網上支付防盜 第三機構重要防綫

評論版 2017/12/23

分享:

聖誕將至,購物送禮自然少不了。不過今年市民在「碌卡」之際,可能會聯想到月前多宗信用卡資料洩漏事件,包括11月縱橫遊旅行社遭駭客入侵,和10月渣打馬拉松有跑手報稱信用卡疑遭盜用。

隨着網上支付流行,市民的信用卡資料分散儲存在大大小小的機構,箇中的外洩風險,委實不能不防。

報失非免死金牌 疏忽須負責

過去市民信用卡若遭盜用,通常會與發卡機構聯絡並議定責任誰屬。現時香港對有關責任劃分的監管,主要依據行業守則,但部分保障消費者的條文在兩年前因《競爭條例》而暫停生效,或令部分市民擔心失去保障。此外,當愈來愈多第三方機構,如儲值支付工具進入支付市場,相關風險也需要消費者注意。

傳統智慧說,失卡要報失。金管局指出,只要該未授權交易發生在持卡人向發卡機構報失、或通知個人密碼遭洩漏之前,持卡人都可能要承擔損失。

不過,報失並非「免死金牌」。根據《銀行營運守則》(下簡稱「《守則》」),持卡人在持卡期間須善盡責任,否則有關損失仍須由持卡人承擔。這些責任包括不涉欺詐行為和嚴重疏忽、在發現卡和密碼被盜用或洩漏之後盡快向發卡機構報失、妥善保管卡和個人密碼等等。

至於何謂「嚴重疏忽」行為,《守則》上並無進一步界定。在電子銀行服務的部分,則提及客戶嚴重疏忽可包括在知情情況下,容許他人使用其設備或密碼;以及信用卡持有人「不應讓任何其他人士使用他們的卡或個人密碼」。因此部分市民在日常可能不以為意的行為,例如將信用卡借予家人使用,實際上也有機會被界定為「嚴重疏忽」。

美法例 為持卡人損失封頂

此外,《守則》有條文規定,如持卡人無任何欺詐或嚴重疏忽行為,亦在發現遺失或被盜去卡後盡快通知發卡機構,則持卡人就這類卡損失要承擔的責任限額不應超過500港元。

將持卡人的損失範圍「封頂」,自可令市民更安心,不過該條文因《競爭條例》而在2015年12月11日起暫停生效。事緣在《競爭條例》下,合謀定價,即由競爭者協議,而非各自訂定價,是一項嚴重反競爭行為。而《守則》是由香港銀行公會及存款公司公會聯合發布,可能為了規避觸犯《競爭條例》的風險。

金管局發言人回應智經查詢時指出,現時業界已與競委會進行多輪磋商和討論,會盡快向競委會提出申請,以確定《守則》為了遵守法律規定(即《銀行業條例》)的原因,可以獲得豁免《競爭條例》的相關規則。

局方已提醒所有銀行,《守則》內條文(包括暫停生效的條文)對消費者保障非常重要,銀行仍須繼續全面遵守,所以對消費者保障沒有構成任何影響。

在美國,有關要求是透過聯邦法律監管,非由行業自律組織制定。其《公平信用帳單法案》,是旨在讓消費者免受不準確的信用卡帳單和不公平的規定侵害,具體方式包括將持卡人要承擔的未授權交易責任,限制在50美元以內;以及若只是信用卡資料被盜用,而不是信用卡被盜去,持卡人便不需承擔任何被未經授權使用的責任。

支付工具資料庫 恐被入侵

然而,隨着網上支付盛行,掌握信用卡資料的,除了發卡機構和持卡人,也加入相當多第三方機構。要防範信用卡資料洩漏,各個諸多掌握龐大用戶資料的第三方機構,也是重要防綫。

所謂第三方機構,即發卡機構和持卡人之外,也掌握信用卡資料的機構。最常見如一般商戶。另一類掌握信用卡資料的第三方機構,是提供網上支付服務,作為消費者和商戶之間的中介。香港的儲值支付工具,正屬於這類第三方機構。

現時在本地發行儲值支付工具,都必須受到金管局發牌監管。其角色之一,是在獲得信用卡持卡人的資料後,讓持卡人可以通過支付工具的帳號付款消費。對持卡人來說,這種做法並非絕對安全,因為如支付工具的資料庫,也有被侵入的可能。

金管局發言人在回應我們查詢時則指出,儲值支付工具持牌人應對其穩健性負全責,應全數承擔在用戶並無錯失的情況下,其帳戶所儲價值的損失。持牌人應設有渠道,便利用戶及時舉報其帳戶資料外洩,或未經授權被使用的情況,並須迅速採取行動,以防帳戶被進一步盜用。

應對新經濟行為所暴露的信用卡資料失竊風險,實在考驗各方智慧。市民在聖誕購物之餘,亦須了解監管規定和風險控制法門,即使未能做到萬無一失,也可盡量避免成為竊賊們的聖誕老人,給他們大派禮物。

應對新經濟行為所暴露的信用卡資料失竊風險,實在考驗各方智慧,市民在聖誕購物之餘,亦須了解監管規定和風險控制法門。(資料圖片)

機構 : 智經研究中心

緊貼財經時事新聞分析,讚好hket Facebook 專版