——再谈信用卡“签名”和“密码”交易安全问题

　　关于信用卡消费到底是凭“签名”还是“密码”更安全的问题，在近几年一直处于社会争论的焦点中，引发了几次社会大讨论，而结果却是公说公有理、婆说婆有理，结果导致了信用卡的安全问题层出不穷，给持卡人带来了很大的困惑，甚至是经济损失。

　　回顾一下这个问题之争的历史演变过程，对于进一步了解这个问题的根源则是大有裨益的。中国早期发行的信用卡，虽然多数都是“准贷记卡”产品，但是由于特定的历史阶段，该产品的在交易过程中采用了国际惯例——签名，即便是招商银行在2002年首次推出双币信用卡时，也同样采用了这一惯例。2003年，原深圳发展银行信用卡上市时，打出了“使用交易密码的信用卡”这一宣传口号，凭密码交易的信用卡走上了历史舞台。在之后的几年时间中，凭签名和密码交易的信用卡并行发展，在2005年后逐渐形成了一种转变方式的热潮，开始追热信用卡凭密码交易方式。到今天，凭签名的交易方式已经越来越少，甚至在信用卡发行的时候已经默认为凭密码交易，似乎凭密码交易已经成为“大势所趋”。

　　信用卡交易方式的发展背景

　　信用卡交易到底是“签字”还是“密码“更安全?那么，先了解一下信用卡交易方式的历史背景。

　　信用卡在发展过程的很长一段时间里，从上世纪五十年代到八十年代，由于没有计算机技术的发展，现代信用卡交易过程中常用的POS联网交易系统尚未出现，信用卡无法像今天一样实现联网联机交易。因此早年的信用卡交易则一直采用脱机交易的“压卡机”来完成。

老式信用卡压单

 

　　“压卡机”的工作原理，是将卡片置入一个同等大小、深浅的卡槽内，上面覆盖多联具有复印功能的空白交易单，放好后，压卡机上有一滑杆可左右滑动。用力在覆盖交易单的卡片上左右滑压一次，卡片上凸起的卡号、姓名、有效期等信息就在交易单上显示出来。收银员核对后，通过收单银行人工获取该笔交易的授权号码，并在签单上说明该交易的授权号码、时间和金额，最后让持卡人签字确认，完成该笔交易。之后由收单机构将单据送交银行清算，银行再扣除持卡人账户内的款项。由于这种交易为脱机交易，银行无法实时控制持卡人的账户交易状况，很容易出现支付风险，发卡银行完全凭持卡人的个人信用和完善的社会信用体系进行约束。

　　今天，绝大多数的持卡人已经无法感受这种“压卡”方式的繁琐，也正是由于信用卡发展的早期所处这样一个背景，信用卡从开始之初就没有使用密码交易，持卡人只需要通过签名的方式来确认且保留至今。从这个背景情况看，信用卡凭签名交易的模式并非是一种“规定”，而是一种诚信制度，它也与国外较为健全的个人信用制度，以及较深厚的宗教信仰文化对个人的行为约束具有很大关系。

　　上世纪八十年代，中国引入信用卡产业之初，正是国外信用卡行业随着计算机行业的发展蓬勃兴起之时，“签名”交易的模式也随着信用卡业务一并引入，但是由于缺乏对信用卡产业的深入研究，没有考虑到“凭签名交易”与国外健全完善的国家信用制度之间紧密的联系，信用卡行业一直在摸索中缓慢发展。

　　随着计算机技术的发展，特别是网络技术的诞生，信用卡产业逐渐从脱机交易向POS的联网联机交易发展，银行可以通过网络系统了解到持卡人账户状况，由此可以实时监控持卡人在POS交易终端上的每一笔交易，将风险控制在一定范围之内。国内在上世纪九十代末期，POS交易终端逐渐得到普及，正是因为中国的信用卡产业起步晚、时间短，但却面临着比较高的发展层次的优势，正是交易机具的升级换代，让信用卡凭密码交易成为现实。

　　尽管国内外在技术上已经完全实现了POS交易终端的在线交易(仅在个别情况下还保留着脱机交易，如：民航班机)，但是凭签字交易的方式却在国外保留下来，这也是信用卡产品本身的特点所决定的。然而正是对国外信用卡产业缺乏系统、完整的研究，才导致了中国在凭“密码”还是“签名”方式上一直处于摇摆不定的状况中。

