时事分析 | 公共行政及法制 | 2017-12-23 | 《经济日报》

网上支付盛行 如何应对信用卡资料外泄风险?



圣诞将至,购物送礼自然少不了。不过今年市民在「碌卡」之际,可能会联想到月前多宗信用卡资料泄漏事件,包括11月纵横游旅行社遭骇客入侵,致两万名客户的信用卡资料外泄[1],还有10月渣打马拉松有跑手报称信用卡疑遭盗用,损失数千元。[2]随着网上支付流行,市民的信用卡资料分散储存在大大小小的机构,箇中的外泄风险,委实不能不防。

过去市民信用卡若遭盗用,通常会与发卡机构联络并议定责任谁属。[3]现时香港对有关责任划分的监管,主要依据行业守则,但部分保障消费者的条文在两年前因《竞争条例》而暂停生效,或令部分市民担心失去保障。此外,当愈来愈多第三方机构,如储值支付工具进入支付市场,相关风险也需要消费者注意。

持卡人可能要承受报失前的未授权交易损失

根据《银行营运守则》(下简称「《守则》」),若信用卡因被盗用而造成损失,首先要看信用卡被盗用的时间。如果是在持卡人收到信用卡之前,或是持卡人在向发卡机构报失之后,发卡机构应承担全部损失。此外,如果有关损失是因为发卡机构的技术缺陷,例如终端机故障、或被伪造的信用卡蒙混过关,责任亦全在发卡机构。[4]

不过,报失并非「免死金牌」,《守则》指出,持卡人在持卡期间须善尽责任,否则有关损失仍须由持卡人承担。[5]这些责任包括不涉欺诈行为和严重疏忽[6]、在发现卡和密码被盗用或泄漏之后尽快向发卡机构报失[7]、妥善保管卡和个人密码等等。 [8]

至于何谓「严重疏忽」行为,《守则》上并无进一步界定。[9]在电子银行服务的部分,则提及客户严重疏忽可包括在知情情况下,容许他人使用其设备或密码[10];以及信用卡持有人「不应让任何其他人士使用他们的卡或个人密码」。[11]因此部分市民在日常可能不以为意的行为,例如将信用卡借予家人使用,实际上也有机会被界定为「严重疏忽」。

业界营运守则存在灰色空间 尚待厘清

此外,《守则》有条文规定,如果持卡人无任何欺诈或严重疏忽行为,亦在发现遗失或被盗去卡后尽快通知发卡机构,则持卡人就这类卡损失要承担的责任限额不应超过500港元。[12]将持卡人的损失范围「封顶」,当然可令市民更安心,不过该条文因《竞争条例》[13]而在2015年12月11日起暂停生效[14],也令人担心是否仍受保障。

竞争事务委员会(下简称「竞委会」)指出,在具有竞争的市场,竞争者应该各自独立地订定价格。任何移除竞争者间价格变化的行为,均有可能损害消费者和其他营商者的利益,需要承担触犯《竞争条例》的风险。而在《竞争条例》下,合谋定价,即由竞争者协议,而非各自订定价,是一项严重反竞争行为。[15]

由于《守则》是由香港银行公会及存款公司公会联合发布,可能为了规避触犯《竞争条例》的风险,故在条例实施前将有关收费内容的章节煞停,其中包括上述为持卡人损失范围「封顶」的条文。[16]当时金管局已敦促业界与竞委会商议,并制订一个长远解决方案,以厘清存有灰色地带的营运守则。[17]

金管局发言人回应智经查询时指出,现时业界已与竞委会进行多轮磋商和讨论,并会尽快向竞委会提出申请,以确定《守则》为了遵守法律规定(即《银行业条例》)的原因,而可以获得豁免《竞争条例》的相关规则。发言人又指,局方已提醒所有银行,《守则》内条文(包括暂停生效的条文)对消费者保障非常重要,银行仍须继续全面遵守,所以对消费者保障没有构成任何影响。

美国法律豁免持卡人资料被盗用的责任

在美国,有关要求是透过联邦法律监管,非由行业自律组织制订。其《公平信用账单法案》(The Fair Credit Billing Act),是旨在让消费者免受不准确的信用卡账单和不公平的规定侵害[18],具体方式包括将持卡人要承担的未授权交易责任,限制在50美元以内;以及若只是信用卡资料被盗用,而不是信用卡被盗去,持卡人便不需承担任何被未经授权使用的责任。[19]

此外,美国联邦贸易委员会(Federal Trade Commission)网页上有提供书信范本[20],供持卡人写信给债权人伸张法律权利。除非问题得到解决,否则债权人必须在收到投诉后的30天内,以书面确认收到投诉,同时须在90天内解决纠纷,其间持卡人可不支付涉及争议的费用。[21]换言之,在网购流行的今天,美国法律会区分持卡人遗失实体信用卡,和单纯信用卡资料被盗用的责任。

互联网支付工具兴起 骇客新目标?

