【TE醜聞】TE信貸資料庫係咩?查TE與TU分別及會員新趨勢
由1982年開始,香港的信貸資料服務機構市場一直只由環聯資訊有限公司 (TransUnion Hong Kong,簡稱TU) 壟斷服務市場。與此同時,2016年市場上出現一間較小型的信貸資料服務機構,TE信貸資料庫。有趣的是,TE信貸資料庫的出現沒有撼動TU的地位之餘,TE又能夠成功繼續經營,獲得愈來愈多放債人和財務公司的支持。然而2023年6月1日,TE信貸資料庫被香港個人資料私隱專員公署指出違反個人資料私隱條例,並需要接受整改。有關醜聞令公眾意識到其經營的風險之餘,亦可能令一眾支持者(放債人及財務公司)尋找更多索取信貸資料的新渠道趨勢。
TE信貸資料庫是什麼?
根據香港個人資料私隱專員公署 (簡稱PCPD) 於2023年公佈的調查報告顯示,TE信貸資料庫是由一間於1991年成立的科技公司「軟媒科技,Softmedia」於2016年1月建立。有關公司截至2022年12月為止,成功邀請到680間財務公司加入成為TE信貸資料庫會員,涉及約18萬名資料當事人的信貸資料。
其實TE信貸資料庫的成立某程度上可能基於本身是一間軟件系統設計公司,一直開發財務借貸管理系統、美容系統、課程管理系統、零售系統等,之後又為財務公司及借款人開發信貸和借貸系統,甚至手機應用程式。過程中順理成章地慢慢建立和完善TE信貸資料庫。
財務公司選擇查閱TE信貸資料庫而不查閱TU的原因
根據TE信貸資料庫的官方網頁於2023年6月15日所顯示,凡申請參加成為TE信貸資料庫的會員,都可以透過用者自付的方式收費,有需要查詢時才會收取港幣2元,而付費當日可無限次查詢同一個借款人的信貸資料。另外軟媒科技不收取參與機構任何安裝費、入會費或其他額外費用。
事實上PCPD的調查發現,TE信貸資料庫的收費應是每次繳付港幣2元便可在5天內無限次查閱同一位借款人的信貸資料。
相反其競爭對手TU的收費則比TE信貸資料庫貴好幾倍之餘,亦對查閱的要求沒有那麼寬鬆。對二線放債人機構而言,潛在的借貸人已經不多,競爭又多,經營上已十分困難。因此放債人機構無疑會努力縮減營運開支,包括索取信貸資料的成本之餘,又方便易用。促使財務公司選擇查閱TE信貸資料庫而不查閱TU的原因。
問題來了,為什麼TE信貸資料庫會儲存到18萬名資料當事人的信貸資料?信貸資料從何而來?當中的信貸資料管理及處理過程有沒有不當查閱的行為?
TE信貸資料庫被揭侵犯個人資料私隱條例醜聞
直至2023年6月1日香港個人資料私隱專員公署發表調查報告,揭發TE信貸資料庫被一名借貸人投訴。有關投訴人一直有向一些財務公司申請借貸。2021 年 12 月 28 日,投訴人收到相熟的財務公司通知,發現他於 TE 信貸資料庫的信貸紀錄被多間財務公司查閱,遂詢問他近期是否遇到重大財政困難。投訴人表示不認識亦從來沒有向該些財務公司作任何借貸申請,對該些財務公司如何取得他的授權查閱 TE 信貸資料庫感到疑惑。投訴人擔心 TE 信貸資料庫未有足夠保安措施保障他的個人資料,以致財務公司可未經他的同意查閱他的信貸資料,遂向私隱專員公署作出投訴。
香港個人資料私隱專員公署因此立案調查。調查過程中,軟媒科技解說使用TE信貸資料庫的財務公司是需要上載借款人的個人資料至TE信貸資料庫,而查閱有關資料前必須取得借款人簽署同意的《TE 信貸資料查詢授權書》。財務公司要上載有關同意授權書後,才可查閱借款人的信貸資料。
而儲存和查閱過程中,軟媒科技稱TE信貸資料庫只涉及借款人 (即資料當事人)的身份證號碼及信貸資料,不會儲存借款人的姓名、地址、電話、出生日期等個人資料。而就算儲存身份證號碼也好,有關身份證號碼亦會被演算為代碼的形式儲存,而非完整的身份證號碼。有關代碼是不可逆轉,沒有人可透過TE信貸資料庫看到借款人真正的身份證號碼,而資料庫只有一組代碼及對應的信貸資料,故沒有載有借款人的「個人資料」。
