電子付款服務及非接觸式付款等通訊技術為生活帶來便利,但用家可能需要承受一定風險,包括遭黑客盜用客戶資料等。而部份服務供應商在客戶中止服務後,仍然會長時間保留包括身份證號碼等敏感資料,甚至有公司會永久保留,並可能轉作其它用途。市民在挑選有關服務供應商時,應諮詢清楚,以免敏感資料外洩。

消委會調查10款在本港提供流動支付或個人對個人轉賬的服務,發現有3間服務供應商會保留用戶資料長達7年,而大陸企業阿里巴巴集團旗下的「支付寶」,則會永久保留資料。

消委會在其月刊中公佈了多款流動支付服務的漏洞和保安問題。消委會宣傳及社區關係小組主席許敬文指,時下多了流動支付方式,使用智能手機、平板電腦、智能手錶及如八達通類的智能卡以非接觸式的通訊技術,如NFC(近場通訊)及QR Code(二維條碼)等方式掃描付款。但卻存在一些限制和漏洞,易令消費者蒙受經濟損失及個人私隱被洩露等隱患。

消委會檢視本港10款流動支付服務,發現存在諸多限制和風險。在開放的環境傳輸數據,有被隔空盜取資料的風險。而在使用QR Code付款時,黑客可利用偽冒的QR Code誘使用戶掃描,將用戶引導至惡意網站下載病毒,從而盜取客戶資料。

至於NFC技術一項,由於某些支付終端或讀卡器內NFC標籤無被開發者寫入保護程式,不法份子有機會惡意修改NFC標籤中的資料。或透過偽冒的NFC閱讀器盜取交易內容或截取無線傳輸中的其它數據,令消費者蒙受金錢損失及被盜取個人資料。

過度收集個人資料

消委會亦指,在開設此類付款戶口時亦涉及個別流動服務商過多收集個人資料,如客戶身份證副本、居住地址及信用卡資料等,當中除作長期保留,或作不恰當的處理,涉嫌轉作其它用途等。

其中有3間服務商在終止服務後,會保留客戶個人資料長達7年,包括「交通銀行流動付款服務」、「好易畀」及「TNG香港人的電子錢包」。而「支付寶」則會永久保留客戶資料。許敬文指,當中或涉及不符合處理個人私隱資料的原則。

他表示,根據《個人資料(私隱)條例》,資料的保留時間不應超過達到原來目的實際所需,而當個人資料的使用目的再不符原初持有目的時,服務商需採用所有切實可行的步驟刪除個人資料。如違反條例者,可被罰款。

議員籲政府調查執法

針對支付寶或其它3間流動服務商,或涉嫌洩露客戶資料轉作它用的行為,消委會指,有類似懷疑個案,或需轉交私隱公署處理。

民主黨立法會議員尹兆堅回應稱,這些流動支付服務供應商對個人資料的處理明顯已經超越法例所規定,他要求個人資料私隱專員立即調查,了解有關公司有否違反條例內的規定及保障資料原則,並發出執行通知,指令相關違反的流動支付服務供應商採取補救措施糾正違例行為。他說,若有關人士或機構仍不遵守執行通知,專員便應進行刑事起訴,以收阻嚇作用。 ◇