網上銀行的 cookies 私隱

香港網上銀行服務提供和存取 cookies 本身並不涉及個人資料和私隱問題,原因十分簡單,因為銀行的伺服器一早已存有網上銀行服務所需的個人和私隱資料,所以銀行無需把有關資料存放在 cookies 本身數值之內,這 cookies 或其他替代方案也不會協助銀行或他人把你的個人資料交給第三者。有關資料只會在我們透過網上銀行服務發出要求,才會透過 SSL 加密通訊,從網頁伺服器傳送至你的瀏覽器上。而且 cookies 是由銀行的伺服器發出,而不是用家自行建立或提供。

根據這些論點,擔心銀行 cookies 引起個人資料和私隱問題的說法實屬白痴

信用卡更危險??

在轉載 ShawTim 駁斥該說法的 blog 文時,我也不禁說到:

實體信用卡比網上銀行 cookies 更危險(認真的),剪哂D信用卡呀笨。 LOL

網上銀行 cookies 本身的數值是會改變的,用戶在每次登入時,也會從銀行伺服器取得新的 cookies 來代表是次交易操作,在用戶登出或超越是次交易操作時間(例如半小時),cookies 有效期也會結束,expire 了。

而實體信用卡本身的號碼是不會改變的,除非重新申請,否則信用卡號碼是不會改變的。如果擔心銀行 cookies 引起私隱問題,不如取消信用卡吧。信用卡有「更大」機會引起私隱問題,甚至「容易」讓人盜用信用卡號碼,然後卡主名義付錢購物。

回應事件

明報在 9 月 22 日報導香港 IT 界議員批評,各間香港銀行所提供的網上銀行服務強制存取 cookies,擔心侵犯私隱,促請銀行容許用家選擇。

網上銀行使用方便,但用戶隨時可能在不知情下泄露私隱。本報發現,本港多間網上銀行強制要求客戶同意存取 cookies(辨別身分的小型文字檔)始可登入帳戶,只說明是「改善服務」,並沒清楚說明收集之目的。資訊科技界立法會 議員譚偉豪批評銀行不應強迫用家讓銀行收集cookies,並擔心觸發私隱問題,要求加強收集cookies的透明度。

明報再於前天 10 月 10 日報導,私隱署查網上銀行「曲奇」條款,報導也指金管局「合理披露」定義模糊。

Cookies檔案常見於各種網站,傳統用途是辨別使用者身分,但同時亦可記下用戶上網紀錄,引發個人私隱問題。對於銀行 於網上服務使用 Cookies,金管局發言人表示,正向銀行方面了解,根據《監管政策手冊》,銀行有責任評估服務涉及的法律及信譽風險,備有妥善的監控措施,對於在網站 放置Cookies檔案,銀行有責任向客戶作「合理披露」。

我們飲一杯水,因為水裡有一些我們不清楚的雜質,所以我們「隨時可能在不知情下」對身體有害,「擔心觸發 起疾病來。

上述有關 Cookies 的說法和這個有關水的說法一樣,都是白痴的,可以說是邏輯上是全錯的。當不用 Cookies 而使用其他替代方案,一樣可以「記下用戶上網紀錄」,甚至更易泄露個人資料。

假如用家還是不太放心,可以使用 Firefox 網頁瀏覽器,並安裝一個名為 View Cookies 的附加元件來看銀行 cookies 的樣子。

香港資訊科技同業的無奈和氣憤

作為香港資訊科技同業的一員,我很關注這次 cookies 事件,感到無奈和氣憤。

我不明白香港一部份「沒水準」的資訊科技代表,無所事事地向大眾傳遞錯誤的科技知識。錯誤傳遞科技知識也令到一群「了解技術」的資訊科技專家和同業,無故白花時間去解畫。就算我和一眾同業朋友寫 blog 去評論事件,每人也需要花上數小時。假如事件刊登在一些國際資訊科技英文網站上,更會讓國際感到香港這一個國際商業城市的 IT 水平低落,缺乏該有的 IT 知識。

傳媒在這次事件中,明報錯信那個界別代表的意見,缺乏該有的 IT 知識而對公眾發表錯誤 IT 議題,令到該報和該記者未能正確證實意見的真確性,而報導錯誤事實,引起不必要的公眾擔憂,或製造成不必要的恐慌。

其他抱怨曲奇謬論齊齊講齊齊 blog 的文章