因为一次不小心的“身分证”遗失，市民可能在毫不知情下背负债务、信用破产和存款损失。近期传媒报道多宗市民“身分被盗（Theft of Identity）”，盗用者利用与受害人面貌相似，持盗用身分证开户、贷款，甚至衍生其他罪案。事实上，今年初积金局亦因骗徒利用高仿真身分证冒名以eKYC 注册“积金易”平台，决定停用 eKYC并仅限经“智方便”注册。这触发了笔者于本月3日向政府提出“市民身分被盗用的应对措施”的质询。银行帐户是市民财产的存放地之一，安全至关重要。面对层出不穷的诈骗手法，政府如何应对？笔者综合政府答复，分享观察与看法。

数据为本 洞察始成

政府表示在过去一年进行多次相关拘捕行动，其中一次瓦解了一个利用深伪技术换脸开户、涉清洗逾1.9亿元犯罪得益的本地诈骗集团并拘捕23人。然而，警务处目前未备存骗徒盗用身分主要方式的数字；金管局及个人信贷相关机构亦没有备存“身分被盗”对个人信贷纪录影响的具体数据。

据笔者观察，这种“未有备存相关数据”的现象是不同政府部门在提供数据时普遍面临的瓶颈。在AI时代，大数据是高效能治理的基石，更是政府更好应对如防骗等“道高一尺，魔高一丈”的社会问题的关键，若缺乏微观数据，决策便容易流于“防不胜防”的被动局面。政府成立“AI 效能提升组”正是推动数码转型、提升管治效能的契机，应在数据采集、备存与分析上善用AI技术，推动更完善的数据治理。

“智方便”赋能金融业筑牢防线

“智方便”是香港重要的数字基建，笔者自履职以来便不断倡议深化其应用，实现政府服务“一网通办”，并以数据为桥利民便商。据答复，截至今年5月底，“智方便”已接达超过1400 项政务服务，用户超过450 万名，逾八成采用“智方便+”。而进一步释放其利民便商庞大潜力的关键在于打通各部门之间和部门与机构之间的数据壁垒，加速行业的广泛应用。

金融机构的参与无疑不可或缺，银行开户的身分核实正是一个应用场景。技术上，“智方便”的多重身分认证（Step-up Authentication）功能已具备支援手机近场通讯（NFC）读取身分证晶片，与入境处资料库实时比对的能力。金管局亦计划于今年内开展测试将此功能逐步融入关键流程，透过容貌辨识与晶片双重把关，提升身分核实的安全性。有优化方向是好的，但此机制如何切合实际、便利可行，政府要多听业界声音。

开放“权威数据来源”的思考

据了解，不少“身分盗用”事件正因银行职员凭肉眼比对身分证与开户者容貌而引起误判。就此，内地金融机构可对接公安部的“全国公民身分证号码查询服务中心”，当银行上传客户身分证资料时，系统能即时比对公安部的数据库，获得来自政府的原始数据，即“权威数据来源”，反馈证件真伪及人脸匹配度，能更有效防骗，做法极具参考价值。

如前所述，“智方便”具备成为“权威数据来源”用例（Use Case）的基础。政府表示，“智方便”与内地系统性质不同，登记属自愿性质，若要采用多重身分认证功能，必须先取得已登记客户的同意。事实上，“数据可用不可见”早已成熟，如零知识证明（Zero-Knowledge Proof）等技术容许银行在比对时只获取“是/否”的二元反馈，而毋须读存市民的个人资料。而“智方便”与银行一样，与用户的使用条款一般订明为“防止或侦测罪案”等目的可用用户数据，这正是笔者质询当局平衡好利民便商和防止市民“身分盗用”的深意。

诚然，本港金融机构数量众多、规模不一，若要落地实践，可考虑率先向普遍没有实体分行的“数字银行”开放“权威数据来源”，兼顾数字金融发展与帐户安全。

转载自：明报经济版