控制金融IC卡中的NFC可读信息范围

02.07.2014  12:53

  随着金融IC卡的日渐普及,其安全问题也逐渐引起社会关注。近日,有媒体报道,具有NFC(Near Field Communication)功能的智能手机,可以以支付宝等移动支付软件为载体,只要与任何金融IC卡在一段时间内保持近距离,就可以获取持卡人的部分信息。此类报道见诸媒体之后,人民银行的不少分支机构都接到了各种咨询。为保证金融消费者的合法权益,维护银行卡支付安全与金融秩序,我们组织了专题调研,结果发现,当前金融IC卡确实在一定程度上存在泄露持卡人信息的隐患,但此风险在可控范围之内,能够以较低成本通过技术手段解决。

   可能被泄露的持卡人信息

  今年6月,有新闻报道指出,有人在无意中发现,将一些银行发行的金融IC卡放在具有NFC功能的手机附近,手机就能通过一些支付软件(如支付宝等),自动读出该IC卡持卡人的部分个人信息。其中包括发卡行、卡号、交易次数、最近10条交易记录、电子现金余额(不一定准确)等,有的还可以显示出持卡人的部分身份证号。我们按照新闻报道所述的方法操作,证实了这一现象的存在。

   IC卡信息被手机读取的原因

  NFC是一种短距高频的无线电技术,已广泛应用在众多领域。目前,在我国,为了实现支付的便捷、高效,具备“闪付”功能的金融IC卡正在大力推广中,而其核心技术正是NFC。由于NFC的硬件构成较为简单,设计和安装成本较低,目前三星、小米、索尼等手机的部分机型都支持NFC功能。当这样的手机和金融IC卡接近时,只要IC卡的芯片没有加密,理论上就可能读出芯片中保存的信息。

   可能泄露的信息范畴

  其实,包括新一代居民身份证在内,很多芯片卡都是基于NFC设计的。但是,并非任何具备NFC功能的设备都可以读取卡片当中的各种内容。这是由信息的加密算法不同决定的。新闻报道中指出了NFC手机只是读取了银行卡存储的一部分信息,如资金总额等仍然无法获悉。这是因为金融IC卡的芯片信息大多已经严格加密,但为了方便交易和第三方识别,各银行的金融IC卡中大多留出了没有严格加密的NFC“标签”空间,这一“标签”空间可以记录持卡人的用户名、发卡行、卡号、电子现金余额和交易记录等信息,因此可能被带有NFC功能的手机读取。

   存在的风险

  虽然如此,金融IC卡泄露个人信息的风险仍不容忽视。如果通过具备NFC功能的手机,读取到金融IC卡持卡人的开户行、卡号、近10次的交易记录等信息,手机持有者就了解了持卡人资金状况、消费习惯甚至一些商业秘密。不法分子可以用这些信息,在交易、诉讼等环节获得本不应有的优势;在特殊情况下,还可以用这些信息来回答发卡银行所设的安全问题,直接威胁账户资金安全。

   相关建议

  一是建议修订《中国金融集成电路(IC)卡规范》(PBOC 规范),从保护持卡人个人信息的角度,明确限定可被NFC设备直接读取的信息类别。督促各商业银行修改金融IC卡中的数据项,在未严格加密的“标签”空间,只保留用户名与卡号,除去身份证号码、交易次数、交易记录等不必要的敏感信息。

  二是从信息技术方面规范商业银行与第三方支付机构的合作,重点在合作协议中载明有关金融消费者个人信息保护的具体内容,对信息泄露的法律责任归属做出明确的区分。

  三是继续大力推动有关金融IC卡的知识普及工作,通过多种渠道,使金融消费者了解NFC功能并能够正确认识和使用NFC设备,在充分利用现代化支付技术带来便利的同时,增强风险防范和个人信息保护意识。

(责编:张樱兰)