香港逾百萬張信用卡存信息泄露風險 銀行卡安全性再引熱議

每經編輯 每經記者 沙斐    

每經記者 沙斐

近日，香港媒體報道稱，香港境內發現境內發行約125萬張具備非接觸支付功能的信用卡（IC卡），存在持卡人隱私信息泄露風險。對此，香港金融管理局已責成相關7家銀行盡快更換所有相關非接觸式信用卡。

事實上，針對IC銀行卡的安全性討論從來未斷，如具有NFC功能的智能手機，只要與金融IC卡在一段時間內保持近距離，就可以獲取持卡人的部分信息。

對此，多家銀行客服對《每日經濟新聞》記者表示，一些智能手機軟件無法獲取銀行IC卡上的關鍵信息，安全性有保障。

不少業內人士認為，支付方式簡單化、快速化是一個必然的大趨勢。在此基礎上，建議修訂相關規定，從保護持卡人個人信息的角度，明確限定可被NFC設備直接讀取的信息類別。

事件：

香港125萬張信用卡存在隱私泄露風險

據港媒報道，香港金融管理局16日公布，目前已發現香港境內發行約125萬張具備非接觸支付功能的信用卡，存在持卡人隱私信息泄露風險，由兩家國際卡組織提供。香港金管局已經責成相關7家銀行盡快更換所有相關非接觸式信用卡，估計整個換卡過程將持續數月。

據悉，7間涉事銀行包括中銀香港、交銀香港、中信銀行 (國際)、工銀亞洲、永隆銀行、星展(香港)及大新銀行，其中5家為香港中資銀行；涉及卡組織分別為Visa和萬事達（Master）。

香港金管局表示，將繼續與相關銀行和機構密切商討，作出妥善換卡安排，盡量減低客戶不便。

香港銀行公會署理主席梁兆基表示，被要求更換信用卡的7間銀行并不存在保安問題，更換原因是該批信用卡被手機程序讀到的數據超出金管局指引，如包括信用卡持有人全名，而手機程序能夠讀到信用卡號碼及到期日期，則合乎金管局指引，而所有非接觸式信用卡，仍然有機會被讀取該兩項數據。

梁兆基稱，只有信用卡號碼、到期日，以及持卡人全名并不足以構成交易，還需要卡背后的保安編碼，就算個別交易只須信用卡號碼及到期日兩項資料，金管局亦已發出指引，銀行需要發手機訊息予信用卡持有人，以核實交易，所以市民不用擔心信用卡保安問題。

調查：

銀行回應安全性可以得到保障

事實上，自IC銀行卡面世以來，有關其安全性的討論在內地也一直存在。如具有NFC（Near Field Communication）功能的智能手機，可以以支付寶等移動支付軟件為載體，只要與任何金融IC卡在一段時間內保持近距離，就可以獲取持卡人的部分信息。

據了解，NFC是一種短距高頻的無線電技術，已廣泛應用在眾多領域。目前，在我國，為了實現支付的便捷、高效，具備"閃付"功能的金融IC卡正在大力推廣中。

與磁條卡相比，IC卡安全性高，卡內敏感數據難以被復制，而且IC卡不僅具有普通磁條銀行卡所有的金融功能，還具備電子現金賬戶，支持脫機小額支付，可以使用非接觸界面，實現即刷即走的快速支付和智能卡手機支付。

據悉，支持IC卡的核心技術正是NFC。類似于交通卡，很多芯片卡都是基于NFC設計的。但是，并非任何具備NFC功能的設備都可以讀取卡片當中的各種內容，這是由信息的加密算法不同決定的。

《每日經濟新聞》記者從多家銀行客服處了解到，一些智能手機軟件只能讀取銀行IC卡上的部分信息，一些關鍵的信息則無法被讀取，安全性仍然可以得到保障。

交通銀行個人金融業務部總經理陶文告訴《每日經濟新聞》記者，目前，交行非接觸式銀行卡仍需要通過密碼支付，但在下個月會嘗試小額無密碼支付。

陶文指出，銀行在支付上一直在創新，金融貼合生活會是一個趨勢，支付將會簡單化、快速化。

盡管如此，有關銀行IC卡安全性問題仍不容小覷。對此，不少專業人士建議，修訂《中國金融集成電路（IC）卡規范》（PBOC規范），從保護持卡人個人信息的角度，明確限定可被NFC設備直接讀取的信息類別。督促各商業銀行修改金融IC卡中的數據項，在未嚴格加密的"標簽"空間，只保留用戶名與卡號，除去身份證號碼、交易次數、交易記錄等不必要的敏感信息。