然而,随着网上支付盛行,掌握信用卡资料的,除了发卡机构和持卡人,也加入相当多第三方机构。要防范信用卡资料泄漏,责任已很难局限于发卡机构和持卡人。诸多掌握庞大用户资料的第三方机构,也是重要防线。

所谓第三方机构,即发卡机构和持卡人之外,也掌握信用卡资料的机构。最常见的是一般商户。[22]另一类掌握信用卡资料的第三方机构,是提供网上支付服务,作为消费者和商户之间的中介。香港的储值支付工具,正属于这类第三方机构。

现时在本地发行储值支付工具,都必须受到金管局发牌监管,除持牌银行之外共有13家,其中包括八达通、支付宝、PayPal和微信支付。[23]其角色之一,是在获得信用卡持卡人的资料后,让持卡人可以通过支付工具的帐号付款消费。[24]对持卡人来说,这种做法并非绝对安全,因为支付工具的资料库,也有被侵入的可能。

不过消费者也无需过分担心,金管局发言人在回应智经查询时指出,储值支付工具「持牌人应对其储值支付工具计划的稳健性负全责,因此应全数承担在用户并无错失的情况下其帐户所储价值的损失。持牌人亦应设有渠道便利用户及时举报其帐户资料外泄或未经授权被使用的情况,并迅速采取行动以防其帐户被进一步盗用。」

风险造就避险商机

除上述的第三方机构,信贷报告机构同样掌握大量用户的信用卡资料。早前美国的信贷报告机构Equifax便遭骇客攻击,令近半美国人的私隐资讯和超过20万张信用卡资料一举被盗,引起轩然大波。[25]

资料愈集中,构成的风险虽然愈为巨大,却也变相造就了一些商机。美国有信贷报告公司推出信用监察(Credit monitoring)服务,声称能够帮助用户控制资料泄漏的风险,例如让用户锁定自己的信贷评级报告,如果有人在锁定期间使用有关资料申请信用卡,用户就会收到实时提醒;该服务又指会替用户购买身份盗窃保险,赔偿额最高为100万美元。[26]该公司更声称拥有「暗网监察」(Dark Web Surveillance)技术,可每日扫瞄超过60万个网页,检测是否有用户的资料被盗取。[27]

引入互联网保险 助分摊风险

不论上述措施能在多大程度上实行,再严密的监管和预防措施,总有百密一疏的时候,将风险分摊,减少冲撃,如引入创新的互联网保险形式,是另一应对资料外泄的方式。

早前在港上市的内地互联网保险公司众安保险,就有推出「银行卡盗刷险」,为持有内地金融机构发行银行卡,提供盗用风险保障,受保的包括信用卡。投保者最低只需每年支付五元人民币,便可得到一万元赔付额[28],可涵盖持卡人在报失前72小时内的资金损失。不过,该保险公司也作出声明,谓有关损失如果是因为投保人或被保险人的故意或重大过失行为造成,将不予赔偿。[29]所谓「重大过失行为」,是指「行为人不但没有遵守法律规范对其较高要求,甚至连人们都应当注意并能注意的一般标准也未达到的行为」。[30]

应对新经济行为所暴露的信用卡资料失窃风险,在在考验各方智慧。市民在圣诞购物之余,亦需了解监管规定和风险控制法门,即使未能做到万无一失,也可尽量避免成为窃贼们的圣诞老人,给他们大派礼物。

