時事分析 | 公共行政及法制 | 2017-12-23 | 《經濟日報》

網上支付盛行 如何應對信用卡資料外洩風險?



聖誕將至,購物送禮自然少不了。不過今年市民在「碌卡」之際,可能會聯想到月前多宗信用卡資料洩漏事件,包括11月縱橫遊旅行社遭駭客入侵,致兩萬名客戶的信用卡資料外洩[1],還有10月渣打馬拉松有跑手報稱信用卡疑遭盜用,損失數千元。[2]隨着網上支付流行,市民的信用卡資料分散儲存在大大小小的機構,箇中的外洩風險,委實不能不防。

過去市民信用卡若遭盜用,通常會與發卡機構聯絡並議定責任誰屬。[3]現時香港對有關責任劃分的監管,主要依據行業守則,但部分保障消費者的條文在兩年前因《競爭條例》而暫停生效,或令部分市民擔心失去保障。此外,當愈來愈多第三方機構,如儲值支付工具進入支付市場,相關風險也需要消費者注意。

持卡人可能要承受報失前的未授權交易損失

根據《銀行營運守則》(下簡稱「《守則》」),若信用卡因被盜用而造成損失,首先要看信用卡被盜用的時間。如果是在持卡人收到信用卡之前,或是持卡人在向發卡機構報失之後,發卡機構應承擔全部損失。此外,如果有關損失是因為發卡機構的技術缺陷,例如終端機故障、或被偽造的信用卡蒙混過關,責任亦全在發卡機構。[4]

不過,報失並非「免死金牌」,《守則》指出,持卡人在持卡期間須善盡責任,否則有關損失仍須由持卡人承擔。[5]這些責任包括不涉欺詐行為和嚴重疏忽[6]、在發現卡和密碼被盜用或洩漏之後盡快向發卡機構報失[7]、妥善保管卡和個人密碼等等。[8]

至於何謂「嚴重疏忽」行為,《守則》上並無進一步界定。[9]在電子銀行服務的部分,則提及客戶嚴重疏忽可包括在知情情況下,容許他人使用其設備或密碼[10];以及信用卡持有人「不應讓任何其他人士使用他們的卡或個人密碼」。[11]因此部分市民在日常可能不以為意的行為,例如將信用卡借予家人使用,實際上也有機會被界定為「嚴重疏忽」。

業界營運守則存在灰色空間 尚待釐清

此外,《守則》有條文規定,如果持卡人無任何欺詐或嚴重疏忽行為,亦在發現遺失或被盜去卡後盡快通知發卡機構,則持卡人就這類卡損失要承擔的責任限額不應超過500港元。[12]將持卡人的損失範圍「封頂」,當然可令市民更安心,不過該條文因《競爭條例》[13]而在2015年12月11日起暫停生效[14],也令人擔心是否仍受保障。

競爭事務委員會(下簡稱「競委會」)指出,在具有競爭的市場,競爭者應該各自獨立地訂定價格。任何移除競爭者間價格變化的行為,均有可能損害消費者和其他營商者的利益,需要承擔觸犯《競爭條例》的風險。而在《競爭條例》下,合謀定價,即由競爭者協議,而非各自訂定價,是一項嚴重反競爭行為。[15]

由於《守則》是由香港銀行公會及存款公司公會聯合發布,可能為了規避觸犯《競爭條例》的風險,故在條例實施前將有關收費內容的章節煞停,其中包括上述為持卡人損失範圍「封頂」的條文。[16]當時金管局已敦促業界與競委會商議,並制訂一個長遠解決方案,以釐清存有灰色地帶的營運守則。[17]

金管局發言人回應智經查詢時指出,現時業界已與競委會進行多輪磋商和討論,並會盡快向競委會提出申請,以確定《守則》為了遵守法律規定(即《銀行業條例》)的原因,而可以獲得豁免《競爭條例》的相關規則。發言人又指,局方已提醒所有銀行,《守則》內條文(包括暫停生效的條文)對消費者保障非常重要,銀行仍須繼續全面遵守,所以對消費者保障沒有構成任何影響。

美國法律豁免持卡人資料被盜用的責任

在美國,有關要求是透過聯邦法律監管,非由行業自律組織制訂。其《公平信用賬單法案》(The Fair Credit Billing Act),是旨在讓消費者免受不準確的信用卡賬單和不公平的規定侵害[18],具體方式包括將持卡人要承擔的未授權交易責任,限制在50美元以內;以及若只是信用卡資料被盜用,而不是信用卡被盜去,持卡人便不需承擔任何被未經授權使用的責任。[19]

此外,美國聯邦貿易委員會(Federal Trade Commission)網頁上有提供書信範本[20],供持卡人寫信給債權人伸張法律權利。除非問題得到解決,否則債權人必須在收到投訴後的30天內,以書面確認收到投訴,同時須在90天內解決糾紛,其間持卡人可不支付涉及爭議的費用。[21]換言之,在網購流行的今天,美國法律會區分持卡人遺失實體信用卡,和單純信用卡資料被盜用的責任。

互聯網支付工具興起 駭客新目標?

