理財App索銀行密碼 金管局籲小心 強調不受監管 分析:新聞稿猶如免責聲明

文章日期:2018年11月13日

【明報專訊】近日國泰(0293)外泄客戶資料以及多宗手機錢包失竊案,惹起大眾對網絡安全的關注。金管局昨日突然發新聞稿表示,市面上有手機應用程式(App)可整合不同銀行的個人財務資料,當局強調這類服務不受金管局監管。分析認為,這類手機應用程式要求客戶輸入銀行帳戶的登入資訊,包括密碼,金管局此舉主要是提醒大眾相關風險,同時釐清一旦出事,非當局處理範圍。

明報記者 廖毅然

金管局表示,近日收到公眾查詢,稱市面上有服務供應商提供手機應用程式,用以整合公眾人士在不同銀行或儲值支付工具的個人財務資料,因此提醒市民,該類服務供應商未必與銀行或儲值支付工具有合作關係,所提供的服務亦不受金管局監管。

早前銀行澄清與gini沒合作關係

由於部分服務供應商會要求客戶提供銀行登入資料,金管局提醒,市民必須明白,用戶名稱及個人密碼是重要的個人資料,應小心保管。市民在選用這些服務時,必須明瞭對方如何收集、使用及保存客戶的個人資料,並清楚了解服務條款。

有業內人士解讀,事出並非無因,早在今年3月,本地初創企業gini聲稱可連接客戶在不同銀行的帳戶資料,一眾本地銀行隨即澄清與gini沒有合作關係,此事件已敲響警鐘。近日另一理財平台Planto在不同社交媒體刊登廣告,適逢國泰及電子錢包先後出事,估計因而引起金管局關注。

方保僑:雙重認證 不應隨便透露

現時,gini與Planto都提供整合不同銀行帳戶資料的服務,但兩者同樣要客戶先提供登入資訊,包括帳戶名稱與密碼(見圖),Planto更要求提供雙重認證密碼。香港資訊科技商會榮譽會長方保僑表示,雙重認證本身是客戶的最後防線,不應該隨便給予他人。他指出,儘管這類第三方平台聲稱有嚴謹的加密技術及不會儲存客戶資料,但「連國泰這類大公司都出事,沒有人可以完全保證,這些平台在獲取資訊的一刻是安全的」。他亦認為,金管局此舉猶如免責聲明,一旦出事,市民要自行向這類平台追討責任。

業界:第三方供應商也應納監管

有業內人士指出,金管局有必要加快開放API(應用程式界面)的步伐,若第三方服務供應商正式與銀行合作,可確保它們受銀行監管。不過,現時「讀取銀行帳戶資訊」屬於金管局在開放API的第三階段,未有明確的推行時間表。亦有業界表示,金管局應借鏡英國經驗,把第三方服務供應商納入監管範圍內,因為這類供應商處理大量金融資料,理應與金融機構一樣接受監管。

gini行政總裁及聯合創辦人衛理文表示,對金管局的回應表示支持,並鼓勵市民對數據安全提高警覺,妥善保管網上銀行資料。Planto至截稿時未有回應。

相關新聞