立法會十三題:堵塞電子支付服務的漏洞
******************

  以下是今日(十一月二十一日)在立法會會議上莫乃光議員的提問和財經事務及庫務局局長劉怡翔的書面答覆:
 
問題:
 
  據報,信用卡或銀行戶口綁定儲值支付工具(電子錢包)的程序被發現有保安漏洞。有部分信用卡的綁定程序沒有包括透過流動電話短訊進行雙重驗證以核實身份,以致騙徒可利用不記名的流動電話卡(俗稱「太空卡」)完成綁定程序。供電子錢包用戶設立透過「轉數快」快速支付系統進行直接扣帳授權服務(eDDA)的流程亦曾有漏洞,以致騙徒可利用太空卡和盜取的銀行帳戶資料設立eDDA,然後透過轉帳盜取金錢。此外,有市民向我反映,信用卡或銀行戶口的綁定程序有保安漏洞的情況頻生,影響他們對電子支付服務及金融科技發展的信心。香港金融管理局(金管局)於上月底完成檢視eDDA設立流程後,要求電子錢包營運商和銀行優化該流程。就此,政府可否告知本會:
 
(一)本年一月至今,(i)警方及金管局共接獲多少宗涉及電子錢包的騙案報告及所涉款項總額,以及(ii)該等案件的跟進詳情,包括調查進度,以及分別拘捕及檢控的人數;
 
(二)eDDA設立流程的優化措施的詳情和成效;
 
(三)有否要求電子錢包營運商及發卡銀行在推出電子錢包前進行保安風險評估;如有,評估的範圍是否包括信用卡綁定電子錢包的程序有否可靠的身份核實安排;
 
(四)會否規定信用卡綁定電子錢包的程序必須採用雙重認證(例如透過電話短訊驗證)或其他有效措施以進行身份核實,以杜絕上述騙案;及
 
(五)鑑於金管局正與內地當局合作推展跨境電子支付服務便利措施(例如香港電子錢包在內地試行使用),該局有否評估該等措施對本港居民的個人資料私隱構成的風險;如有,結果為何,以及有何應對措施;因應兩地法規並不相同,當局如何保障使用跨境電子支付服務的香港市民的消費者權益及個人資料私隱?
 
答覆:
 
主席:
 
  「轉數快」系統乃一項新的金融基建,接通不同銀行及儲值支付工具營運商,讓市民可以隨時隨地進行跨銀行及儲值支付工具的即時資金轉帳。我們一方面希望透過「轉數快」系統為市民帶來便利,另一方面亦致力確保系統安全可靠,讓市民可以安心使用。早前有報道指有人透過「轉數快」系統騙取金錢,金管局獲悉事件後已即時採取行動,要求各儲值支付工具營運商加強認證功能,堵塞保安漏洞。
 
  就問題的各個部分,我們謹回覆如下:
 
(一)及(二)較早前有市民的個人身份資料及銀行帳號資料懷疑被人盜用,藉以在電子錢包內開設銀行直接扣帳授權服務,包括經「轉數快」系統開設的電子直接扣帳授權。在得悉事件後,金管局馬上要求儲值支付工具營運商停用有關扣帳服務,並於十月二十六日公布一系列優化電子錢包開設直接扣帳授權的程序,以杜絕使用不法手段取得他人資料開立電子直接扣帳授權。這些優化程序包括:
 
(i)用戶會收到銀行發出的電話短訊以確認開設電子直接扣帳授權;
(ii)用戶需要從有關銀行戶口作一次轉帳到自己的電子錢包,以確認電子錢包用戶是銀行戶口持有人;或
(iii)銀行雙重認證。
 
  上述優化程序能在加強對用戶保障的前提下,讓電子錢包營運商和銀行根據自己的運作情況採取適當的措施,盡快恢復有關服務。儲值支付工具營運商已按照上述的優化程序陸續恢復其直接扣帳服務。
 
  根據金管局所得的資料,到目前為止有二十餘個銀行帳號懷疑被盜用在電子錢包內開設直接扣帳服務,共涉及款項約港幣50萬元,而警方亦正跟進有關個案。一般而言,銀行帳戶持有人如沒有授權有關扣帳,則不需為未經授權交易承擔責任。金管局正與相關銀行及電子錢包營運商積極跟進收到的懷疑個案,而大部分個案的審視已完成,事主亦已透過銀行取得賠償。雖然有關的電子直接扣帳授權服務通過「轉數快」系統進行,但事件的本質是個人資料懷疑被不法份子盜用,並不關乎「轉數快」系統的安全性。
 
(三)及(四)就儲值支付工具綑綁信用卡的程序方面,金管局較早前已向支援提供綁定信用卡功能的電子錢包營運商發出指引,要求營運商在允許用戶綁定信用卡至電子錢包時,要確認卡主授權該綁定。為加強對用戶的保障,金管局最近已向有關電子錢包營運商進一步解釋相關指引,明確指出電子錢包必須在發卡機構透過一次性密碼或其他有效方法確認卡主授權後,才可以綁定信用卡。
 
(五)儲值支付工具營運商在其日常營運包括提供新服務時,必須遵守金管局有關營運儲值支付工具的監管指引。監管指引涵蓋的範圍包括支付保安、資訊系統管理、以及用戶保障等方面。例如,儲值支付工具營運商必須有周全的程序儲存帳戶資料,並全數承擔在用戶並無錯失的情況下的帳戶儲值損失等。此外,營運商亦需要遵守其他相關的法規,包括《個人資料(私隱)條例》,並需要審慎評估有關服務的相關風險和管控措施。營運商會因應個別服務的特性,平衡用戶的便利體驗,制定具體的保安措施,亦會不斷檢視實際操作情況,不時作出適當的調整,確保用戶的利益得到保障。金管局會於日常監管過程中,檢視營運商落實相關要求的情況。



2018年11月21日(星期三)
香港時間16時35分