payWave可被流動程式盜料 香港金管局勒令7銀行換卡

部分有payWave功能的信用卡被發現保安漏洞。  圖片來源：香港文匯報

信用卡安全問題再次備受關注，部分銀行涉及數十萬張非接觸式信用卡未符合香港金管局要求，令不法之徒有機會盜取資料作不法用途。金管局昨公佈7間問題信用卡銀行名單，包括中銀香港、交通銀行香港分行、信銀國際、星展銀行、工銀亞洲、大新銀行及華僑永亨銀行，銀行須暫停發出、並回收及更換有問題信用卡。中銀香港昨回應指，已按照監管要求，暫停發出新非接觸式信用卡，並會盡快為客戶安排更換有關的信用卡。

香港《文匯報》報導，近年不少信用卡新增功能，可作感應式付款購物。數年前Visa卡及萬事達卡分別推出「payWave」及「PayPass」的感應式付款功能信用卡。根據Visa於2012年披露，當時具「payWave」功能的信用卡已發行逾100萬張。近日有報導指，這類信用卡在靠近部分流動應用程式時，可被讀取持卡人的個人資料，包括信用卡號碼、姓名及有效日期等，估計本港有數十萬張具有感應式付款功能的信用卡面臨數據外洩風險。

金管局昨表示，在11間有發行感應式信用卡的銀行中，7間銀行發行的部分信用卡未符合該局於2012年針對非接觸式信用卡的要求，即銀行須確保儲存在卡內而可透過感應式讀取的數據，只限於必須的事務數據，但不包括用戶全名。

金管局已要求相關銀行採取3項措施：暫停發出不符合要求的新卡、盡快通知受影響客戶、以及採取回收及更換相關信用卡等補救措施。

該7間銀行包括中銀香港、交通銀行香港分行、信銀國際、星展銀行、工銀亞洲、大新銀行及華僑永亨銀行。金管局強調，是次事件涉及信用卡含有非必要個人資料，但並不因此增加非接觸式信用卡在保安方面的風險。

中銀香港發言人昨日表示，已按照監管要求，暫停發出新非接觸式信用卡，並會盡快為客戶安排更換有關的信用卡。在確定具體安排後，會另行通知客戶。該行再次提醒客戶妥善保管信用卡，並留意月結單及由該行發出的信用卡交易短訊。

星展銀行亦表示，受影響的信用卡為擁有銀通功能的「payWave」卡，該行正與技術供貨商、信用卡機構和監管機構緊密合作，進一步提高客戶資料保障。該行也主動並及時向持卡客戶發出短訊，提醒「payWave」卡遠離智能手機，而在任何無卡付款交易後，該行也會實時以短訊發出交易提示予客戶。

金管局還表示，此次事件涉及由兩家供貨商提供的感應式信用卡，將客戶姓名儲存在卡內，在某些情況下，未授權人士可通過感應式讀取。按照目前有關銀行的評估，相關資料即使被讀取，也不會影響交易的安全性，而銀行也有涉及信用卡的監察機制。但金管局強調，事件可能涉及透露非必要的個人資料，故局方已向私隱專員公署通報事宜。

目前，香港個人資料私隱專員公署已對此展開循規審查，並提醒有關發卡銀行或機構需注意《個人資料(私隱)條例》下的數據保安規定，即數據用戶須採取切實可行的步驟，保障個人資料不會未經授權或意外地被查閱、處理、刪除、喪失或使用。

金管局又指，明白事件引起公眾關注在使用非接觸式信用卡一直存在風險。而金管局補充指，局方一貫的原則是在風險管理及用戶方便間取得平衡，而今次引發的關注涉及發卡機構及商戶層面的安排，也是其他地區共同面對的問題，當局會與發卡機構商討，進一步保障信用卡用戶。

財經事務及庫務局局長陳家強出席論壇後回應有關事件指，金管局已就有關信用卡被發現有保安漏洞作出指引，相信銀行會跟進事件，他認為新科技推出時往往要經歷適應過程，相信今次出現的漏洞能夠處理。