　　信用卡的“签名”和“密码”的交易方式之争，缘于蓬勃兴起的中国信用卡市场，特别是在2005年以后，信用卡犯罪现象逐渐成为了社会毒瘤，国内外信用卡犯罪组织以多种形式开始把目光对准了国内信用卡产业，信用卡安全问题日益成为持卡人所关注的焦点。

　　信用卡“签名”和“密码”之争的现实背景

　　在近几年信用卡市场呈现出爆发式发展，银行为了抢占市场份额，将重心放在发卡环节上，对于信用卡风险管理问题基本上处于“兵来将挡，水来土掩”的方式，特别是随着科技水平的提高，信用卡犯罪的案件日益严重，信用卡被盗刷的案件呈现出爆发式上升趋势。

　　2012年，上海静安区检察院信用卡诈骗犯罪案件135件137人，占本年度受理信用卡犯罪案件总数的96%，比上年同期分别增长108%和111%。所办理的以信用卡诈骗为主要类型的涉信用卡犯罪案件呈逐年增长趋势，2011年、2012年的案件数分别比上一年增长181%和134%。涉信用卡犯罪发案增速加快、易发多发，需要各方合力加以遏制和防范。

　　从2010年至今，北京西城区检察院共办理信用卡犯罪案件249件264人，2010年与2011年基本持平，2012年案件数激增到2011年的9倍，且新增案件中，绝大部分为信用卡诈骗案件。

　　广东省银监部门的数据显示，2011年以来银行克隆卡案件数目及金额翻倍增长，2011年中4家国有银行广东省分行涉及克隆卡的投诉高达1280件、涉及金额2919万元，分别比2010年增长9倍和5.7倍;2012年前2个月相关投诉已达425件、涉及金额667万元。

　　从上述仅仅涉及京、沪、穗三个主要信用卡市场的的数据中，我们就看到信用卡犯罪形式的严重性。所有信用卡风险的最终表现形式只有一个——盗刷，让信用卡的拥有者遭受经济损失。因此信用卡都具备了一些措施来防范风险，诸如“挂失零风险”、“失卡保障”等手段。

　　但是两种措施都具有缺陷，“挂失零风险”，只能防范在获知卡片失窃或遗失而向银行进行挂失以后可能产生的被盗刷风险，即银行受理并确认挂失手续生效后，信用卡再产生的全部经济损失将由银行承担。但是从实际情况来看，绝大多数造成经济损失的持卡人，都是在信用卡被盗刷后才发现信用卡已经遗失或被盗，损失几乎是无法挽回。

　　信用卡的 “失卡保障”服务，弥补了持卡人的信用卡挂失前一段时间的风险漏洞。然而研究一下各家银行相关条款后发现，这种保障服务附加了很多的条件限制，除设定了多项违规操作不予保障外，即便是正常的失盗卡，都需要完成一系列繁杂的手续：首先是要到公安机关报案并将报案回执送交信用卡中心，之后按照银行规定在一定时间内进行调查。正是这种调查多数只是由银行与公安机关之间进行，其结果对于持卡人来说存在很大的不确定性，失卡保障到底最后能不能让持卡人得到?“失卡保障”的定义到底是银行来界定还是由司法机关来界定?正是由于这种对相关规定理解上的分歧造成一些持卡人可能无法得到保障，因此，“失卡保障”服务对于正当持卡人来说本来是一件好事，却可能再次引发持卡人与发卡银行之间的矛盾。

　　然而，换个角度来看，银行在失卡保障的问题上也是有其苦衷的，即无法判定某笔交易不是持卡人自己主观所为然后谎称被盗用，至于相关的司法调查也限于诸多客观原因和条件，很难得出明确的结论来判定结果。正是有鉴于此，对于消费交易的争议，各家银行只能各自制定标准，有的银行采取先暂时不支付有争议的款项，待调查清楚后再作处理;有的银行采取用户先把有争议的款项缴纳后根据调查结果再做处理，以免计算利息或在征信系统留下逾期记录。作为银行主管机构的央行和银监会，在规范性文件中也并未明确界定信用卡风险问题造成的损失该由谁来承担。

