银行应该肩负起银行卡交易的安全责任
作者介绍:
董峥 信用卡领域资深研究人士
《中国信用卡》、《银行卡与受理市场》、《用卡时代》等专业杂志的特约作者。多年专注于信用卡行业发展、服务营销领域的研究,从事信用卡产品及服务营销的策划及市场工作,研究成果颇丰。发表数十篇信用卡专业文章,与大量的信用卡科普文章。现任职于我爱卡研究发展部。
正文:
中国人民银行公布的数据显示,到2012年底,国内银行卡数量已经达到35.3亿张。在发卡量继续维持着增速的同时,各银行也逐步加大了用卡的推动力度, 2012年银行卡跨行交易总额达到了21万亿元。银行卡已经成为了国民生活消费中重要的支付方式。
然而,就是在银行卡市场如火如荼地发展之际,有一个“症结”却始终难以逾越——银行卡安全问题。特别是在近几年来,这个问题越发加剧了持卡人与发卡银行之间的矛盾,“信用卡消费凭签名还是密码更安全”这一话题,就曾引发过几次社会大讨论,正是这一矛盾的集中体现。
从近几年各种媒体的公开报道中可以看到,随着银行卡市场产业化、科技化步伐的加快,银行卡安全问题和其发展的矛盾也日益突出,已经引发了大量的银行卡法律诉讼案件,银行卡市场的安全风险不断加大已是不争的事实,并且这种风险已经从持卡人的个人信用风险,蔓延到银行卡业务流程中的多个环节,形式上也从早期恶意透支、偷窃盗刷的方式,发展到利用科技手段开设钓鱼网站、在ATM及POS机具放置信息窃取设备、以通讯及网络交流工具诈骗等多种手段,通过窃取持卡用户的银行卡及个人信息,制作伪卡用于盗刷,甚至直接通过网络交易直接从事犯罪行为。有的犯罪分子公然采用冒领持卡用户申请的信用卡新卡或更新卡、在自助银行偷换持卡用户卡片,或直接在自助银行对持卡人实施抢劫等多种方式进行犯罪行为。
在银行卡犯罪方式不断花样翻新的情况下,反观中国的银行业对于银行卡风险的防范措施尽管也取得了一定的成绩,但不可否认的是,现行的金融管理体制和制度尚不健全,与银行卡安全管理相配套的法律、法规的建设严重滞后,可以说几乎是一片空白。这与国外完善的银行卡的管理制度相比较,存在着巨大的差距。毋庸置疑的是,如果银行卡安全问题得不到很好的解决,将不可避免地影响到持卡人安全用卡的信心,对整个产业的健康发展起到束缚的作用和不良影响。
一、银行卡交易风险的形式
银行卡交易过程中的风险问题,在近几年中其形式的变化之快、形式之多,已经让持卡人深深地感觉到风险似乎防不胜防,对持卡人在用卡过程中产生了恐惧感。银行卡交易风险的核心,就是通过窃取用户的卡号、交易密码、信用卡“后三码”,以及相关的个人信息,再通过技术手段复制该卡,或者直接用于网上交易的形式进行盗刷为目的,为持卡人带来经济损失。
目前银行卡交易风险的形式,主要表现为三种:
1、网络支付风险
随着近几年中国的电子商务发展迅猛,艾瑞咨询数据显示,2012年中国网络购物交易规模达到13040.0亿元,并仍呈上升趋势,有效地促进了国内的消费增长。而网购消费高速增长的“助推器”就是日益兴起的网上银行和第三方支付行业。网购消费由于其特定的结算手段,在其交易的数量和金额快速增长的同时,直接带动了网上银行和第三方支付行业的同步发展,根据易观智库的报告显示,截至2012年三季度末,国内网上银行交易规模已超过700万亿元,保守估计2012年全年规模已超过900万亿元。
但是,也正是网络支付市场规模不断扩大的同时,相应的网络支付安全问题也日渐突出。由于网络支付市场交易金额庞大,对犯罪分子具有极强的诱惑力。网络支付不同于传统的银行柜面业务,它在银行端和客户端之间通过开放的互联网连接,相比较银行计算机网络系统的安全性而言,用户客户端是网络支付风险的源头。大量的网络交易服务器又都是网上的公开站点,犯罪分子就可以利用他们掌握的计算机互联网技术,大肆而公开地进行犯罪活动。
