KYC為何這麼重要

目前擁有全港超過500萬人借貸紀錄的環聯資訊（TransUnion），上星期被傳媒揭發，在登入查閱個人信貸紀錄時，竟存在嚴重的保安漏洞，只須填上身份證號碼，回答3條簡單問題，就可以取得一份別人的個人信貸評級報告，內容包括個人信貸評級、地址、電話、信用卡餘額及按揭貸款等詳盡資料。登記問題多數以選擇題形式作答，所以能「幸運地」選中答案的機會率極高，而由於身份證號碼及一些個人資料，在許多政府的註冊或登記服務也可以查冊到，所以有機會被不法分子盜取這些資料以取得信貸評級報告，再進行一些非法活動。事件發生後，金管局及私隱專員公署即時責成環聯資訊，敦促立即提升系統保安，以支援一次性密碼作為驗證，惟環聯資訊最終仍要暫時關閉網上消費者信貸報告查詢服務，直至另行通知為止。

幸好是次嚴重的保安事故是由傳媒揭發，才避免了一場大型資料外洩事故，明顯地，是次事故是因為環聯資訊未有做好KYC（認識你的客戶），令到不法分子可以輕易地取得其他人的信貸評級報告。在網上討論區，亦有很多「苦主」正在討論，他們認為有部分財務公司，可能已一早察覺到這個漏洞，利用不法手段得回來的信貸評級報告，尋找債台高築的人繼續借貸。

這件事的背後還延伸了一些問題，現在你不論是申請信用卡或者按揭，最終大部分的信貸資料都會儲入環聯這個信貸系統，以供其他銀行、信用卡公司或第三方平台查閱，這樣的做法好像是「約定俗成」，多年來也沒有人表示懷疑，但其實這種做法是否等於販賣客戶的個人資料？雖然在申請信用卡或者按揭的時候，多數會有免責聲明，但是法律上和道德上是否仍然存在灰色地帶？這些也是值得我們去探討的問題。

更有趣的是，環聯資訊今年初表示將會重點發展eKYC，協助客戶在虛擬銀行遙距開戶，包括可以驗證身份及其他文件，亦有意參與金管局「專業資訊機構」（KYC Utility）項目，現時卻被揭發自家系統的KYC 竟然有這麼大的漏洞，是否應該自我檢討一下呢？

方保僑香港互動市務商會會長