因為一次不小心的「身分證」遺失，市民可能在毫不知情下背負債務、信用破產和存款損失。近期傳媒報道多宗市民「身分被盜（Theft of Identity）」，盜用者利用與受害人面貌相似，持盜用身分證開戶、貸款，甚至衍生其他罪案。事實上，今年初積金局亦因騙徒利用高仿真身分證冒名以eKYC 註冊「積金易」平台，決定停用 eKYC並僅限經「智方便」註冊。這觸發了筆者於本月3日向政府提出「市民身分被盜用的應對措施」的質詢。銀行帳戶是市民財產的存放地之一，安全至關重要。面對層出不窮的詐騙手法，政府如何應對？筆者綜合政府答覆，分享觀察與看法。

數據為本 洞察始成

政府表示在過去一年進行多次相關拘捕行動，其中一次瓦解了一個利用深偽技術換臉開戶、涉清洗逾1.9億元犯罪得益的本地詐騙集團並拘捕23人。然而，警務處目前未備存騙徒盜用身分主要方式的數字；金管局及個人信貸相關機構亦沒有備存「身分被盜」對個人信貸紀錄影響的具體數據。

據筆者觀察，這種「未有備存相關數據」的現象是不同政府部門在提供數據時普遍面臨的瓶頸。在AI時代，大數據是高效能治理的基石，更是政府更好應對如防騙等「道高一尺，魔高一丈」的社會問題的關鍵，若缺乏微觀數據，決策便容易流於「防不勝防」的被動局面。政府成立「AI 效能提升組」正是推動數碼轉型、提升管治效能的契機，應在數據採集、備存與分析上善用AI技術，推動更完善的數據治理。

「智方便」賦能金融業築牢防線

「智方便」是香港重要的數字基建，筆者自履職以來便不斷倡議深化其應用，實現政府服務「一網通辦」，並以數據為橋利民便商。據答覆，截至今年5月底，「智方便」已接達超過1400 項政務服務，用戶超過450 萬名，逾八成採用「智方便+」。而進一步釋放其利民便商龐大潛力的關鍵在於打通各部門之間和部門與機構之間的數據壁壘，加速行業的廣泛應用。

金融機構的參與無疑不可或缺，銀行開戶的身分核實正是一個應用場景。技術上，「智方便」的多重身分認證（Step-up Authentication）功能已具備支援手機近場通訊（NFC）讀取身分證晶片，與入境處資料庫實時比對的能力。金管局亦計劃於今年內開展測試將此功能逐步融入關鍵流程，透過容貌辨識與晶片雙重把關，提升身分核實的安全性。有優化方向是好的，但此機制如何切合實際、便利可行，政府要多聽業界聲音。

開放「權威數據來源」的思考

據了解，不少「身分盜用」事件正因銀行職員憑肉眼比對身分證與開戶者容貌而引起誤判。就此，內地金融機構可對接公安部的「全國公民身分證號碼查詢服務中心」，當銀行上傳客戶身分證資料時，系統能即時比對公安部的數據庫，獲得來自政府的原始數據，即「權威數據來源」，反饋證件真偽及人臉匹配度，能更有效防騙，做法極具參考價值。

如前所述，「智方便」具備成為「權威數據來源」用例（Use Case）的基礎。政府表示，「智方便」與內地系統性質不同，登記屬自願性質，若要採用多重身分認證功能，必須先取得已登記客戶的同意。事實上，「數據可用不可見」早已成熟，如零知識證明（Zero-Knowledge Proof）等技術容許銀行在比對時只獲取「是/否」的二元反饋，而毋須讀存市民的個人資料。而「智方便」與銀行一樣，與用戶的使用條款一般訂明為「防止或偵測罪案」等目的可用用戶數據，這正是筆者質詢當局平衡好利民便商和防止市民「身分盜用」的深意。

誠然，本港金融機構數量眾多、規模不一，若要落地實踐，可考慮率先向普遍沒有實體分行的「數字銀行」開放「權威數據來源」，兼顧數字金融發展與帳戶安全。

轉載自：明報經濟版