立法會會議 書面質詢 – 銀行電腦系統升級及應用生物認證技術

立法會十九題:銀行電腦系統升級及應用生物認證技術

陳振英議員的提問問題:

據悉,銀行不時進行電腦系統升級,以配合金融科技發展的需要。此外,越來越多銀行已經或計劃應用生物認證技術,藉使用客戶的生物特徵(包括指紋、聲音、虹膜及手指靜脈)驗證客戶身分。然而,有市民擔憂,銀行就電腦系統升級及引入生物認證前進行的測試不周全,以致有關系統及服務有疏漏,造成客戶銀行戶口的資料出錯或客戶的生物辨識資料外泄。就此,政府可否告知本會:

(一)相關監管機構有否向銀行發出關於進行電腦系統升級的實務守則並採取監察措施,以確保有關過程和升級後的電腦系統穩妥地運作;若有,詳情為何;若否,原因為何;及

(二)相關監管機構有否向銀行發出關於應用生物認證技術的實務守則並採取監察措施,以確保銀行客戶的生物辨識資料不會外泄或被濫用;若有,詳情為何;若否,原因為何?

 

 

財經事務及庫務局局長劉怡翔的書面答覆:

主席:

(一)香港金融管理局(金管局)對銀行進行電腦系統提升有明確要求,銀行須採取足夠措施確保其正常運作不會因為系統轉變而受影響,並將對客戶帶來的不便減至最低。在此過程中,金管局要求銀行作充分準備和測試,包括全面的「端對端」系統及驗收測試、性能測試、數據檢查等,並制定有效的應變方案,例如運作復原計劃及系統回退方案等。若系統提升會對銀行服務帶來較大影響,銀行須通知金管局,並應委任專家作獨立評估,確保銀行的準備工作完善。此外,銀行須給予客戶足夠通知,以便客戶早作安排。

(二)金管局要求銀行在推出生物認證服務時須遵守金管局的相關指引,確保銀行有足夠的風險管理及保安措施,保障客戶資料(包括個人生物辨識資料)的安全,並符合《個人資料(私隱)條例》(第486章)及個人資料私隱專員公署發布的相關指引的要求。

就系統保安措施方面,金管局要求銀行須不時進行入侵檢測和網絡保安滲透測試,並對服務供應商設置有效監控,以防止客戶資料因網絡攻擊而被盜用或外洩。在推出相關服務前,銀行須進行詳細的風險評估及測試,範圍應包括有關生物認證技術的成熟程度、其辨識客戶的準確度,以及登記和取消使用認證服務保安措施的成效。除特殊情況外,金管局一般會要求銀行委任獨立專家檢視其服務是否符合金管局相關指引的要求。