2015.10.16 書面質詢—促關注非接觸式信用卡的個人資料安全保障

近日，香港媒體報導有銀行發行的部分非接觸式信用卡（如payWave和paypass信用卡）未符合保安要求，未能確保儲存在卡內被讀取的資料只限於必須的交易資料，而不包括用戶全名。對此，香港金融管理局亦稱已要求有關銀行暫停發出不符要求的信用卡，儘快通知受影響客戶，並須查證原因及採取補救措施，包括回收及更換有關的信用卡 [1]。

事實上，本澳亦有銀行發行上述可能涉及透露非必要個人資料的信用卡。就上述情況，經本辦事處職員實際測試，部分附設NFC（近場通訊）功能的智能手機，加上能在網絡隨意下載的手機應用程式（如「CardTest」）後，一經「拍卡」即可隔空讀取信用卡號碼、姓名及有效日期等資料。對此，若不法之徒有機會竊取資料後或可「碌爆卡」，卡主隨時損失慘重。

另外，對於信用卡所載持卡人資料的保護，澳門金融管理局於2013年11月8日發出的傳閱文件，已明確要求所有銀行必須採取適當加密措施予以保護 [2]。因此，監管當局實應儘快主動介入了解上述事件，督促相關銀行儘快交待詳情並作出適當處理，使持有同類型信用卡人士的個人資料得到更好的安全保障。

為此，本人提出以下質詢：

1. 請問行政當局，現時本澳金融監管機構對非接觸式信用卡（如payWave信用卡）內所載持卡人資料之保護有否專門的監管指引，使本澳銀行所發行的同類型信用卡符合上述傳閱文件中列明必須採取適當加密措施以保護卡內所載持卡人資料的要求，以避免出現資料外洩的風險？
2. 請問政行當局，針對上述事件，有否聯繫香港金融局理局了解相關情況，並要求本澳相關發卡銀行說明所發行的上述類型信用卡，是否同樣存在信用卡資料外洩的風險，並制定可能需要的補救措施預案，最大地保障相關持卡人的利益？
3. 請問行政當局，本澳現行的《個人資料保護法》（第8/2005號法律）的保障範圍是否已涵蓋這類新型信用卡（非接觸式信用卡，如payWave和paypass信用卡），未來如何因應科技發展情況，審視、修訂第8/2005號法律的適用範圍，使個人資料在本澳獲得更大範圍的保障？

[1]. 2015年10月13日，香港《明報》，

http://news.mingpao.com/ins/instantnews/web_tc/article/20151013/s00001/1444751274516

[2]. 澳門特區金融管理局，《自動櫃員機及銀行卡安全措施規定 （第021/B/2013-DSB/AMCM號傳閱

文件）》，http://www.amcm.gov.mo/rules_and_guidelines/laws/bank/Circular%120021-B-2013_Chn.pdf