【大纪元2016年10月18日讯】(大纪元记者王文君香港报导)电子付款服务及非接触式付款等通讯技术为生活带来便利,但用家可能需要承受一定风险,包括遭黑客盗用客户资料等。而部分服务供应商在客户中止服务后,仍然会长时间保留包括身份证号码等敏感资料,甚至有公司会永久保留,并可能转作其它用途。市民在挑选有关服务供应商时,应咨询清楚,以免敏感资料外泄。
消委会调查10款在本港提供流动支付或个人对个人转账的服务,发现有3间服务供应商会保留用户资料长达7年,而大陆企业阿里巴巴集团旗下的“支付宝”,则会永久保留资料。
消委会在其月刊中公布了多款流动支付服务的漏洞和保安问题。消委会宣传及社区关系小组主席许敬文指,时下多了流动支付方式,使用智能手机、平板电脑、智能手表及如八达通类的智能卡以非接触式的通讯技术,如NFC(近场通讯)及QRCode(二维条码)等方式扫描付款。但却存在一些限制和漏洞,易令消费者蒙受经济损失及个人私隐被泄露等隐患。
消委会检视本港10款流动支付服务,发现存在诸多限制和风险。在开放的环境传输数据,有被隔空盗取资料的风险。而在使用QRCode付款时,黑客可利用伪冒的QRCode诱使用户扫描,将用户引导至恶意网站下载病毒,从而盗取客户资料。
至于NFC技术一项,由于某些支付终端或读卡器内NFC标签无被开发者写入保护程式,不法份子有机会恶意修改NFC标签中的资料。或透过伪冒的NFC阅读器盗取交易内容或截取无线传输中的其它数据,令消费者蒙受金钱损失及被盗取个人资料。
过度收集个人资料
消委会亦指,在开设此类付款户口时亦涉及个别流动服务商过多收集个人资料,如客户身份证副本、居住地址及信用卡资料等,当中除作长期保留,或作不恰当的处理,涉嫌转作其它用途等。
其中有3间服务商在终止服务后,会保留客户个人资料长达7年,包括“交通银行流动付款服务”、“好易畀”及“TNG香港人的电子钱包”。而“支付宝”则会永久保留客户资料。许敬文指,当中或涉及不符合处理个人私隐资料的原则。
他表示,根据《个人资料(私隐)条例》,资料的保留时间不应超过达到原来目的实际所需,而当个人资料的使用目的再不符原初持有目的时,服务商需采用所有切实可行的步骤删除个人资料。如违反条例者,可被罚款。
议员吁政府调查执法
针对支付宝或其它3间流动服务商,或涉嫌泄露客户资料转作它用的行为,消委会指,有类似怀疑个案,或需转交私隐公署处理。
民主党立法会议员尹兆坚回应称,这些流动支付服务供应商对个人资料的处理明显已经超越法例所规定,他要求个人资料私隐专员立即调查,了解有关公司有否违反条例内的规定及保障资料原则,并发出执行通知,指令相关违反的流动支付服务供应商采取补救措施纠正违例行为。他说,若有关人士或机构仍不遵守执行通知,专员便应进行刑事起诉,以收阻吓作用。
责任编辑:李薇
