籌備近兩年的多間個人信貸資料庫(MCRA)將公布招標結果,據悉最少有三間機構獲選。這一結果將結束香港長期以來只有一間信貸資料服務機構的情況,對於提升本港信貸資料服務水平、完善信貸風險管理,以至強化金融安全等方面,都具有重要意義。但需要關注的是,基於金融信貸數據安全的重要性,有必要研究引入專門的法例,以提升監管力度,而非僅靠《個人私隱條例》及行業《實務守則》把關。
個人信貸資料庫是全球各地信貸市場普遍設有的金融基礎設施,其主要作用在於,方便信貸提供者查閱有關個人客戶的信貸狀況,從而協助信貸提供者改善其貸款及信貸風險管理決策。過去40年來,香港一直只有「環聯」一間機構提供相關服務,「獨市」之下欠缺必要的競爭,加上未有完善的規管,以致不斷出現問題。尤其是在2018年,有傳媒發現可以輕易獲得一些知名人士的個人信貸資料。信貸資料「中門大開」,引起公眾的強烈關注,金管局及銀行公會等機構於是決定引入MCRA模式。
此次據悉將有最少三間機構中標,包括目前已經存在的「環聯」。打破「獨市」環境,對於健全信貸風險管理,提升服務水平,將起到積極促進作用,普通市民也能從更完善及透明的資料庫服務中得益。特區政府有關部門的工作,應予肯定。但這是否意味着有關工作就告一段落?
銀行公會早前回應查詢時表示,會確保所有參與者及新平台符合資訊安全、系統管理和數據管理等業界嚴格要求,其中有關私隱資料的處理,必須滿足個人資料私隱專員公署所訂立的評估框架,確認參與者有能力滿足資訊安全及個人資料私隱等的框架及法規要求。公會在企業管治和內部監控方面也定下準則,並成立專責小組,加強消費者保障及對相關機構的監察。相較以往,監管有所提升,但並不足夠。
眾所周知,提供信貸資料服務的機構,掌握着大量敏感個人資料數據,一旦洩露,往輕裏說,會導致個人損失,往重裏說,關乎金融安全和社會穩定,因此對其處理的個人資料進行有效監管和保護尤其重要。上周有報道稱WhatsApp洩露約300萬個香港用戶資料的例子,就是一個教訓。更何況,以往一間機構尚且爆出嚴重洩露事件,未來增至三間,情況又將如何?
目前香港信貸提供者須遵從的指引主要來自行業《實務守則》,以及《個人私隱條例》,而沒有專門的監管法例。但參考其他地區如新加坡,多年前已訂立《徵信局法》監管特定信貸提供者,提升標準和要求,明確責任和罰責,包括要求必須保障資料的安全及完整性等,顯然更為周全。需要指出的是,立法的重點不在於「懲罰」,而在於完善整個監管體系,這有利於信貸資料服務提供者,有利於香港金融市場的發展,也有利於有關部門的監管,有必要進行深入的研究,盡早提交立法會通過。
值得一提的是,從公布中標者到完成相關數據的過渡,仍有一段時間。據悉目前約有90間金融機構將以一級會員資格直接參與平台,但到市場正式進入全面多元競爭局面,預計要到明年中。有關部門必須確保過渡期的「無縫」連接,確保相關數據轉換不出絲毫差錯,以免影響聲譽和信心。