PCPD裁定違反個人資料私隱條例及有關整治
縱使軟媒科技辯稱沒有載有借款人的「個人資料」,但最終香港個人資料私隱專員公署仍然裁定TE信貸資料庫違反個人資料私隱條例。
公署不認為TE信貸資料庫沒有持有個人資料的說法,原因是調查發現,不管是任何時間,只要在系統內輸入同一個身份證號碼,演算後都仍然會得出一組代碼。因此有關代碼事實上是軟媒科技為其作業而編配予一名借款人的標識符,而該標識符能識辨該名借款人的身分而不虞混淆,屬於《私隱條例》下的「個人身分標識符」,亦構成《私隱條例》下的「資料」。
公署亦從另一角度來說,軟媒科技成立 TE 信貸資料庫的目的,是希望作為平台提供資料予財務公司參考,於批出貸款前可藉數據作出評估,以判斷是否批出或拒絕貸款。公署認為如軟媒科技的系統不涉及個人資料,是不可能達到讓財務公司在審批貸款時以有關人士的信貸紀錄作參考的目的。
再者涉事的投訴個案中,投訴人的相熟財務公司正是通過整合TE 信貸資料庫及借貸管理系統內的資料,確定投訴人身分並發現其信貸資料曾被多次查閱,由此證明財務公司從上述資料直接或間接確定資料當事人的身分是切實可行的,因此構成《私隱條例》下的「個人資料」。
加上軟媒科技沒有限制財務公司查閱借款人資料的次數,亦沒有定期監察 TE 信貸資料庫的使用情況。這樣的安排是讓財務公司肆意查閱信貸資料庫內的借貸資料。香港個人資料私隱專員公署認為軟媒科技的做法不論在符合法律規定或保障借款人私隱的角度而言,均遠低於標準。
最終香港個人資料私隱專員公署裁定軟媒科技在 TE 信貸資料庫的保安及保留借款人的信貸紀錄方面違反了《私隱條例》附表 1 的保障資料第 4(1)及2(2)原則,因此專員根據《私隱條例》第 50(1)條所賦予的權力向軟媒科技送達執行通知,指示軟媒科技在執行通知的日期起計三個月內向專員提供文件,證明已根據指示作出內部整治以符合《私隱條例》的要求。
TE醜聞發生後的行業發展和會員新趨勢
有見TE醜聞的發生,2023年6月5日香港個人資料私隱專員公署再公佈,將針對全港信貸資料機構展開有關私隱資料管理的審查計劃,意味一旦有信貸資料庫未能通過審核而影響營運的話,也會間接影響到相關放債人機構的營運。因此一直便用舊信貸資料庫的放債人亦可能會嘗試尋找其他的信貸資料服務供應商,例如平安壹賬通 (One Connect) 和環聯 (TransUnion)。
另外有見PCPD針對軟媒科技的違規,要求於3個月內需要為系統和服務進行整改,軟媒科技於2023年6月19日發出回應整改要求的行動,大致的內容如下。
- 系統定期清除信貸資料庫內「已完成還款五年」的信貸資料
- 加強登入TE資料庫密碼,例如引入OTP (One time password)。
- 借款人授權書認證,借款人需透過其應用程式為放債人提供的授權書作出認證。
- 為授權書的有效期設定為5天。而簽署的授權書必須在上載日前的10天內完成。而且每天查詢同一位借款人的次數上限為3次。
- 如果發現會員使用違規,頭兩次違規會分別停用會員1星期和1個月的使用權。而3次違規而沒有合理理由便會終止相關會員的使用。
- 要為曾查詢的借款人補交當事人的授權書,2023年7月31日之前完成。否則不能查閱該借款人的信貸資料,直至得到授權書為止。
而有關的整改行動將大幅收緊會員的使用方式,繼而可能令原先的會員重新考慮不同信貸資料服務機構的服務,以策安全和預留後路。
加上信資通 (MCRA模式) 的出現,加上監管機構的推動,財務公司參與信資通成為會員的勢頭也逐漸呼之欲出,財務公司將開始在尋找替代方案的同時,也會向相關替代方案的信貸資料服務機構了解加入信資通模式的信貸資料索取方案,循序漸進地滿足監管要求和續牌審核的趨勢,從而安心經營放債人業務。