******************
以下為今日(六月十八日)在立法會會議上單仲偕議員的提問和財經事務及庫務局局長馬時亨的書面答覆:
問題:
關於持牌銀行提供網上、電話及流動銀行服務,政府可否告知本會:
(一)過去3年,每年當局接獲多少宗涉及上述銀行服務的投訴及罪案舉報;其中多少宗涉及服務系統審計及保安問題;
(二)第(一)項所述投訴的處理方法;有關方法與處理傳統銀行服務投訴的方法有何不同;
(三)有否制訂措施及準則,規定持牌銀行必須符合某些技術條件,才可提供網上、電話及流動銀行服務;及
(四)有否制訂措施,確保提供第(三)項所述服務的銀行,長期維持穩定的系統審計及保安水平,例如要求銀行必須聘請合資格或註冊資訊系統審計師評估系統的審計及保安水平,並定期提交報告?
答覆:
主席女士:
(一)香港金融管理局(即金管局)在過去3年,接獲與認可機構在網上、電話或流動設備提供的服務有關的投訴及罪行報告的數目如下:
金管局接獲 當中涉及服務系統
金管局接獲 罪行報告的 審計及保安問題
年份 投訴報告的數目 數目(*) 的個案數目
── ─────── ───── ──────────
2001 1 7 1
2002 0 4 0
2003(截至6月11日為止)
3 4 1
(*)在所有接獲的罪行報告中,犯案者並沒有成功潛入認可機構的電腦保安系統。犯案者多數從其他途徑,以欺詐手法套取客戶的個人資料,如登入名稱及密碼等等。只要客戶沒有作出欺詐或嚴重疏忽行為,認可機構都已補償客戶的直接金錢損失。雖然如此,這些個案顯示出不斷教育消費者有關預防措施的重要性。香港銀行公會和金管局已合作推行一些教育消費者有關預防欺詐措施的工作。
(二)金管局處理上述銀行服務投訴與處理一般傳統銀行服務的投訴沒有不同,有關程序如下:
(i)客戶應首先向銀行投訴部門作出投訴,此舉可使銀行有機會及早解決投訴事項。根據《銀行營運守則》的要求,銀行在收到書面投訴後,須在一段合理時間內(通常不超過30日)就投訴作出書面答覆。
(ii)客戶若對銀行處理投訴的方法感到不滿意,或銀行並未在收到投訴後30日內給予詳細回覆,客戶可向金管局尋求協助。
(iii)金管局收到書面投訴後會致函投訴人,確認已收到投訴;並同時把投訴轉介有關銀行處理,要求銀行迅速調查及直接回覆投訴人。在一般情況下,銀行須在30日內直接回覆投訴人。金管局會監察銀行是否在限期內作出回覆及要求銀行向投訴人作出詳盡解釋及回應。
(iv)金管局會審閱銀行給投訴人的覆函,確保銀行已妥善遵守處理投訴的程序。若投訴涉及銀行審慎監管方面的事項,金管局會另行與銀行跟進。
(三)金管局自1997年起已發出有關電子銀行的一系列指引,概括地闡明銀行在推出電子銀行服務前,所應該實施的風險管理措施。由於銀行可採用不同的管控措施或科技以達至有效的電子銀行風險管理,而這些管控措施或科技亦或會隨時間不斷地改變,所以這些指引並沒有硬性規定銀行需要採用劃一的手法或指定的細節。除了這些指引外,金管局已採納以下的措施,以助確保只有具備能力及推行合適風險管理措施的銀行,才可在香港提供網上或流動銀行服務:
(i)銀行在推出網上或流動銀行服務前,事先要通知金管局,並向金管局解釋有關其服務的風險管理措施;
(ii)銀行的高級管理層,須委託獨立的專家在服務推出前,對服務的保安措施進行獨立評估,其後需大體而言最少每年再進行一次獨立評估。銀行須向金管局呈交獨立評估的報告(請參閱以下第四部份的答覆)。
(iii)金管局在對銀行進行實地及非實地審查時,均會按銀行的個別情況,評估銀行有關的電子銀行保安措施及其他事項。
(iv)金管局不斷監察與電子銀行有關的新風險(包括在香港以外地區出現的問題),不時向有關的銀行發出通告,使機構注意到這些風險及提供適合的預防措施建議。
(四)正如金管局在2000年9月發出的「電子銀行交易服務保安事宜獨立評估的建議文件」所指出,銀行的高級管理層須對銀行本身的網上或流動銀行服務的保安措施,進行定期的獨立評估。這些獨立評估,應於推出服務前進行,其後一般最少每年再進行一次。進行評估者須具備所需的專業知識,從而可對有關範圍進行獨立評估。此外,進行評估者不應涉及將被評估系統的運作、或涉及挑選或執行這些將被評估的管控措施。銀行應向金管局呈交獨立評估報告以供參閱。在確定進行評估者是否合適時,金管局考慮不同因素,如他們的獨立程度、信譽和以往記錄、以及專業資格和工作經驗等。除了這些要求以外,金管局亦在實地審查時,評估銀行審計工作(包括資訊科技審計)的有效程度。
完
二○○三年六月十八日(星期三)
