全港數十萬張具感應式付款功能的信用卡爆發資料外洩大災難!繼中國銀行(香港)及星展銀行的payWave信用卡有洩露客戶私隱風險,金融管理局昨再揭露多五間銀行同樣有機會洩露客戶資料,據悉,涉事信用卡除具備感應式付款功能外,同時有銀聯通寶(簡稱銀通Jetco)櫃員機提款功能,當信用卡靠近部分流動應用程式時,可被讀取持卡人姓名及戶口等個人資料。金管局已要求相關銀行採取三項措施:暫停發出不符合要求的新卡、盡快通知受影響客戶、以及採取回收及更換相關信用卡等補救措施。個人資料私隱專員公署表示關注事件,已展開循規審查。
VISA及MASTER信用卡數年前已分別推出「payWave」及「PayPass」的感應式付款功能信用卡。根據VISA於一二年披露,當時具payWave功能的信用卡已發行逾一百萬張。今次信用卡外洩個人資料事件愈演愈烈,除星展及中銀外,金管局昨指,在十一間有發行感應式信用卡的銀行中,七間銀行發行的部分信用卡,當中包括交通銀行香港分行、中信銀 行(國際)等未符金管局於一二年針對非接觸式信用卡的要求,即銀行須確保儲存在卡內而可透過感應式讀取的資料,只限於必須的交易資料,但不包括用戶全名。
金管局又指,是次事件涉及由兩家供應商提供的感應式信用卡,將客戶姓名儲存在卡內,在某些情況下,未授權人士可透過感應式讀取。按照目前有關銀行的評估,相關資料即使被讀取,亦不會影響交易的安全性,而銀行亦有涉及信用卡的監察機制,但金管局指出,事件可能涉及透露非必要的個人資料,故局方已向私隱專員公署通報事宜。
除中銀及星展外,據了解,涉事發卡銀行還包括交通銀行香港分行、中信銀行(國際)等,均為提供櫃員機平台服務的銀通會員,銀通安排兩間印卡供應商印製非接觸式信用卡時,銀行提供卡面的客戶姓名、卡號及到期日等資料。銀行曾要求供應商按金管局要求儲存卡內資料,經測試亦確定無違反當局要求。不過,今次發生洩露客戶資料危機,疑是供應商系統未能將客戶資料加密,有銀行為此震怒,已要求銀通查證原因及交代。本報記者向銀通查詢,惟至截稿前未有回覆。
事件引起個人資料私隱專員公署關注,署方已展開循規審查,並提醒有關發卡銀行或機構需注意《個人資料(私隱)條例》下的資料保安規定,即資料使用者須採取切實可行的步驟,保障個人資料不會未經授權或意外地被查閱、處理、刪除、喪失或使用。公署將據循規審查結果提出建議,協助他們符合規定。
星展銀行指,受影響信用卡為擁有銀通功能的payWave卡,星展支持金管局指引,並與相關技術供應商、信用卡機構和監管機構緊密合作,進一步提高客戶資料的保障。星展亦主動並及時向持卡客戶發出短訊,提醒他們保管payWave卡,確保遠離其他智能手機,而在任何無卡付款交易後,星展亦會即時發出交易提示短訊予客戶。中銀回覆指,已作出計劃逐步淘汰相關信用卡。