立法會十五題:開放應用程式介面
陳振英議員的提問問題:
香港金融管理局(金管局)近年就推動金融科技發展推出多項措施,其一為促進開放應用程式介面(開放API)的發展,以便銀行容許接達其系統的合作夥伴(例如信用卡公司、八達通卡有限公司、保險公司、旅行社及網購平台)取用其客戶的部分資料。就此,政府可否告知本會:
(一)鑑於有評論指出,當銀行透過開放API分享客戶的敏感資料時,確保資料保密及未被竄改至關重要,金管局有否就資料的提供及接收訂立規則及指引,供各方遵守;若有,詳情為何;若否,原因為何;
(二)金管局有否(i)要求資料提供及接收的雙方確保資料安全地傳送,避免使用間接的傳送方式(例如通過電腦伺服器上載及下載)和防止資料遺失和洩露,以及(ii)就此制訂相關技術指引;若有,詳情為何;若否,原因為何;及
(三)鑑於銀行一般須取得其客戶同意才可把與其有關的資料與第三者分享,並確保其客戶持續了解資料分享的狀況,金管局有否計劃提醒公眾注意敏感資料的安全性,以決定同意銀行把哪些與其有關的資料與第三者分享;若有,詳情為何;若否,原因為何?
署理財經事務及庫務局局長陳浩濂的書面答覆:
主席:
就問題的三個部分,現綜合回覆如下:
香港金融管理局(金管局)非常重視「開放應用程式介面」下的數據安全和完整性,因此在今年一月份推出的「開放應用程式介面」諮詢文件有就如何保障資料提出方向性建議,以及向業界收集意見。
與此同時,金管局計劃在正式公布「開放應用程式介面」框架後,要求銀行界訂立一套以風險為本的保安和運作規則給予數據的提供方(即銀行)及接收方(即服務提供商)遵守,當中包括使用國際認可的技術準則來保障資料傳送的安全,例如對外網絡的資料傳送必須使用強化的加密算法,完善的加密鑰匙管理及以足夠的措施來保存和驗證信息的完整性等,以確保「開放應用程式介面」的運作有足夠的安全及保護措施。
金管局亦計劃在銀行推出「開放應用程式介面」後,聯同業界進行公眾教育並提供資訊,以提高公眾對個人資料分享利弊的認識,從而在選擇和使用「開放應用程式介面」的產品或服務時能夠作出明智的選擇。
同時,任何機構如涉及收集、持有、處理及使用個人資料,作為資料使用者亦必須符合《個人資料(私隱)條例》(第486章)的要求。