立法會十三題:市民身分被盜用的應對措施
*******************
問題:
據報近日有市民遺失身份證後遭盜用身分,當不法分子於線上或線下開設銀行户口後,便冒充有關市民的身分申請貸款、電訊服務,甚至進行其他犯罪活動。就此,政府可否告知本會:
(一)過去三年,不法分子盜用市民身分的主要方式(如線下實體冒用證件、遠程數碼盜用身分等),以及因而引發的案件的性質(如網購、借貸)、宗數及涉及金額損失分別為何,並以表列方式提供分項數字;
(二)政府有否掌握過去三年,市民身分被盜用導致信貸評分受損的情況;如有,詳情為何;如否,原因為何;當局會否考慮要求信貸資料平台「信資通」或參與「信資通」的機構提供相關數據予有關監管機構和警方跟進;
(三)鑑於現時市民能透過「智方便」及具備數碼簽署功能的「智方便+」使用涉及不同政府部門或機構的網上服務,政府有否統計「智方便」及「智方便+」的數據應用場景、數據範圍及各類服務的普及率(舉例而言,以所有政府部門提供的公共服務為分母作計算)分別為何;
(四)鑑於市民在使用「智方便」及「智方便+」時授權政府部門及機構讀取用户數據(如身份證號碼、照片、聯絡資料),政府如何在利民便商及防止市民身分被盜用之間取得平衡,並按政府部門及機構類別列出有關措施詳情;
(五)據報在金融科技領域,政府的原始數據可以稱為「權威數據來源」,內地的金融機構可對接公安部的「全國公民身份證號碼查詢服務中心」,當銀行上傳客户的身份證號碼、姓名及照片時,系統能即時比對公安部的數據庫,反饋證件的真偽及人臉匹配度,能更有效防騙,政府會否參照此做法,對於向金融機構提供「權威數據來源」持開放態度(例如容許有關部門和數字政策辦公室向金融機構傳遞可疑訊息情報並進行身分核實);如會,詳情為何;如否,原因為何;
(六)如政府未有計劃向金融機構全面開放「權威數據來源」,當局有何替代措施協助金融機構進行客户身分核實及客户盡職審查,以及該等措施所涉及的成本為何(例如數字銀行普遍沒有實體分行,不能進行面對面的客户核實,當局會否考慮率先向該類銀行開放「權威數據來源」以助其核實客户身分);及
(七)政府有否掌握公營機構和金融機構在政府未開放「權威數據來源」的情況下使用哪些科技以防範市民身分被盜用,以及每年投入多少費用研發及維護該等科技;如有,詳情為何;如否,原因為何?
答覆:
主席:
為應對市民身分被盜用的情況,政府一直與金融監管機構及業界密切監察市場和科技的發展趨勢,並緊密溝通和交流情報。在發現涉及製造虛假香港身份證或行使虛假身分有關的罪行時,執法機關會積極採取執法行動。
就問題的七個部分,經諮詢保安局、創新科技及工業局、香港金融管理局(金管局)、證券及期貨事務監察委員會(證監會)及強制性公積金計劃管理局(積金局),現回覆如下:
(一)香港警務處(警務處)在過去一年進行多次涉及製造虛假香港身份證或行使虛假身分的拘捕行動,包括於二○二五年十月展開的「銀殿」行動,成功瓦解一個本地詐騙集團。該集團利用深偽技術更換已報失的香港身份證上的頭像,成功通過網上銀行的臉容識別系統驗證,開立共19個銀行帳戶,並用該些身份證成功申請借貸和信用卡,涉款約22萬港元。警務處在該行動中拘捕23人,包括集團主腦、骨幹成員及傀儡戶口持有人,牽涉的傀儡戶口曾用於清洗或處理犯罪得益合共超過1.9億港元。
目前,警務處沒有備存所有個案中騙徒盜用身分的主要方式的分項數字。
(二)當收到市民發現信貸資料服務機構所持有的個人信貸紀錄有不準確之處的查詢時,相關信貸提供者或個人信貸資料服務機構會按照《個人信貸資料實務守則》第3.19及3.20段訂明的程序處理,包括核實資料、在有需要時向資料提供者跟進,並在資料證實不準確時盡快作出更正。
有關程序可有效防範或應對身分被盜用而影響個人信貸紀錄的情況。市民亦可按個人需要使用個人信貸資料服務機構提供的信貸提示服務,以便及早識別資料不準確或其他可疑情況,適時作出跟進。
就懷疑身分被盜用的個案,相關機構會按照既定的風險管理及合規程序核實資料及跟進個案,並在有需要時配合執法機關作進一步跟進。
金管局及個人信貸資料服務機構沒有備存涉及懷疑身分被盜用而影響個人信貸紀錄的數據。
(三)截至二○二六年五月底,「智方便」已有超過450萬名登記用戶,當中採用「智方便+」的用戶逾八成。現時,「智方便」已實現政府服務「一網通辦」(即所有政府網上服務均已採用「智方便」)的目標,接達超過1 400項政府及公私營機構網上服務和政府電子表格。市民可以使用「智方便」/「智方便+」各項功能,包括身份認證、「填表通」及數碼簽署等,以登入及使用各項有關服務,例如查閱及繳付帳單、註冊及登入「積金易」平台、查閱個人信貸資料、辦理貸款申請,以及網上開立銀行及金融機構帳戶等。
