【消委会】支付宝HK永久保留客户资料或违个人私隐条例

流动支付服务愈趋普遍，不过就隐藏个人资料外泄风险。消委会检视市面 10 款流动支付服务，其中 3 个服务商会保留客户的个人资料达 7 年，而“支付宝HK”则表明会永久保留用户资料。 另外，部分服务在实际操作上设有各种限制，如用户须在指定银行开设帐户或信用卡才可使用，又有商户限制每次交易的金额等。

消委会调查指，用户要求终止流动支付服务后，部分商户会保留长达7年，包括“交通银行流动付款服务”、“好易畀”及“TNG香港人的电子钱包”，而淘宝的“支付宝HK”则会永久保留用户资料，消委会指该做法可能不符合处理个人资料原则。

收集个人资料受料个人私隐条例保障

现时商户收集个人资料，受到《个人资料(私隐)条例》的保障，不过根据条例规定，资料的保留时间不应超过达到原来目的的实际所需。当个人资料的使用目的再不符原初持有的目的，服务商须删除，如遗反上述条例，可被罚款。

在个人资料保障上，除一般的个人资料外，有服务商亦会要求用户在申请开户时，提供如身分证、地址证明或信用卡的副本等个人资料。“TNG香港人的电子钱包”及“WeChat Pay香港钱包”则视乎用户级别或使用金额，要求提供不同程度的个人资料。如要获得更多使用服务的权限、会员级别、交易上限，就要提供更多个人资料。 

QR Code及NFC有被盗取个人资料风险

现时各款支付服务主要以 QR Code(二维码)及 NFC(近场通讯)等非触式传输科技作交易的方式，但两者都各有风险。用户扫描伪冒的 QR Code 后，会被引导至恶意网站或下载病毒，从中盗取个人资料。读卡器内的 NFC 标签如没有保护，不法分子可重写标签内容或恶意修改，或透过伪冒 NFC 阅读器盗取交易内容。

消费会宣传及社区关系小组主席许敬文提醒市民，使用流动支付服务前，先安装 QR Code 安全检查程式及抗恶意程式码保安软件，核对 QR Code 转化的资料是否正确，亦不要随意向他人披露个人QR Code。 
而使用 NFC时，需检查软件确认所载入的指令或内容是否可信任，在支付款项前等候商户提供清晰的过款资料以便确认交易，核对清楚付款资料，及使用付款或转帐服务后，应把流动装置中的 NFC 功能立即关闭。