网上支付风险的主要方式:设置“钓鱼“网站(包括银行网站、知名的销售类网站);通过网站链接、即时通讯工具等方式发送虚假链接网址、邮件和盗号软件等手段,用以骗取网购用户的信用卡信息。来自国家互联网应急中心的统计,从2010年开始,网络犯罪行为的趋利化特征明显,大型电子商务、金融机构、第三方在线支付网站成为网络钓鱼的主要模仿对象。这些状况让网购用户对网络支付的安全问题增添了更多烦恼。
易观国际的《中国第三方网络支付安全调研报告》对网络支付安全问题的主要类型进行了分析。调研数据显示,目前在网购用户面临的支付安全问题中,因“账户密码被盗”和“遭遇木马钓鱼”造成的资金损失占比分别达33.9%和24%,成为网民头号大敌。仅2011年第二季度,针对中国品牌的钓鱼攻击已占到全球总量的10%,次于美国的58%和英国的15%,排名全球第三位,甚至包括银行官方网站都被仿冒,网络安全问题的严重性已经日渐突出。尽管与网络支付庞大的市场规模相比,目前国内拥有网络支付账户且曾遇到过安全问题的用户比例不到万分之五,几率似乎显得微不足道,但对于用户而言则意味着百分之百的资金损失。现在,不仅网络支付面临着如此局面,与网络支付相关的移动终端类支付方式等新兴支付方式,都不可避免地要面临着严峻的网络安全问题。
2、银行卡终端风险
在信用卡消费不断受到网络安全威胁的同时,来自银行卡终端设备方面的风险也在悄然显现。
银行终端设备主要包括ATM机和POS机,它是银行卡完成交易的唯一手段。也正是这些银行终端设备的发明和使用,为银行卡的发展奠定了划时代的历史意义。随着银行卡业务的蓬勃兴起,银行卡终端设备也得到了飞速发展,ATM发展出多功能取款机、CRS存取款机、终端查询机等多种模式的设备;POS也已经发展出台式、无线式、非接触式、电话式、手机式等多种产品。这些设备的使用,改善了银行的经营环境,为持卡用户带来了便利,更为银行延展了服务时间和空间。
然而银行卡终端设备的大规模发展的背后,也同样为银行卡交易安全带来新的隐患,犯罪分子利用ATM机、POS机加装盗取银行卡信息设备盗取银行卡信息,进而制作“复制卡”进行盗刷的犯罪活动的案例也呈现上升趋势。仅据广东省银监部门的消息称,2011年以来,银行克隆卡案件数目及金额翻倍增长,2011年中4家国有银行广东省分行涉及克隆卡的投诉高达1280件、涉及金额2919万元,分别比2010年增长9倍和5.7倍;2012年前2个月相关投诉已达425件、涉及金额667万元。而银行卡被“克隆”案件数量激增与犯罪分子通过ATM机犯罪行为有很大关系,并且近年银行卡盗取信息及盗刷资金的情况,已经从ATM机向银行卡特约商户的POS机转移。
相比较在ATM机安装设施盗取银行卡信息而言,POS机的犯罪更为隐秘,只需要收银员在操作时即可完成,而绝大多数的持卡人很容易忽视刷卡过程中的信息泄密情况。窃取信息制作“复制卡”后进行盗刷或非法套现,为持卡人造成了财产损失,导致持卡人与银行间产生大量的法律纠纷,这已经引发了越来越多的社会关注。
3、自助银行盗抢风险
如果网络支付、银行卡机具为银行卡引发的风险问题,还只是犯罪分子为持卡用户造成 “不见面风险”的话,而在遍布城市街巷的自助银行中则隐藏着犯罪分子对银行卡用户形成了面对面的风险。
由于网络银行、银行卡机具犯罪需要一定的技术手段和银行卡知识,而自助银行的犯罪则相对简单和直接。从媒体已经公布的案件中,自助银行的犯罪成为银行卡犯罪的一大隐患,其形式包括:对正在操作的持卡用户“碰瓷”后将正在操作的银行卡掉包,或者直接对正在操作的持卡用户胁迫抢劫,甚至出现了在自助银行内实施了杀人抢劫的恶性案件。虽然这些恶性案件多数已经破获,但其造成的后果相当恶劣。这类案件的发生已经从晚间转向白天、从僻静地段发展到繁华地段、从离行式发展到在行式自助银行,对持卡人的安全造成直接的人身威胁。
更值得注意的是,相比较网络银行和银行卡机具的风险来说,尽管自助银行内安装了安防监控设备,但自助银行的盗抢风险具有不可预见的随机性和突发性特点,使得持卡人缺乏相应、有效的防范措施,导致这种盗抢风险在即时、瞬间就可能发生。从网络搜索中,可以得到上海、宁波、扬州曾发生过的几起自助银行内抢劫杀人案件的信息,前不久深圳某银行在行式自助银行在营业时间就发生了ATM抢劫案,更是把自助银行存在的安全问题完全地暴露出来。
