立法会十九题:银行电脑系统升级及应用生物认证技术
************************
问题:
据悉,银行不时进行电脑系统升级,以配合金融科技发展的需要。此外,越来越多银行已经或计划应用生物认证技术,藉使用客户的生物特征(包括指纹、声音、虹膜及手指静脉)验证客户身分。然而,有市民担忧,银行就电脑系统升级及引入生物认证前进行的测试不周全,以致有关系统及服务有疏漏,造成客户银行户口的资料出错或客户的生物辨识资料外泄。就此,政府可否告知本会:
(一)相关监管机构有否向银行发出关于进行电脑系统升级的实务守则并采取监察措施,以确保有关过程和升级后的电脑系统稳妥地运作;若有,详情为何;若否,原因为何;及
(二)相关监管机构有否向银行发出关于应用生物认证技术的实务守则并采取监察措施,以确保银行客户的生物辨识资料不会外泄或被滥用;若有,详情为何;若否,原因为何?
答覆:
主席:
(一)香港金融管理局(金管局)对银行进行电脑系统提升有明确要求,银行须采取足够措施确保其正常运作不会因为系统转变而受影响,并将对客户带来的不便减至最低。在此过程中,金管局要求银行作充分准备和测试,包括全面的「端对端」系统及验收测试、性能测试、数据检查等,并制定有效的应变方案,例如运作复原计划及系统回退方案等。若系统提升会对银行服务带来较大影响,银行须通知金管局,并应委任专家作独立评估,确保银行的准备工作完善。此外,银行须给予客户足够通知,以便客户早作安排。
(二)金管局要求银行在推出生物认证服务时须遵守金管局的相关指引,确保银行有足够的风险管理及保安措施,保障客户资料(包括个人生物辨识资料)的安全,并符合《个人资料(私隐)条例》(第486章)及个人资料私隐专员公署发布的相关指引的要求。
就系统保安措施方面,金管局要求银行须不时进行入侵检测和网络保安渗透测试,并对服务供应商设置有效监控,以防止客户资料因网络攻击而被盗用或外泄。在推出相关服务前,银行须进行详细的风险评估及测试,范围应包括有关生物认证技术的成熟程度、其辨识客户的准确度,以及登记和取消使用认证服务保安措施的成效。除特殊情况外,金管局一般会要求银行委任独立专家检视其服务是否符合金管局相关指引的要求。
完
2018年4月11日(星期三)
香港时间14时30分
香港时间14时30分