跳至主要内容

立法会十三题:堵塞电子支付服务的漏洞
******************
  以下是今日(十一月二十一日)在立法会会议上莫乃光议员的提问和财经事务及库务局局长刘怡翔的书面答覆:
 
问题:
 
  据报,信用卡或银行户口绑定储值支付工具(电子钱包)的程序被发现有保安漏洞。有部分信用卡的绑定程序没有包括透过流动电话短讯进行双重验证以核实身份,以致骗徒可利用不记名的流动电话卡(俗称「太空卡」)完成绑定程序。供电子钱包用户设立透过「转数快」快速支付系统进行直接扣帐授权服务(eDDA)的流程亦曾有漏洞,以致骗徒可利用太空卡和盗取的银行帐户资料设立eDDA,然后透过转帐盗取金钱。此外,有市民向我反映,信用卡或银行户口的绑定程序有保安漏洞的情况频生,影响他们对电子支付服务及金融科技发展的信心。香港金融管理局(金管局)于上月底完成检视eDDA设立流程后,要求电子钱包营运商和银行优化该流程。就此,政府可否告知本会:
 
(一)本年一月至今,(i)警方及金管局共接获多少宗涉及电子钱包的骗案报告及所涉款项总额,以及(ii)该等案件的跟进详情,包括调查进度,以及分别拘捕及检控的人数;
 
(二)eDDA设立流程的优化措施的详情和成效;
 
(三)有否要求电子钱包营运商及发卡银行在推出电子钱包前进行保安风险评估;如有,评估的范围是否包括信用卡绑定电子钱包的程序有否可靠的身份核实安排;
 
(四)会否规定信用卡绑定电子钱包的程序必须采用双重认证(例如透过电话短讯验证)或其他有效措施以进行身份核实,以杜绝上述骗案;及
 
(五)鉴于金管局正与内地当局合作推展跨境电子支付服务便利措施(例如香港电子钱包在内地试行使用),该局有否评估该等措施对本港居民的个人资料私隐构成的风险;如有,结果为何,以及有何应对措施;因应两地法规并不相同,当局如何保障使用跨境电子支付服务的香港市民的消费者权益及个人资料私隐?
 
答覆:
 
主席:
 
  「转数快」系统乃一项新的金融基建,接通不同银行及储值支付工具营运商,让市民可以随时随地进行跨银行及储值支付工具的即时资金转帐。我们一方面希望透过「转数快」系统为市民带来便利,另一方面亦致力确保系统安全可靠,让市民可以安心使用。早前有报道指有人透过「转数快」系统骗取金钱,金管局获悉事件后已即时采取行动,要求各储值支付工具营运商加强认证功能,堵塞保安漏洞。
 
  就问题的各个部分,我们谨回覆如下:
 
(一)及(二)较早前有市民的个人身份资料及银行帐号资料怀疑被人盗用,藉以在电子钱包内开设银行直接扣帐授权服务,包括经「转数快」系统开设的电子直接扣帐授权。在得悉事件后,金管局马上要求储值支付工具营运商停用有关扣帐服务,并于十月二十六日公布一系列优化电子钱包开设直接扣帐授权的程序,以杜绝使用不法手段取得他人资料开立电子直接扣帐授权。这些优化程序包括:
 
(i)用户会收到银行发出的电话短讯以确认开设电子直接扣帐授权;
(ii)用户需要从有关银行户口作一次转帐到自己的电子钱包,以确认电子钱包用户是银行户口持有人;或
(iii)银行双重认证。
 
  上述优化程序能在加强对用户保障的前提下,让电子钱包营运商和银行根据自己的运作情况采取适当的措施,尽快恢复有关服务。储值支付工具营运商已按照上述的优化程序陆续恢复其直接扣帐服务。
 
  根据金管局所得的资料,到目前为止有二十余个银行帐号怀疑被盗用在电子钱包内开设直接扣帐服务,共涉及款项约港币50万元,而警方亦正跟进有关个案。一般而言,银行帐户持有人如没有授权有关扣帐,则不需为未经授权交易承担责任。金管局正与相关银行及电子钱包营运商积极跟进收到的怀疑个案,而大部分个案的审视已完成,事主亦已透过银行取得赔偿。虽然有关的电子直接扣帐授权服务通过「转数快」系统进行,但事件的本质是个人资料怀疑被不法份子盗用,并不关乎「转数快」系统的安全性。
 
(三)及(四)就储值支付工具捆绑信用卡的程序方面,金管局较早前已向支援提供绑定信用卡功能的电子钱包营运商发出指引,要求营运商在允许用户绑定信用卡至电子钱包时,要确认卡主授权该绑定。为加强对用户的保障,金管局最近已向有关电子钱包营运商进一步解释相关指引,明确指出电子钱包必须在发卡机构透过一次性密码或其他有效方法确认卡主授权后,才可以绑定信用卡。
 
(五)储值支付工具营运商在其日常营运包括提供新服务时,必须遵守金管局有关营运储值支付工具的监管指引。监管指引涵盖的范围包括支付保安、资讯系统管理、以及用户保障等方面。例如,储值支付工具营运商必须有周全的程序储存帐户资料,并全数承担在用户并无错失的情况下的帐户储值损失等。此外,营运商亦需要遵守其他相关的法规,包括《个人资料(私隐)条例》,并需要审慎评估有关服务的相关风险和管控措施。营运商会因应个别服务的特性,平衡用户的便利体验,制定具体的保安措施,亦会不断检视实际操作情况,不时作出适当的调整,确保用户的利益得到保障。金管局会于日常监管过程中,检视营运商落实相关要求的情况。
 
2018年11月21日(星期三)
香港时间16时35分
即日新闻