」(KYC Utility)項目,現時卻被揭發自家系統的KYC 竟然有這麼大的漏洞,是否應該自我檢討一下呢?

環聯資訊上星期被傳媒揭發存在嚴重的保安漏洞。(黃勁璋攝)

環聯資訊上星期被傳媒揭發存在嚴重的保安漏洞。(黃勁璋攝)

更多方保僑文章:

支持 StartupBeat

如欲投稿、報料,發佈新聞稿或採訪通知,按這裡聯絡我們