二、银行卡交易风险的后果
近几年来,银行卡的风险问题越来越严重。实际上,银行卡风险和安全问题是世界上各个国家在发展银行卡产业过程中普遍遇到的极其重要又非常棘手的问题,其中信用卡的安全问题尤为突出。银行卡一旦出现了风险,将直接让持卡人遭受可能是无法弥补的经济损失,同时也影响到了金融机构的市场声誉,银行应该对银行卡的安全问题具有不可推卸的责任。就如同生产厂商必须要保证生产的产品质量的安全一样,一旦出现产品质量隐患就必须为消费者予以无条件的更换,甚至召回销毁。银行也同样应该树立持卡用户和普通商品的消费者具有相同地位的理念,而任何消费者在与企业较量中永远是处于明显的弱势地位。
针对银行卡安全问题,作为持卡用户而言,对银行卡的了解程度仅仅停留于正当合法的使用银行卡的水平,无论是银行卡的技术、知识等,都应该由靠银行卡产业中获取利润的受益者,即银行和银行卡组织,都有责任和义务为持卡用户正当合法的使用提供安全用卡环境和保障。然而国内在银行卡的用卡安全方面的表现并不令人满意。从过去的涉及银行卡的各种纠纷案例的结果来看,银行可以通过银行卡章程的“格式合同”和垄断地位,降低自身承担的责任和义务,将更多地风险转嫁给持卡人和特约商户。如果出现了矛盾和风险,银行可以通过“格式合同”中的相关规定极力撇清自身的责任,而大多数持卡人对银行卡专业知识缺乏深入的了解,同时银行卡行业没有类似《消费者权益保护法》的法律法规来保护持卡人权益,即便有些案例判定由银行来承担部分责任,但其却需要复杂的内部流程,最后实施也是大打折扣。因此,在很多纠纷中,最终都是处于弱势地位的持卡用户以“自认倒霉”的形式了结,这不能不说是中国银行卡产业的一个遗憾。
银行卡外部风险的表现形式比起内部风险,对持卡用户的伤害更为直接,相应的案例比比皆是:卡中存款被复制卡盗刷;网上支付帐号被窃,资金被转帐;持卡人在自助银行中银行卡被犯罪团伙掉包,甚至出现了在自助银行里胁迫取款人抢劫卡内资金,以及杀人的恶性案件。更关键的是在这类案件的处理上,很多结果都是对持卡人不利的,这些案件对持卡人的负面影响相当大。虽然银行方面对安全设施的投入逐年增加,但是有一个普遍现象一直没有得到重视,就是绝大多数的自助银行都没有银行的保安人员执守,特别是在晚间,自助银行很容易成为犯罪的场所。尽管其中配置了大量的监控摄像头,但盗抢案件发生的随机性,仍然令银行保安人员难以快速反应。
持卡用户对银行卡安全的担忧如果得不到解决,即便银行再大投入的安全设备,看起来都像是本末倒置。
三、国外对于银行卡安全问题的情况
从国外银行卡发展的情况来看,产业立法是行业健康有序发展的基础和保证。美国为银行卡,特别是为信用卡产业发展制订了将近二十个法律,形成了一套完善的法律体系,涵盖了业务链中所有环节,为美国信用卡产业的规模化、高速度发展起到了重要的促进作用,法国、德国、英国、日本等发达国家也具有较为完备的法律法规体系。
美国《借贷真实法》中规定,如果一个消费者的信用卡被非授权使用,该持卡人的法律责任最多为50美元。《借贷真实法》对“非授权使用”的定义:非授权使用的使用人不是持卡人、该使用人没有得到持卡人真实的或暗示的授权等情况、并且持卡人没有因非授权使用而收益。实际上该法将信用卡被非授权使用的风险完全放在接受信用卡作为支付手段的商家、处理信用卡支付凭证的商业银行及发卡人的头上。
在美国有关法律的约束下,银行作为信用卡业务的受益者,理应承担起产品的质量与安全责任,由银行来承担信用卡诈骗、伪造和丢失所造成的损失,更符合经济学上的效率原则:1、银行可以在其众多的银行产品中分摊损失所带来的成本;2、可以促使银行加强支付系统的安全防范意识和水平;3、因为法律强制银行来承担损失,则人为地减少争议解决的成本等等。因为任何消费者在与企业较量中永远是处于明显的弱势地位,而保护弱者更应该是政府的责任。如果持卡人利用这些保护措施的漏洞,使用信用卡恶意诈骗,可能会获得“小便宜”,但一旦被查实,将有可能获得重罪,与获得的“小便宜”相比就是得不偿失了。