(四)「智方便」平台作為重要的數字基礎建設,一直嚴格按照《個人資料(私隱)條例》保護市民的個人資料。「智方便」只會在獲得用戶授權的情況下,傳送用戶的個人資料至網上服務提供者,所傳送的個人資料會因應網上服務提供者的要求而有所不同,主要包括用戶的香港身份證資料(包括香港身份證號碼、中英文姓名、出生日期、性別等)及用戶在「填表通」自願提供的個人資料,包括住址、電郵地址、電話號碼等。
「智方便」系統內的個人資料使用國際認可和通行的高級加密標準加密,並儲存於政府數據中心設施內。在互聯網上傳送資料時,亦會使用傳輸層安全協議為資料加密,確保數據安全和完整。「智方便」平台已於二○二三年成功取得了ISO/IEC 27001:2022和ISO/IEC 27701:2019的國際標準認證,標誌著「智方便」服務在資訊安全及個人資料保護方面達到了國際水平。
為應對日新月異的安全威脅,數字政策辦公室(數字辦)一直持續提升「智方便」的整體系統安全,包括在容貌辨識過程應用人工智能進行深偽檢測,以確保自拍圖片來自真實人士(而非由人工智能生成的偽造圖像)。我們亦會利用人工智能日誌分析和監控技術進行異常檢測,主動識別並迅速處理潛在的系統問題。此外,為了加強網絡安全及防範身分盜竊,數字辦在「智方便」加入了「多重身分認證」功能,讓網上服務在用戶進行關鍵流程時(如銀行開戶、遙距認證)可以進行額外身分驗證。除了採用人工智能驅動的抗深度偽造技術,「多重身分認證」功能亦支援用戶以個人流動電話的近場通訊(Near Field Communication,即NFC)功能讀取身份證晶片資料,透過將資料與入境事務處的資料庫實時比對,進一步提升身分認證的安全性。同時,我們引入紅隊嘗試找出系統的隱藏安全風險,並定期每年安排獨立第三方顧問進行審計,以防範資訊安全風險。
(五)至(七)在銀行業方面,金管局一直要求銀行採取多重措施認證客戶身分和防範詐騙,包括應用科技方案檢查身份證的真偽及容貌辨識技術核實客戶身分。現行措施一直有效辨識客戶身分,但鑑於詐騙手法不斷演變及科技發展,銀行亦須持續檢視及強化相關管控及身分核實流程。
就此,金管局正與數字辦、銀行以及儲值支付工具業界緊密合作,計劃將「智方便」多重身分認證功能(Step-up Authentication)逐步融入關鍵流程,透過此功能進行容貌辨識和讀取身份證晶片,防止騙徒使用虛假或被盜用的身分證明文件,為客戶身分認證流程提供額外保障。金管局正與業界商討首階段應用於遙距開戶的安排,並計劃於二○二六年內開展測試,按風險為本原則分階段推展有關安排至其他關鍵流程。
在強制性公積金(強積金)方面,由於所有強積金計劃的行政工作是由積金易平台統一處理,因此積金局可有效地識別可疑個案之間的潛在關聯,並及早採取跟進行動。此外,由二○二五年十二月起,所有註冊積金易平台的網上申請均須透過「智方便」提交,以打擊不法分子冒認強積金計劃成員的行為。積金局亦已要求強積金受託人設立健全的風險管理及監察機制,並協助就積金易平台轉介的個案進行盡職審查,以識別及防止欺詐行為,加強保障計劃成員的利益。
在證券業方面,根據證監會所發出的打擊洗錢及恐怖分子資金籌集指引,持牌法團在與客戶建立業務關係之前必須對客戶執行客戶盡職審查措施,其中包括根據由可靠及獨立來源提供的文件、數據或資料,以核實客戶的身分。而在非親身的開立帳戶過程中,持牌法團應採取額外措施,以減低客戶不曾為身分識別的目的而現身所涉及的風險(例如假冒風險)。其中,證監會自「智方便」推出起已接受中介人於開戶的過程中採用「智方便」為客戶核實身分,以防範身分盜用及減低假冒風險。另外,「智方便」就香港居民的身分提供了可靠和獨立的資料來源,因此中介人亦可透過使用「智方便」所提供的身分認證功能核實客戶身分。
然而,「智方便」與內地的「全國公民身份證號碼查詢服務中心」系統性質不同。「智方便」登記屬自願性質,其多重身分認證功能須客戶已登記「智方便」並同意使用才可採用。政府會繼續密切留意科技發展及業界運作需要,在充分保障個人資料私隱及符合香港法律框架的前提下,持續檢視及優化相關政策,包括研究如何進一步善用「智方便」的認證功能,以及探討與不同金融監管機構協作,強化跨行業的身分核實機制,以更有效防範市民身分被盜用。
完
2026年6月3日(星期三)
香港時間16時22分
香港時間16時22分