香港逾百萬(wàn)張信用卡存信息泄露風(fēng)險(xiǎn) 銀行卡安全性再引熱議

每經(jīng)編輯｜每經(jīng)記者 沙斐    

每經(jīng)記者 沙斐

近日，香港媒體報(bào)道稱，香港境內(nèi)發(fā)現(xiàn)境內(nèi)發(fā)行約125萬(wàn)張具備非接觸支付功能的信用卡（IC卡），存在持卡人隱私信息泄露風(fēng)險(xiǎn)。對(duì)此，香港金融管理局已責(zé)成相關(guān)7家銀行盡快更換所有相關(guān)非接觸式信用卡。

事實(shí)上，針對(duì)IC銀行卡的安全性討論從來(lái)未斷，如具有NFC功能的智能手機(jī)，只要與金融IC卡在一段時(shí)間內(nèi)保持近距離，就可以獲取持卡人的部分信息。

對(duì)此，多家銀行客服對(duì)《每日經(jīng)濟(jì)新聞》記者表示，一些智能手機(jī)軟件無(wú)法獲取銀行IC卡上的關(guān)鍵信息，安全性有保障。

不少業(yè)內(nèi)人士認(rèn)為，支付方式簡(jiǎn)單化、快速化是一個(gè)必然的大趨勢(shì)。在此基礎(chǔ)上，建議修訂相關(guān)規(guī)定，從保護(hù)持卡人個(gè)人信息的角度，明確限定可被NFC設(shè)備直接讀取的信息類別。

事件：

香港125萬(wàn)張信用卡存在隱私泄露風(fēng)險(xiǎn)

據(jù)港媒報(bào)道，香港金融管理局16日公布，目前已發(fā)現(xiàn)香港境內(nèi)發(fā)行約125萬(wàn)張具備非接觸支付功能的信用卡，存在持卡人隱私信息泄露風(fēng)險(xiǎn)，由兩家國(guó)際卡組織提供。香港金管局已經(jīng)責(zé)成相關(guān)7家銀行盡快更換所有相關(guān)非接觸式信用卡，估計(jì)整個(gè)換卡過(guò)程將持續(xù)數(shù)月。

據(jù)悉，7間涉事銀行包括中銀香港、交銀香港、中信銀行 (國(guó)際)、工銀亞洲、永隆銀行、星展(香港)及大新銀行，其中5家為香港中資銀行；涉及卡組織分別為Visa和萬(wàn)事達(dá)（Master）。

香港金管局表示，將繼續(xù)與相關(guān)銀行和機(jī)構(gòu)密切商討，作出妥善換卡安排，盡量減低客戶不便。

香港銀行公會(huì)署理主席梁兆基表示，被要求更換信用卡的7間銀行并不存在保安問(wèn)題，更換原因是該批信用卡被手機(jī)程序讀到的數(shù)據(jù)超出金管局指引，如包括信用卡持有人全名，而手機(jī)程序能夠讀到信用卡號(hào)碼及到期日期，則合乎金管局指引，而所有非接觸式信用卡，仍然有機(jī)會(huì)被讀取該兩項(xiàng)數(shù)據(jù)。

梁兆基稱，只有信用卡號(hào)碼、到期日，以及持卡人全名并不足以構(gòu)成交易，還需要卡背后的保安編碼，就算個(gè)別交易只須信用卡號(hào)碼及到期日兩項(xiàng)資料，金管局亦已發(fā)出指引，銀行需要發(fā)手機(jī)訊息予信用卡持有人，以核實(shí)交易，所以市民不用擔(dān)心信用卡保安問(wèn)題。

調(diào)查：

銀行回應(yīng)安全性可以得到保障

事實(shí)上，自IC銀行卡面世以來(lái)，有關(guān)其安全性的討論在內(nèi)地也一直存在。如具有NFC（Near Field Communication）功能的智能手機(jī)，可以以支付寶等移動(dòng)支付軟件為載體，只要與任何金融IC卡在一段時(shí)間內(nèi)保持近距離，就可以獲取持卡人的部分信息。

據(jù)了解，NFC是一種短距高頻的無(wú)線電技術(shù)，已廣泛應(yīng)用在眾多領(lǐng)域。目前，在我國(guó)，為了實(shí)現(xiàn)支付的便捷、高效，具備"閃付"功能的金融IC卡正在大力推廣中。

與磁條卡相比，IC卡安全性高，卡內(nèi)敏感數(shù)據(jù)難以被復(fù)制，而且IC卡不僅具有普通磁條銀行卡所有的金融功能，還具備電子現(xiàn)金賬戶，支持脫機(jī)小額支付，可以使用非接觸界面，實(shí)現(xiàn)即刷即走的快速支付和智能卡手機(jī)支付。

據(jù)悉，支持IC卡的核心技術(shù)正是NFC。類似于交通卡，很多芯片卡都是基于NFC設(shè)計(jì)的。但是，并非任何具備NFC功能的設(shè)備都可以讀取卡片當(dāng)中的各種內(nèi)容，這是由信息的加密算法不同決定的。

《每日經(jīng)濟(jì)新聞》記者從多家銀行客服處了解到，一些智能手機(jī)軟件只能讀取銀行IC卡上的部分信息，一些關(guān)鍵的信息則無(wú)法被讀取，安全性仍然可以得到保障。

交通銀行個(gè)人金融業(yè)務(wù)部總經(jīng)理陶文告訴《每日經(jīng)濟(jì)新聞》記者，目前，交行非接觸式銀行卡仍需要通過(guò)密碼支付，但在下個(gè)月會(huì)嘗試小額無(wú)密碼支付。

陶文指出，銀行在支付上一直在創(chuàng)新，金融貼合生活會(huì)是一個(gè)趨勢(shì)，支付將會(huì)簡(jiǎn)單化、快速化。

盡管如此，有關(guān)銀行IC卡安全性問(wèn)題仍不容小覷。對(duì)此，不少專業(yè)人士建議，修訂《中國(guó)金融集成電路（IC）卡規(guī)范》（PBOC規(guī)范），從保護(hù)持卡人個(gè)人信息的角度，明確限定可被NFC設(shè)備直接讀取的信息類別。督促各商業(yè)銀行修改金融IC卡中的數(shù)據(jù)項(xiàng)，在未嚴(yán)格加密的"標(biāo)簽"空間，只保留用戶名與卡號(hào)，除去身份證號(hào)碼、交易次數(shù)、交易記錄等不必要的敏感信息。