12-09-2019, 04:16 PM
【環聯洩私隱】私隱專員證環聯違例 網上認證程序存4漏洞
https://hk.news.yahoo.com/%E7%92%B0%E8%8...00155.html
有傳媒去年11月在環聯網上查詢系統,輸入行政長官林鄭月娥等官員資料,取得信貸報告。香港個人資料私隱專員黃繼兒今天發表調查報告,指環聯在網上認證程序中沒有採取所有切實可行的步驟以確保由其持有的個人資料受保障而不受未獲准許的或意外的查閱或使用,因而違反《私隱條例》下有關資料保安的保障資料原則。
調查報告指,指環聯在網上認證程序存在漏洞,個人所輸入的全名和出生日期無須與環聯資料庫的紀錄完全脗合;「基於知識的認證」採用了與個人年齡範圍及生肖這些與環聯獨有交易無關的問題,及過時而易被剔除的答案;其他網站╱手機程式的查取途徑沒有因個人未能通過某一網站╱手機程式的認證程序而被封鎖;及非所有申請均使用雙重認證。私隱專員認為,環聯在網上認證程序中違反了《私隱條例》下的資料保安原則。私隱專員已向環聯送達執行通知,指令環聯糾正有關違反及防止有關違反再發生。
黃繼兒向環聯作出5項建議,包括有利於私隱保障的預設設定、 讓個人選擇轉移資料的種類、管控從環聯收取個人資料的夥伴、定期檢討網上認證程序,以及容許個人以較低費用查取信貸報告。
私隱專員公署:環聯網上認證程序違反私隱條例
https://hk.news.yahoo.com/%E7%A7%81%E9%9...39805.html
個人資料私隱專員公署完成調查環聯資料外洩事故,指環聯網上認證程序,沒有採取所有切實可行的步驟保障個人資料。
公署認為,環聯的網上認證程序有漏洞,例如輸入的全名及出生日期毋須與資料庫紀錄完全脗含,仍可取得信貸報告。
另外,並非所有申請需要使用雙重認證,指環聯未能保障個人資料,不受未獲准許或意外地讓他人查閱或使用,違反個人資料私隱條例中資料保安的保障資料原則。不過環聯在顯示資料及轉移資料至夥伴沒有違規。
私隱專員已向環聯送達執行通知,指令環聯糾正,並提出五項建議,包括定期檢討網上認證程序。
持目標人物個資即可任睇信貸報告 私隱署證環聯違例
https://hk.news.yahoo.com/%E6%8C%81%E7%9...30470.html
載有500多萬名市民信貸紀錄的香港環聯資訊有限公司,去年底被揭索取信貸報告的程序懷疑出現保安漏洞,只要持有目標人物的身份證號碼及公開資料,回答簡單問題,就可輕易通過核證並下載信貸報告。事隔一年,香港個人資料私隱專員公署今(9日)公布調查報告,證實環聯在網上認證程序中,沒有採取所有切實可行的步驟確保資料受保障,其網上認證程序存有漏洞,違反《私隱條例》下的資料保安原則。
公署的調查報告指出,環聯的網上認證程序有漏洞,在輸入全名或出生日期時,根本毋須與環聯資料庫的紀錄完全脗合便可查閱個人信貸報告;認證過程採用了與個人年齡範圍及生肖這些與環聯獨有交易無關的問題,或認證過程中仍採用已過時而被剔除的答案。
此外,調查又揭發其他網站或手機程式的查取途徑,沒有因個人未能通過認證程序而被封鎖,且非所有申請均使用雙重認證。鑑於上述行為,公署認為環聯違反《私隱條例》下的資料保安原則。公署已通知環聯糾正問題。
私隱專員黃繼兒建議環聯定期檢討網上認證程序;當個人被要求轉移信貸資料予夥伴時,未必知被轉移的資料範圍,建議環聯應讓個人選擇可轉移的資料,確保個人資料受保障。
https://hk.news.yahoo.com/%E7%92%B0%E8%8...00155.html
有傳媒去年11月在環聯網上查詢系統,輸入行政長官林鄭月娥等官員資料,取得信貸報告。香港個人資料私隱專員黃繼兒今天發表調查報告,指環聯在網上認證程序中沒有採取所有切實可行的步驟以確保由其持有的個人資料受保障而不受未獲准許的或意外的查閱或使用,因而違反《私隱條例》下有關資料保安的保障資料原則。
調查報告指,指環聯在網上認證程序存在漏洞,個人所輸入的全名和出生日期無須與環聯資料庫的紀錄完全脗合;「基於知識的認證」採用了與個人年齡範圍及生肖這些與環聯獨有交易無關的問題,及過時而易被剔除的答案;其他網站╱手機程式的查取途徑沒有因個人未能通過某一網站╱手機程式的認證程序而被封鎖;及非所有申請均使用雙重認證。私隱專員認為,環聯在網上認證程序中違反了《私隱條例》下的資料保安原則。私隱專員已向環聯送達執行通知,指令環聯糾正有關違反及防止有關違反再發生。
黃繼兒向環聯作出5項建議,包括有利於私隱保障的預設設定、 讓個人選擇轉移資料的種類、管控從環聯收取個人資料的夥伴、定期檢討網上認證程序,以及容許個人以較低費用查取信貸報告。
私隱專員公署:環聯網上認證程序違反私隱條例
https://hk.news.yahoo.com/%E7%A7%81%E9%9...39805.html
個人資料私隱專員公署完成調查環聯資料外洩事故,指環聯網上認證程序,沒有採取所有切實可行的步驟保障個人資料。
公署認為,環聯的網上認證程序有漏洞,例如輸入的全名及出生日期毋須與資料庫紀錄完全脗含,仍可取得信貸報告。
另外,並非所有申請需要使用雙重認證,指環聯未能保障個人資料,不受未獲准許或意外地讓他人查閱或使用,違反個人資料私隱條例中資料保安的保障資料原則。不過環聯在顯示資料及轉移資料至夥伴沒有違規。
私隱專員已向環聯送達執行通知,指令環聯糾正,並提出五項建議,包括定期檢討網上認證程序。
持目標人物個資即可任睇信貸報告 私隱署證環聯違例
https://hk.news.yahoo.com/%E6%8C%81%E7%9...30470.html
載有500多萬名市民信貸紀錄的香港環聯資訊有限公司,去年底被揭索取信貸報告的程序懷疑出現保安漏洞,只要持有目標人物的身份證號碼及公開資料,回答簡單問題,就可輕易通過核證並下載信貸報告。事隔一年,香港個人資料私隱專員公署今(9日)公布調查報告,證實環聯在網上認證程序中,沒有採取所有切實可行的步驟確保資料受保障,其網上認證程序存有漏洞,違反《私隱條例》下的資料保安原則。
公署的調查報告指出,環聯的網上認證程序有漏洞,在輸入全名或出生日期時,根本毋須與環聯資料庫的紀錄完全脗合便可查閱個人信貸報告;認證過程採用了與個人年齡範圍及生肖這些與環聯獨有交易無關的問題,或認證過程中仍採用已過時而被剔除的答案。
此外,調查又揭發其他網站或手機程式的查取途徑,沒有因個人未能通過認證程序而被封鎖,且非所有申請均使用雙重認證。鑑於上述行為,公署認為環聯違反《私隱條例》下的資料保安原則。公署已通知環聯糾正問題。
私隱專員黃繼兒建議環聯定期檢討網上認證程序;當個人被要求轉移信貸資料予夥伴時,未必知被轉移的資料範圍,建議環聯應讓個人選擇可轉移的資料,確保個人資料受保障。