【明報專訊】非接觸式支付功能(簡稱拍卡支付)存在漏洞,用戶個人資料有可能被非授權者讀取,或會招致損失。這是隨着科技發展,由於相關規管未跟進,使市民陷身風險的又一事例。另外,負責監管銀行的金管局未及早披露更多詳情,使市民對持有的信用卡有沒有保安問題而忐忑不安,事態反映金管局和政府在維護銀行穩定和市民利益之間,並未取得合理平衡,理應改善。
非接觸式付款功能
漏洞不堵難以安寢
日前,有傳媒經過實踐試驗,證實部分「拍卡支付」的信用卡,在靠近一些流動應用程式時,有可能被讀取持卡人姓名及戶口等個人資料。非接觸式付款功能操作方便,只需拍卡就完成支付,因而大行其道,商家與消費者都樂意選用,現在證實持卡人的個人資料容易被讀取,若為不法之徒利用,消費者將隨時遭到損失。因此,這類用戶已經暴露在信用卡保安風險之中,若漏洞不堵塞,市民難以安寢。
事件揭露之後,金管局很快就知道漏洞所在,還指出涉及兩家供應商提出的非接觸式信用卡。有關信用卡把客戶姓名儲存在內,不符合操作規定,涉事銀行已被要求暫停發出這類信用卡,並須盡快通知受影響客戶,以及採取包括回收及更換信用卡等補救行動。不過,金管局承認類似信用卡問題還不是漏洞的全部,因為一些保安門檻較低的商戶,即使沒有持卡人姓名,只要有卡號及有效日期,亦可完成交易。由此可見,「拍卡支付」對用戶的風險,顯然並非卡內儲存了姓名那麼簡單。
非接觸式付款功能的泄密漏洞,3年前有美國互聯網「黑客」曾經披露過,當時引起極大關注。金管局對銀行處理「拍卡支付」的保安要求,也是在2012年提出,兩者有沒有關連、是否金管局回應美國「黑客」的揭秘,暫時無法考究。不過,若兩件事有關,而3年之後仍然有漏洞未堵塞,則銀行和金管局對這方面的風險就難免有認知不足之嫌。金管局應該趁此機會,全面檢視非接觸式付款功能的風險,對發卡機構提出清晰指引和監管落實,以進一步保障信用卡用戶。
如今社會,信用卡早已廣泛使用。職是之故,今次揭發的「拍卡支付」漏洞,隨時使持卡人蒙受損失,因而備受關注。問題是,即使金管局承認有問題,亦要求涉事銀行善後處理,可是由於金管局初期不肯披露更多資料,使到市民對事態的認知陷於混亂狀態。例如,不少市民想知道自己的信用卡是否有非接觸式付款功能、應該怎樣處理等,因為資訊不多,無從應對。
事實上,傳媒報道了實踐試驗之後,金管局承認存在問題,並透露已經責成銀行善後,除此之外卻不肯披露更多資料。至於涉及哪些銀行,前日在傳媒查詢時,金管局仍然諱莫如深,堅持不透露。昨日,財經事務及庫務局長陳家強回答記者提問,甚至以報章已有報道為由,不允提及哪些銀行涉事;到昨日傍晚,金管局在傳媒一再查問之後,才公布涉及此事的7家銀行名稱。
金管局拒公布資料
徒惹市民猜測不安
有關哪些銀行涉及「扣卡支付」信用卡事件,實在看不到有何對公衆保密的必要。金管局以銀行將會通知客戶為由,拒絕披露情況,難以說得通。如果按此邏輯,凡是涉及公衆的事故,包括問題食品、食水含鉛超標或是公衆衛生事宜等,商號或當局豈非都可以秘而不宣?市民對此態度,當然不會接受。事實上,由於市民缺乏足夠資料和資訊,無法辨別擁有的信用卡是否存在問題,他們雖然可以向相關銀行查詢,卻是徒然耗費社會成本,因為只要當局公布涉事銀行和具體情况,則可以減少市民猜測而引發的混亂。
金管局致力維護銀行系統穩健,市民不會有異議,比如互聯網上經常有關於銀行的假消息,甚至有假網頁等,金管局都會即時澄清。今次信用卡保安漏洞,金管局對公布涉事銀行名單有猶豫,被認為是過度顧及銀行的利益。若金管局向銀行傾斜,忽略了市民的利益,在銀行風險管理與用戶利益之間,未能取得恰當平衡,市民自然不滿。今次「拍卡支付」信用卡事件,看不到會對銀行系統的穩健帶來什麼衝擊,因此從維護銀行的角度處理信息發布,顯得極不合理,而且徒添市民疑惑。金管局應該汲取今次教訓,掌握好平衡,顧及銀行與公衆利益的實際需要。
■歡迎回應[email protected]
新聞類別
副刊
詳情#
留言 (0)
