香港環聯資訊有限公司被揭掌控540多萬香港市民個人信貸資料,並存有洩漏個人資料問題事件,政制及內地事務局局長聶德權12日在立法會會議上接受議員質詢時表示,個人資料私隱公署已作循規調查,政府亦會從行業監管面着手改善。聶德權的回應顯示政府當局只是從商業運作的角度看待事件,仍未意識到這些巨量個人資料由美國公司掌控,對香港已構成極大的信息安全的風險。
根據《堅料網》的調查報道,現時掌控全港540萬個消費者信貸紀錄的香港環聯信息有限公司,其大股東美資公司Trans Union Netherlands IB.V.,為美國紐約證券交易所上市的Trans Union Heathcare LLC及荷蘭Vail Systemen Groep BV的子公司。
Trans Union的諮詢委員會(Government Advisory Board)成員之中,聘有多名熟悉資訊科技及情報的專家,其中包括情報和國家安全聯盟(INSA)主席Charles Alsup,而曾任中央情報局資訊科技總監(Chief Information Officer)的Doug Wolfe,亦於今年8月加入該公司。同時環聯信息有限公司,亦有多名熟悉資訊科技及情報的人士,如公司的主席及行政總裁James M. Peck,擁有多年的信息管理,產品開發及工程經驗。公司董事當中包括Suzanne P. Clark,她同時擔任美國商會(U.S. Chamber of Commerce)的高級執行副主席(Senior Executive Vice President)。
另一家同樣掌控大量香港市民個人資料的鄧白氏集團(Dun & Bradstreet, Inc.)也是美資公司,總部設在美國新澤西州。包括林肯在內的四位美國總統均曾任職於鄧白氏。
這兩家公司不同尋常的背景說明了甚麼?多位美國政府的情報和國家安全部門的人員和專家在這兩家公司內任職,難道完全是因為巧合?這些香港市民的個人資料除了商業上的同途之外,是否還涉及其他的用途?這些問題特區政府相關部門的官員們是否有認真研究過?
今時今日,全球科技發展已進入大數據的時代,一些在普通人看來不算甚麼特別的個人資料,放到大數據的研究下,會產生你無法意料的結果,一些過去只用於商業用途的數據,經過大數據的處理,也可以被用於其他的地方。就環聯資訊和鄧白氏兩家公司所掌控的幾乎等於全港成年人的信貸資料而言,從商業角度可以出售給廣告商,或其他商業用途,但如果從地區安全的角度去看,這些個人資料經過大數據的分析推論,很容易就可以取得一份有關全香港的經濟、民生狀況的分析,亦可對在香港的一些企業、機構的狀況進行分析,還可以對企業、機構,以及政府的重要人物的個人資訊。換言之,掌握了這些數據資料,就可以全天候地準確地監察全香港的許多重要資訊,其中包括一些可能危及香港作為金融中心的安全的重要信息。
香港特區政府缺乏保障信息安全的意識,這些關連到香港整體安全的重要資料,竟然可以交給兩家美國公司掌控,而香港本地亦沒有相關的法律去規管這些信息的使用。這一點十分令人擔憂。
環聯被揭可能存在個人資料外洩的漏洞,目前政府部門就此事件的主要關注點也集中於如何讓管有這些資料的公司修補漏洞,不致於讓這些資料洩漏出去的問題。其實,環聯是否修補漏洞並不是事件最關鍵的問題所在,最需要政府關注的反而是這些巨量個人資料,被美國公司掌控的問題,因為即使環聯修補了所有漏洞,任何一位普通人都無法取得該公司掌控的個人資料,但對於香港來說,仍然處於一個十分危險的境況,因為香港無法保證這兩家美國公司不會將這些巨量個人資料交給美國的情報機構,或其他不為人知的部門使用。
所以,特區政府需要立即提升對信息安全的保障意識,可以從兩方面着手提升信息安全的保障,其一是禁止外國公司和機構掌控大量本港的個人資料,其二是要就信息安全立法,嚴格管理個人資料的收集和處理。