1 「纵横游20万客户数据外泄 管理层鞠躬致歉」。取自苹果新闻网站:https://hk.news.appledaily.com/breaking/realtime/article/20171108/57432457,最后更新日期2017年11月8日。
2 「渣马跑手信用卡被盗用 或涉黑客假付款网 赛会准寄支票交报名费」。取自明报新闻网网站:https://news.mingpao.com/pns/dailynews/web_tc/article/20171014/s00001/1507918363538,最后更新日期2017年10月14日。
3 「信用卡遭盗用牙医12分钟失19.5万」。取自昔日东方网站:http://orientaldaily.on.cc/cnt/news/20160512/00176_049.html,最后更新日期2016年5月12日。
4 「银行营运守则」,香港银行公会、存款公司公会,2015年2月,第31页。
5 同4,第32页。
6 同4,第32页。
7 同4,第31页。
8 同4,第28页。
9 同4,第32页。
10 同4,第39页。
11 同4,第28页。
12 同4,第32页。
13 「《竞争条例》2015年12月14日起全面生效」。取自Youtube网站:https://www.youtube.com/watch?v=qfviBNs7CIw,最后更新日期2015年11月30日;「《竞争法》杀入银行界 18项营运守则遭煞停(下)」。取自苹果财经网站:https://hk.finance.appledaily.com/finance/realtime/article/20151222/54563289,最后更新日期2015年12月22日;「银公避竞争法金管不满」。取自昔日太阳网站:http://the-sun.on.cc/cnt/finance/20151222/00434_001.html,最后更新日期2015年12月22日。
14 同4,第32页。
15 「合谋定价」。取自竞争事务委员会网站:https://www.compcomm.hk/tc/media/reports_publications/usefulresources_competition_1.html,查询日期2017年11月16日。
16 「《竞争法》杀入银行界 18项营运守则遭煞停(上)」。取自苹果财经网站:https://hk.finance.appledaily.com/finance/realtime/article/20151222/54563270,最后更新日期2015年12月22日;「《竞争法》杀入银行界 18项营运守则遭煞停(下)」。取自苹果财经网站:https://hk.finance.appledaily.com/finance/realtime/article/20151222/54563289,最后更新日期2015年12月22日。
17 「银公避竞争法金管不满」。取自昔日太阳网站:http://the-sun.on.cc/cnt/finance/20151222/00434_001.html,最后更新日期2015年12月22日。
18 "Fair Credit Billing Act," Federal Trade Commission, https://www.ftc.gov/sites/default/files/fcb.pdf, accessed November 16, 2017, p.1.
19 "Lost or Stolen Credit, ATM, and Debit Cards," Federal Trade Commission, https://www.consumer.ftc.gov/articles/0213-lost-or-stolen-credit-atm-and-debit-cards, accessed November 16, 2017; "The Best Banks That Protect Your Money from Hackers and Thieves," Life Hacker, https://lifehacker.com/the-best-banks-that-protect-your-money-from-hackers-and-1523977088, last modified February 17, 2014.
20 "Sample Letter for Disputing Billing Errors," Federal Trade Commission, https://www.consumer.ftc.gov/articles/0385-sample-letter-disputing-billing-errors, accessed November 16, 2017.
21 "Disputing Credit Card Charges," Federal Trade Commission, https://www.consumer.ftc.gov/articles/0219-disputing-credit-card-charges, accessed November 16, 2017.
22 朱水林,《电子商务概论》(北京:清华大学出版社,2009年),第225页至226页。
23 「储值支付工具持牌人纪录册」。取自香港金融管理局网站:http://www.hkma.gov.hk/chi/key-functions/international-financial-centre/regulatory-regime-for-svf-and-rps/regulation-of-svf/register-of-svf-licensees.shtml,查询日期2017年11月16日。
24 同22,第226页。
25 "Equifax data breach may affect nearly half the US population," cnet, https://www.cnet.com/news/equifax-data-leak-hits-nearly-half-of-the-us-population/, last modified September 7, 2017; "Equifax hackers possibly pilfered 200,000 credit cards at once," cnet, https://www.cnet.com/news/equifax-hackers-said-to-have-pilfered-200000-credit-card-accounts/, last modified September 14, 2017.
26 "Credit monitoring," Experian, https://www.experian.com/consumer-products/credit-monitoring.html, accessed November 16, 2017.
27 "Identity theft protection built around you," Experian, https://www.experian.com/consumer-products/identity-theft-and-credit-protection.html, accessed December 5, 2017.
28 「银行卡盗刷险」。取自众安保险网站:https://www.zhongan.com/p/85132614,查询日期2017年11月16日。
29 「众安在线财产保险股份有限公司个人账户资金损失保险条款」。取自众安保险网站:http://static.zhongan.com/upload/online/bxtk/1449134467190_个人账户资金损失保险条款.pdf,查询日期2017年11月16日,第1页。
30 同29,第4页。