Cookies 是好是坏

匯思

2010年10月15日

Cookies 是好是坏

不知道大家在上网浏览一些曾经到过的网站时,会否留意到那些网站会「记得」你,并以你上次浏览时相同的设置(如语言、字体大小、音量大小等)来展示网页。这些网站能够做到这点,相信是运用了「cookies」。「Cookies」是技术用语,指网站储存在用户电脑并载有某些数据的档案。网站伺服器将「cookies」传送至用户的浏览器,而浏览器继而会将「cookies」储存在用户的电脑。当用户下次浏览同一个网站时,浏览器便会将该「cookies」传回给网站伺服器。换言之,「cookies」让网站在用户的电脑储存资料,并可于其后检索。举例来说,透过「cookies」,网站可以知道用户是否首次浏览该网站。

虽然「cookies」的功能使网站更方便易用,但部分人士关注利用「cookies」收集资料可能引起私隐问题。我们认为若使用得宜,「cookies」能够为网络用户带来方便,浏览网站时可以更得心应手。

我们检视了香港零售银行的网上银行服务,并没有发现在使用「cookies」方面有任何引起我们关注的情况。目前全港有21间零售银行提供个人网上银行服务,全部都有使用「cookies」。它们使用「cookies」的主要目的是让客户在登入网上银行帐户的整段期间内(「对话期间」(session)),浏览器能与银行的网站伺服器保持沟通(一般称为「对话管理」(session management))。就个人网上银行服务而言,储存在客户电脑内的「cookies」附有银行在客户登入时指派予客户的识别标记,好让银行的伺服器能够在整个对话期间识别客户的身分。假如没有这个识别标记,客户在网站内每查看一个新网页时,都可能需要重复提供登入资料证明(即用户识别码及密码)。在互联网世界里,「cookies」是很普遍而且相对有效的对话管理方法。

有些银行亦会运用「cookies」来记录网上银行使用情况的统计数据(例如登入网上银行网站的访客数目),以得出网站的综合使用数据作内部研究用途。此外,亦有部分银行运用「cookies」来储存客户的个人喜好(例如于网站选用的语言,或让客户选择是否让网上银行登入页预先填写其用户识别码(但不是密码),方便下次登入),以及决定应否向客户提供某些网上银行服务(例如有关用户是否已登记使用相关服务)。

我们认为最重要的,是银行使用「cookies」只为向客户提供网上银行服务,而储存在「cookies」的数据并没有转移予第三方进行与提供网上银行服务无关的目的或活动。在提供上文提及的各项功能时,「cookies」并没有储存或记录可让第三方识别或联络客户的网上银行密码或个人资料(如客户姓名、香港身分证号码、电邮地址、电话号码或联络地址等)。因此,零售银行于个人网上银行服务运用「cookies」应不会引起个人资料私隐方面的问题或对客户的私隐造成影响。

有些客户可能会问为什么有必要运用「cookies」,以及是否有其他方法提供网上银行服务而无需在其电脑储存「cookies」。据我们所知,在浏览互联网的过程中的确可以使用其他方法进行对话管理,但这些方法可能会对客户构成不便(例如每个步骤都要客户提供密码等用户资料证明),又或者会带来其他保安问题(例如在网页的网址连结内加入对话识别标记1)。相比之下,运用储存在用户电脑的「cookies」进行对话管理是一个较为简单、有效及普遍的方法。此外,如上文所述,提供个人网上银行服务的零售银行并没有用「cookies」来储存或记录客户的相关个人资料,而且使用「cookies」只是为了向客户提供网上银行服务。因此,我们认为目前零售银行采用「cookies」作为管理网上银行服务渠道的工具是一种适当的做法。

我也希望借此机会提醒大家在使用网上银行服务时,要保持警觉,留意潜在保安问题,包括虚假银行网站、欺诈电子邮件及其他威胁(如特洛伊木马程式的袭击)。正如我们多次指出,银行客户切勿经电邮内的超连结、可疑的弹出式视窗或其他可疑渠道登入网上银行帐户。客户使用网上银行时,应在浏览器的网址栏输入银行的网址,或将真正的网址记录在浏览器的书签内,藉此接驳至银行网站。客户亦应定期更改密码,而且密码亦不应过于简单。金管局网站及大部分银行的网站都载有关于网上银行保安的详尽资料及建议,供公众参考。

我们亦鼓励银行客户使用网上银行服务时,使用银行提供的双重认证服务。双重认证的其中一项重要保安措施,是银行须在完成一项网上高风险交易后(例如转帐至没有登记的第三方帐户),即时经其他有效途径(如手机短讯)将交易资料通知客户。银行客户应充分利用这项服务,核实交易资料,如发现任何可疑的未经授权交易,应立即通知银行。只要银行与客户双方都采取适当的保安措施,就可安心使用网上银行服务。

整体而言,香港的网上银行运作环境是安全的。然而,我们明白互联网的技术环境不断转变,罪犯亦只会变得越来越狡猾。金管局会继续密切留意网上银行服务的最新发展及趋势,并会不时检讨及在有需要时加强有关的管控措施。

助理总裁(银行操守)
戴敏娜
2010年10月15日

1 即将对话识别标记附加入网页的划一资源定位址(URL)(即互联网内一个网页的地址,如http://www.example.com/abc/pgm?session_id=123)。

最新匯思
修订日期 : 2010年10月15日