然而,隨着網上支付盛行,掌握信用卡資料的,除了發卡機構和持卡人,也加入相當多第三方機構。要防範信用卡資料洩漏,責任已很難局限於發卡機構和持卡人。諸多掌握龐大用戶資料的第三方機構,也是重要防線。

所謂第三方機構,即發卡機構和持卡人之外,也掌握信用卡資料的機構。最常見的是一般商戶。[22]另一類掌握信用卡資料的第三方機構,是提供網上支付服務,作為消費者和商戶之間的中介。香港的儲值支付工具,正屬於這類第三方機構。

現時在本地發行儲值支付工具,都必須受到金管局發牌監管,除持牌銀行之外共有13家,其中包括八達通、支付寶、PayPal和微信支付。[23]其角色之一,是在獲得信用卡持卡人的資料後,讓持卡人可以通過支付工具的帳號付款消費。[24]對持卡人來說,這種做法並非絕對安全,因為支付工具的資料庫,也有被侵入的可能。

不過消費者也無需過分擔心,金管局發言人在回應智經查詢時指出,儲值支付工具「持牌人應對其儲值支付工具計劃的穩健性負全責,因此應全數承擔在用戶並無錯失的情況下其帳戶所儲價值的損失。持牌人亦應設有渠道便利用戶及時舉報其帳戶資料外洩或未經授權被使用的情況,並迅速採取行動以防其帳戶被進一步盜用。」

風險造就避險商機

除上述的第三方機構,信貸報告機構同樣掌握大量用戶的信用卡資料。早前美國的信貸報告機構Equifax便遭駭客攻擊,令近半美國人的私隱資訊和超過20萬張信用卡資料一舉被盜,引起軒然大波。[25]

資料愈集中,構成的風險雖然愈為巨大,卻也變相造就了一些商機。美國有信貸報告公司推出信用監察(Credit monitoring)服務,聲稱能夠幫助用戶控制資料洩漏的風險,例如讓用戶鎖定自己的信貸評級報告,如果有人在鎖定期間使用有關資料申請信用卡,用戶就會收到實時提醒;該服務又指會替用戶購買身份盜竊保險,賠償額最高為100萬美元。[26]該公司更聲稱擁有「暗網監察」(Dark Web Surveillance)技術,可每日掃瞄超過60萬個網頁,檢測是否有用戶的資料被盜取。[27]

引入互聯網保險 助分攤風險

不論上述措施能在多大程度上實行,再嚴密的監管和預防措施,總有百密一疏的時候,將風險分攤,減少衝撃,如引入創新的互聯網保險形式,是另一應對資料外洩的方式。

早前在港上市的內地互聯網保險公司眾安保險,就有推出「銀行卡盜刷險」,為持有內地金融機構發行銀行卡,提供盜用風險保障,受保的包括信用卡。投保者最低只需每年支付五元人民幣,便可得到一萬元賠付額[28],可涵蓋持卡人在報失前72小時內的資金損失。不過,該保險公司也作出聲明,謂有關損失如果是因為投保人或被保險人的故意或重大過失行為造成,將不予賠償。[29]所謂「重大過失行為」,是指「行為人不但沒有遵守法律規範對其較高要求,甚至連人們都應當注意並能注意的一般標準也未達到的行為」。[30]

應對新經濟行為所暴露的信用卡資料失竊風險,在在考驗各方智慧。市民在聖誕購物之餘,亦需了解監管規定和風險控制法門,即使未能做到萬無一失,也可盡量避免成為竊賊們的聖誕老人,給他們大派禮物。

