【消委會】支付寶HK永久保留客戶資料或違個人私隱條例
流動支付服務愈趨普遍,不過就隱藏個人資料外洩風險。消委會檢視市面 10 款流動支付服務,其中 3 個服務商會保留客戶的個人資料達 7 年,而「支付寶HK」則表明會永久保留用戶資料。 另外,部分服務在實際操作上設有各種限制,如用戶須在指定銀行開設帳戶或信用卡才可使用,又有商戶限制每次交易的金額等。
消委會調查指,用戶要求終止流動支付服務後,部分商戶會保留長達7年,包括「交通銀行流動付款服務」、「好易畀」及「TNG香港人的電子錢包」,而淘寶的「支付寶HK」則會永久保留用戶資料,消委會指該做法可能不符合處理個人資料原則。
收集個人資料受料個人私隱條例保障
現時商戶收集個人資料,受到《個人資料(私隱)條例》的保障,不過根據條例規定,資料的保留時間不應超過達到原來目的的實際所需。當個人資料的使用目的再不符原初持有的目的,服務商須刪除,如遺反上述條例,可被罰款。
在個人資料保障上,除一般的個人資料外,有服務商亦會要求用戶在申請開戶時,提供如身分證、地址證明或信用卡的副本等個人資料。「TNG香港人的電子錢包」及「WeChat Pay香港錢包」則視乎用戶級別或使用金額,要求提供不同程度的個人資料。如要獲得更多使用服務的權限、會員級別、交易上限,就要提供更多個人資料。
QR Code及NFC有被盜取個人資料風險
現時各款支付服務主要以 QR Code(二維碼)及 NFC(近場通訊)等非觸式傳輸科技作交易的方式,但兩者都各有風險。用戶掃描偽冒的 QR Code 後,會被引導至惡意網站或下載病毒,從中盜取個人資料。讀卡器內的 NFC 標籤如沒有保護,不法分子可重寫標籤內容或惡意修改,或透過偽冒 NFC 閱讀器盜取交易內容。
消費會宣傳及社區關係小組主席許敬文提醒市民,使用流動支付服務前,先安裝 QR Code 安全檢查程式及抗惡意程式碼保安軟件,核對 QR Code 轉化的資料是否正確,亦不要隨意向他人披露個人QR Code。 而使用 NFC時,需檢查軟件確認所載入的指令或內容是否可信任,在支付款項前等候商戶提供清晰的過款資料以便確認交易,核對清楚付款資料,及使用付款或轉帳服務後,應把流動裝置中的 NFC 功能立即關閉。