立法会十五题:开放应用程式介面
***************
问题:
香港金融管理局(金管局)近年就推动金融科技发展推出多项措施,其一为促进开放应用程式介面(开放API)的发展,以便银行容许接达其系统的合作伙伴(例如信用卡公司、八达通卡有限公司、保险公司、旅行社及网购平台)取用其客户的部分资料。就此,政府可否告知本会:
(一)鉴于有评论指出,当银行透过开放API分享客户的敏感资料时,确保资料保密及未被窜改至关重要,金管局有否就资料的提供及接收订立规则及指引,供各方遵守;若有,详情为何;若否,原因为何;
(二)金管局有否(i)要求资料提供及接收的双方确保资料安全地传送,避免使用间接的传送方式(例如通过电脑伺服器上载及下载)和防止资料遗失和泄露,以及(ii)就此制订相关技术指引;若有,详情为何;若否,原因为何;及
(三)鉴于银行一般须取得其客户同意才可把与其有关的资料与第三者分享,并确保其客户持续了解资料分享的状况,金管局有否计划提醒公众注意敏感资料的安全性,以决定同意银行把哪些与其有关的资料与第三者分享;若有,详情为何;若否,原因为何?
答覆:
主席:
就问题的三个部分,现综合回覆如下:
香港金融管理局(金管局)非常重视「开放应用程式介面」下的数据安全和完整性,因此在今年一月份推出的「开放应用程式介面」谘询文件有就如何保障资料提出方向性建议,以及向业界收集意见。
与此同时,金管局计划在正式公布「开放应用程式介面」框架后,要求银行界订立一套以风险为本的保安和运作规则给予数据的提供方(即银行)及接收方(即服务提供商)遵守,当中包括使用国际认可的技术准则来保障资料传送的安全,例如对外网络的资料传送必须使用强化的加密算法,完善的加密钥匙管理及以足够的措施来保存和验证信息的完整性等,以确保「开放应用程式介面」的运作有足够的安全及保护措施。
金管局亦计划在银行推出「开放应用程式介面」后,联同业界进行公众教育并提供资讯,以提高公众对个人资料分享利弊的认识,从而在选择和使用「开放应用程式介面」的产品或服务时能够作出明智的选择。
同时,任何机构如涉及收集、持有、处理及使用个人资料,作为资料使用者亦必须符合《个人资料(私隐)条例》(第486章)的要求。
完
2018年5月30日(星期三)
香港时间14时30分
香港时间14时30分