1 「縱橫遊20萬客戶資料外洩 管理層鞠躬致歉」。取自蘋果新聞網站:https://hk.news.appledaily.com/breaking/realtime/article/20171108/57432457,最後更新日期2017年11月8日。
2 「渣馬跑手信用卡被盜用 或涉黑客假付款網 賽會准寄支票交報名費」。取自明報新聞網網站:https://news.mingpao.com/pns/dailynews/web_tc/article/20171014/s00001/1507918363538,最後更新日期2017年10月14日。
3 「信用卡遭盜用牙醫12分鐘失19.5萬」。取自昔日東方網站:http://orientaldaily.on.cc/cnt/news/20160512/00176_049.html,最後更新日期2016年5月12日。
4 「銀行營運守則」,香港銀行公會、存款公司公會,2015年2月,第31頁。
5 同4,第32頁。
6 同4,第32頁。
7 同4,第31頁。
8 同4,第28頁。
9 同4,第32頁。
10 同4,第39頁。
11 同4,第28頁。
12 同4,第32頁。
13 「《競爭條例》2015年12月14日起全面生效」。取自Youtube網站:https://www.youtube.com/watch?v=qfviBNs7CIw,最後更新日期2015年11月30日;「《競爭法》殺入銀行界 18項營運守則遭煞停(下)」。取自蘋果財經網站:https://hk.finance.appledaily.com/finance/realtime/article/20151222/54563289,最後更新日期2015年12月22日;「銀公避競爭法金管不滿」。取自昔日太陽網站:http://the-sun.on.cc/cnt/finance/20151222/00434_001.html,最後更新日期2015年12月22日。
14 同4,第32頁。
15 「合謀定價」。取自競爭事務委員會網站:https://www.compcomm.hk/tc/media/reports_publications/usefulresources_competition_1.html,查詢日期2017年11月16日。
16 「《競爭法》殺入銀行界 18項營運守則遭煞停(上)」。取自蘋果財經網站:https://hk.finance.appledaily.com/finance/realtime/article/20151222/54563270,最後更新日期2015年12月22日;「《競爭法》殺入銀行界 18項營運守則遭煞停(下)」。取自蘋果財經網站:https://hk.finance.appledaily.com/finance/realtime/article/20151222/54563289,最後更新日期2015年12月22日。
17 「銀公避競爭法金管不滿」。取自昔日太陽網站:http://the-sun.on.cc/cnt/finance/20151222/00434_001.html,最後更新日期2015年12月22日。
18 "Fair Credit Billing Act," Federal Trade Commission, https://www.ftc.gov/sites/default/files/fcb.pdf, accessed November 16, 2017, p.1.
19 "Lost or Stolen Credit, ATM, and Debit Cards," Federal Trade Commission, https://www.consumer.ftc.gov/articles/0213-lost-or-stolen-credit-atm-and-debit-cards, accessed November 16, 2017; "The Best Banks That Protect Your Money from Hackers and Thieves," Life Hacker, https://lifehacker.com/the-best-banks-that-protect-your-money-from-hackers-and-1523977088, last modified February 17, 2014.
20 "Sample Letter for Disputing Billing Errors," Federal Trade Commission, https://www.consumer.ftc.gov/articles/0385-sample-letter-disputing-billing-errors, accessed November 16, 2017.
21 "Disputing Credit Card Charges," Federal Trade Commission, https://www.consumer.ftc.gov/articles/0219-disputing-credit-card-charges, accessed November 16, 2017.
22 朱水林,《電子商務概論》(北京:清華大學出版社,2009年),第225頁至226頁。
23 「儲值支付工具持牌人紀錄冊」。取自香港金融管理局網站:http://www.hkma.gov.hk/chi/key-functions/international-financial-centre/regulatory-regime-for-svf-and-rps/regulation-of-svf/register-of-svf-licensees.shtml,查詢日期2017年11月16日。
24 同22,第226頁。
25 "Equifax data breach may affect nearly half the US population," cnet, https://www.cnet.com/news/equifax-data-leak-hits-nearly-half-of-the-us-population/, last modified September 7, 2017; "Equifax hackers possibly pilfered 200,000 credit cards at once," cnet, https://www.cnet.com/news/equifax-hackers-said-to-have-pilfered-200000-credit-card-accounts/, last modified September 14, 2017.
26 "Credit monitoring," Experian, https://www.experian.com/consumer-products/credit-monitoring.html, accessed November 16, 2017.
27 "Identity theft protection built around you," Experian, https://www.experian.com/consumer-products/identity-theft-and-credit-protection.html, accessed December 5, 2017.
28 「銀行卡盜刷險」。取自眾安保險網站:https://www.zhongan.com/p/85132614,查詢日期2017年11月16日。
29 「眾安在線財產保險股份有限公司個人帳戶資金損失保險條款」。取自眾安保險網站:http://static.zhongan.com/upload/online/bxtk/1449134467190_个人账户资金损失保险条款.pdf,查詢日期2017年11月16日,第1頁。
30 同29,第4頁。