載有全港540萬市民信貸記錄的環聯資訊(TransUnion)去年遭揭發保安漏洞,讓第三方可輕易用於「起底」。私隱專員公署調查指出,環聯在網上認證程序存在四大漏洞,包括入錯資料可繼續查閱、提問的身分認證問題易猜等,並提出相關建議。私隱專員黃繼兒在報告提出,應檢討是否引入其他信貸資料機構。
  歷時一年的調查報告出爐,指出環聯在網上認證程序中,沒有採取所有切實可行的步驟保障個人資料,違反《私隱條例》保障資料原則。公署點出四大漏洞,包括用家輸入全名及出生日期毋須與環聯資料庫完全脗合;在「基於知識的認證」環節上,採用與個人年齡範圍、生肖等無關的問題,並有過時而易被剔除的答案。同時,當用家未能通過認證程序時,環聯未有封鎖其他查取途徑;亦並非所有申請都進行雙重認證。至於環聯轉移個人資料予夥伴,公署並無發現違規。
  公署已引用《私隱條例》向環聯送達執行通知,指令對方糾正有關漏洞,並制定清晰的程序,確保「基於知識的認證」問題中所產生的答案是相關、具效能和合時,以及提供文件證明已糾正及防止再發生。
  報告又提出多項建議,包括轉移信貸資料予夥伴時需用較低侵犯私隱的方式;應讓個人選擇轉移資料的種類;環聯應每年最少一次審核夥伴的保障資料水平;以及定期檢討網上認證程序。公署又指,環聯的收費偏貴,建議向用家提供較廉價信貸報告。
  私隱專員黃繼兒在報告提出數個相關政策問題,留待日後進行公眾諮詢,特別是檢討應否容許香港有多於一個信貸資料機構。
  他指出,目前本港信貸資料由商業機構管理,而不受金融規管者規管,這個事實不能單憑守則或修訂後的守則處理。
  立法會金融界議員陳振英表示,公署全面列出業界關注的問題,但由於沒有法定權力叫停或處罰違規機構,實為「無牙老虎」,只能靠業界自律。他稱,由於環聯的股東及用家與銀行有關,間接受金管局監管,現時混業監管情況尚算有效,但亦建議金管局有直接過問的權力。