也正是因为对持卡人提供了责任保护,从而让持卡人都愿意用信用卡、敢于用信用卡,扩大了信用卡的持卡量以及消费量,从而为银行带来了丰厚的利润。加上美国强大的征信系统以及合理的司法制度,使得整个社会的信用卡业务走上了良性循环。
四、银行卡外部风险的解决之路
银行卡市场的快速发展,使得银行卡风险发生的概率也越来越大,对此银行理应责无旁贷,银行卡交易风险的解决之路取决于银行对其防范意识的提高,以及是否敢于出台相应的法律法规,对持卡人予以保护。
网络支付方面的风险除了持卡用户主观原因造成的风险外,网上银行因为银行巨大的财力物力投入,安全设施相当完备,那么网络支付很大部分的风险是来自于其它支付平台,尤其是在第三方支付呈燎原之势的今天,由于资金实力和技术实力等差异,除个别实力强大的支付平台外,多数支付平台显出参差不齐的局面。而第三方支付平台都需要网络银行提供接入服务,这就要求银行在选择合作的第三方网络支付平台时,需要对支付安全技术严格把关,避免与安全性能差的支付平台合作。
终端设备和自助银行的风险问题,银行应该提高管理级别,自助银行属于银行业务的延伸部分,银行有责任和义务保证在其营业范围内对持卡用户的银行卡、资金乃至人身安全提供保障。如果持卡用户因自助银行被盗取银行卡信息、遭遇抢劫等,导致出现了经济损失,银行就应该承担相应的“失职”责任。这就要求银行需要定时对ATM机进行人工的安全检查,防止犯罪分子安放盗取信息的设施;定期对特约商户的POS机进行抽检,检查商户是否存在通过POS机进行窃取银行卡信息的现象;对自助银行加派保安人员,如果对于离行式自助银行有难处,也应该保证在行式自助银行有保安人员值班到一定时间。
我国至今没有一部专门为银行卡、信用卡颁布的相关法律,只有几部管理办法和条例,还套用了包括《刑法》在内的其它法律的条文。在法律的权威性方面有所欠缺,这也是目前中国银行卡产业发展面临的一个棘手的问题亟待解决。
中国银行卡产业与国际上相比,起步晚、专业人才匮乏等特点,但正是因为这样,就更应该加快步伐,学习国际上的先进经验,追赶国际银行卡产业发展的步伐。银行卡安全是需要整个产业链共同面对的问题,银行与卡商、银行与卡组织、银行与银行,每一个链条之间都有相应衔接的标准问题。如果银行卡组织是这个游戏规则的制订者,发卡银行就是这个规则的执行者。信用卡安全无疑是一个系统工程,它与产业链上诸多环节密切相关,使信用卡风险降低是产业链中多种力量积极互动的结果。
五、银行应该为银行卡安全“铁肩担道义”
目前对于银行卡风险的研究,主要都是集中于对银行卡内部风险的发生、控制、预防、处理方面的研究,对于来自于银行卡外部风险的研究也更多的是从技术角度,而对于来自外部风险中类似发生在自助银行内针对银行卡盗抢风险的思考几乎是空白。究其原因,恐怕是由于银行把这类风险归类于普通刑事案件,忽视了从金融安全这样一个大的视野中进行深入、综合的研究,并失去了加强防范措施的动力。
银行卡无论是内部还是外部风险,对于持卡人而言只是资金的风险。作为银行应该“铁肩担道义”,担负起对银行卡风险的相关责任和义务,必须改变靠“格式合同”减少和降低自己的责任与义务的经营思想。国外的银行卡之所以健康发展的经验,中国银行卡产业是完全可以予以参考和借鉴的。
银行卡安全问题已经到了刻不容缓需要解决的时候,否则银行卡产业的发展就将大打折扣。因此为了中国银行卡产业的健康、良性、有序地发展,就亟待央行、银监会、银联,以及各商业银行出台更多措施,严格保护银行卡的用卡安全。
【我爱卡网原创内容声明】凡注明 “我爱卡网”来源作品(文字、图片、图表或音视频),在未经授权情况下,任何媒体及个人不得全部或者部分转载,文章中所载的信息材料及结论仅供用户作参考。
