Cookies 是好是壞

匯思

2010年10月15日

Cookies 是好是壞

不知道大家在上網瀏覽一些曾經到過的網站時,會否留意到那些網站會「記得」你,並以你上次瀏覽時相同的設置(如語言、字體大小、音量大小等)來展示網頁。這些網站能夠做到這點,相信是運用了「cookies」。「Cookies」是技術用語,指網站儲存在用戶電腦並載有某些數據的檔案。網站伺服器將「cookies」傳送至用戶的瀏覽器,而瀏覽器繼而會將「cookies」儲存在用戶的電腦。當用戶下次瀏覽同一個網站時,瀏覽器便會將該「cookies」傳回給網站伺服器。換言之,「cookies」讓網站在用戶的電腦儲存資料,並可於其後檢索。舉例來說,透過「cookies」,網站可以知道用戶是否首次瀏覽該網站。

雖然「cookies」的功能使網站更方便易用,但部分人士關注利用「cookies」收集資料可能引起私隱問題。我們認為若使用得宜,「cookies」能夠為網絡用戶帶來方便,瀏覽網站時可以更得心應手。

我們檢視了香港零售銀行的網上銀行服務,並沒有發現在使用「cookies」方面有任何引起我們關注的情況。目前全港有21間零售銀行提供個人網上銀行服務,全部都有使用「cookies」。它們使用「cookies」的主要目的是讓客戶在登入網上銀行帳戶的整段期間內(「對話期間」(session)),瀏覽器能與銀行的網站伺服器保持溝通(一般稱為「對話管理」(session management))。就個人網上銀行服務而言,儲存在客戶電腦內的「cookies」附有銀行在客戶登入時指派予客戶的識別標記,好讓銀行的伺服器能夠在整個對話期間識別客戶的身分。假如沒有這個識別標記,客戶在網站內每查看一個新網頁時,都可能需要重複提供登入資料證明(即用戶識別碼及密碼)。在互聯網世界裏,「cookies」是很普遍而且相對有效的對話管理方法。

有些銀行亦會運用「cookies」來記錄網上銀行使用情況的統計數據(例如登入網上銀行網站的訪客數目),以得出網站的綜合使用數據作內部研究用途。此外,亦有部分銀行運用「cookies」來儲存客戶的個人喜好(例如於網站選用的語言,或讓客戶選擇是否讓網上銀行登入頁預先填寫其用戶識別碼(但不是密碼),方便下次登入),以及決定應否向客戶提供某些網上銀行服務(例如有關用戶是否已登記使用相關服務)。

我們認為最重要的,是銀行使用「cookies」只為向客戶提供網上銀行服務,而儲存在「cookies」的數據並沒有轉移予第三方進行與提供網上銀行服務無關的目的或活動。在提供上文提及的各項功能時,「cookies」並沒有儲存或記錄可讓第三方識別或聯絡客戶的網上銀行密碼或個人資料(如客戶姓名、香港身分證號碼、電郵地址、電話號碼或聯絡地址等)。因此,零售銀行於個人網上銀行服務運用「cookies」應不會引起個人資料私隱方面的問題或對客戶的私隱造成影響。

有些客戶可能會問為甚麼有必要運用「cookies」,以及是否有其他方法提供網上銀行服務而無需在其電腦儲存「cookies」。據我們所知,在瀏覽互聯網的過程中的確可以使用其他方法進行對話管理,但這些方法可能會對客戶構成不便(例如每個步驟都要客戶提供密碼等用戶資料證明),又或者會帶來其他保安問題(例如在網頁的網址連結內加入對話識別標記1)。相比之下,運用儲存在用戶電腦的「cookies」進行對話管理是一個較為簡單、有效及普遍的方法。此外,如上文所述,提供個人網上銀行服務的零售銀行並沒有用「cookies」來儲存或記錄客戶的相關個人資料,而且使用「cookies」只是為了向客戶提供網上銀行服務。因此,我們認為目前零售銀行採用「cookies」作為管理網上銀行服務渠道的工具是一種適當的做法。

我也希望借此機會提醒大家在使用網上銀行服務時,要保持警覺,留意潛在保安問題,包括虛假銀行網站、欺詐電子郵件及其他威脅(如特洛伊木馬程式的襲擊)。正如我們多次指出,銀行客戶切勿經電郵內的超連結、可疑的彈出式視窗或其他可疑渠道登入網上銀行帳戶。客戶使用網上銀行時,應在瀏覽器的網址欄輸入銀行的網址,或將真正的網址記錄在瀏覽器的書簽內,藉此接駁至銀行網站。客戶亦應定期更改密碼,而且密碼亦不應過於簡單。金管局網站及大部分銀行的網站都載有關於網上銀行保安的詳盡資料及建議,供公眾參考。

我們亦鼓勵銀行客戶使用網上銀行服務時,使用銀行提供的雙重認證服務。雙重認證的其中一項重要保安措施,是銀行須在完成一項網上高風險交易後(例如轉帳至沒有登記的第三方帳戶),即時經其他有效途徑(如手機短訊)將交易資料通知客戶。銀行客戶應充分利用這項服務,核實交易資料,如發現任何可疑的未經授權交易,應立即通知銀行。只要銀行與客戶雙方都採取適當的保安措施,就可安心使用網上銀行服務。

整體而言,香港的網上銀行運作環境是安全的。然而,我們明白互聯網的技術環境不斷轉變,罪犯亦只會變得越來越狡猾。金管局會繼續密切留意網上銀行服務的最新發展及趨勢,並會不時檢討及在有需要時加強有關的管控措施。

助理總裁(銀行操守)
戴敏娜
2010年10月15日

1 即將對話識別標記附加入網頁的劃一資源定位址(URL)(即互聯網內一個網頁的地址,如http://www.example.com/abc/pgm?session_id=123)。

最新匯思
修訂日期 : 2010年10月15日