跳至主要內容

立法會十一題:使用二維碼的保安事宜
*****************
  以下是今日(五月二十二日)在立法會會議上吳永嘉議員的提問和財經事務及庫務局局長劉怡翔的書面答覆:
 
問題:
 
  據報,藉掃描二維碼進行交易的電子支付系統近年日趨普及,但此交易模式涉及一定的保安風險,例如黑客可藉偽造的二維碼誘騙市民下載惡意軟件,從而盜取其電子身分、進行竊聽和定位追蹤、利用其手機進行監視,以及盜取敏感資料後勒索他們。就此,政府可否告知本會:
 
(一)二○一四至二○一八年,每年警方分別接獲涉及(i)網上盜取信用卡資料、(ii)入侵電腦以盜取資料,以及(iii)以加密勒索軟件進行勒索的科技罪案的宗數和所涉款額;當中涉及使用二維碼的數字分別為何;
 
(二)會否考慮立法規定二維碼須符合的規格(例如須包含可供認證提供者身分的資料),以便用戶識別二維碼的來源;若會,詳情為何;若否,原因為何;及
 
(三)政府會採取甚麼針對性措施,確保二維碼等金融科技應用日趨普及的同時,有足夠的資訊安全保障?
 
答覆:
 
主席:
 
  就吳議員的提問,我們經諮詢相關政策局及金融監管機構後,現綜合回覆如下:
 
(一)二○一四至二○一八年間,警方接獲問題提及的案件的數字和所涉款額已列載於附件。而警方並未有備存涉及二維碼的相關科技罪案數字。

(二)及(三)政府一直透過公眾教育,提醒市民在使用金融科技,例如使用二維碼支付時,要留意保護其個人及敏感資料,以減低資料被盜取的風險。政府資訊科技總監辦公室(資科辦)一直與香港電腦保安事故協調中心及香港警務處網絡安全及科技罪案調查科緊密合作,舉辦有關的研討會、講座及比賽等不同活動。資科辦亦在二○一八年發布了使用流動支付服務(註一)及使用二維碼(註二)的保安風險及適當的預防措施和應對方法,以提高公眾對資訊保安,包括二維碼支付服務的安全意識和認知。
 
  另外,香港金融管理局亦有發出監管指引,要求銀行及儲值支付工具持牌人設立周全的支付安全措施。在處理二維碼支付時,銀行及持牌營運商會在用戶使用其支付應用程式掃瞄二維碼時,核實該碼是否真實和有效的支付二維碼,亦會顯示收款人名稱等相關資料,令用戶可以辨認收款人的身分。市民亦應在付款前檢查收款人資料,以確保二維碼支付能夠到達正確的收款人。
 
  我們會繼續密切留意市場的發展,在促進金融科技創新和保障市民之間取得適當平衡。
 
註一:詳情可瀏覽:www.cybersecurity.hk/tc/learning-epayment.php
註二:詳情可瀏覽:www.infosec.gov.hk/tc_chi/yourself/carefully.html
 
2019年5月22日(星期三)
香港時間12時34分
即日新聞