　　因此，在众多因信用卡安全问题引发的司法诉讼中，也产生了多种判例结果，而根源最终都归结于盗刷风险到底是该以签名还是密码作为法律判定依据这一核心上，而不考虑持卡人的经济和精神损失问题。这种状况为持卡人带来极大的疑虑和困惑，也非常不利于信用卡行业健康有序的发展。

美国对信用卡安全问题的司法监管状况

　　在美国这种信用卡产业化极为成熟的市场中，由于有完善的信用法律体系，政府部门对信用卡行业管理中所起的作用非常有限，通过法律法规保障了信用卡持卡人“零风险”。

　　美国的《诚实信贷法》、《公平信贷结账法》，以及《信用卡发行法》中，都明确规定了合法持卡人如果对于某笔未经授权的消费或因失窃被盗刷造成的经济损失，持卡人最多负担50美元的费用，甚至不需要承担责任。法律作出这种规定的基础是相信绝大多数的持卡人是诚实的，且发卡银行在发行信用卡之前必须意识到信用卡的风险，有义务做好发卡前的信用调查，将信用卡发给“有信用”的人。

　　在《诚实信贷法》中对“非授权使用”的定义，几乎完全是有利于持卡人的政策——非授权使用的使用人不是持卡人、该使用人没有得到持卡人真实的或暗示的授权或者也不存在表见代理的情况，并且持卡人没有因为非授权使用而得利。实际上，这一法律将信用卡被非授权使用情况的风险完全放在接受信用卡作为支付手段的商家、处理信用卡支付使用凭证的商业银行及发卡人的头上。

    难道美国之所以对信用卡持卡人如此“友善”吗?

　　陈立彤律师在《为什么持卡人责任只有50美元?》一文中，对此进行了详尽的阐述，只有银行来承担信用卡诈骗、伪造和丢失所造成的损失，更符合经济学上的效率原则：

　　1. 损失分摊原则：银行可以在其众多的银行产品中分摊损失所带来的成本;

　　2. 损失减少原则：可以促使银行加强支付系统的安全以减少损失;

　　3. 损失强加原则：因为法律强制银行来承担损失，则人为地减少争议解决的成本。

　　这三个原则表达了几层意思：企业有能力和义务承担损失或分摊损失，而个人是无法做到的;企业承担责任，有利于推动企业科技创新意识，提高风险防范水平;企业承担责任，有利于让用户的风险损失减少到最低。

　　当然美国的银行之所以可以做到，完全是基于美国完善的司法与信用制度基础之上的，在《诚实信贷法》中对于恶意欺诈使用信用卡的行为，也规定了严厉的刑事责任，一旦持卡人被证明恶意欺诈使用信用卡，将承担严厉的法律制裁，并影响其信用记录，让这种行为人得不偿失。

　　由此可见，当持卡人的风险责任降到最低点，持卡人就会自愿使用信用卡、敢于使用信用卡，从而扩大了信用卡的数量和交易额，才能为银行带来了丰厚的利润。这些利润反过来也足以抵消这些貌似对银行不友善的规定、审判带来的风险。因此，可以说，正是美国完善的司法和信用制度，是保障美国信用卡业务走上了良性循环的根本。

　　建立制度性风险承担机制是解决信用卡安全问题的核心

　　回到本文的话题上，在之前关于信用卡交易中“签名”还是“密码”更安全的争论一直延续。中国的信用卡在近几年飞速发展过程中，却一直没有重视信用卡产业化发展的系统化研究，将“签名”和“密码”这一涉及信用卡安全的核心问题与建立完善的信用制度和法律制度的问题割裂开，从而导致这场争论永远“无解”，而信用卡安全问题导致的经济损失引发的司法诉讼却愈演愈烈

　　笔者从“签名派”倒戈到“密码派”，并非说明笔者支持哪一派，而是充分的意识到到，在目前中国信用卡的用卡环境之恶劣而不得不为之的选择。综合前面所述，信用卡签名认证方式，必须是以完善健全的信用卡产业相关的司法与信用制度为基础，失去了这个基础，这一模式是无法从根本上保障持卡人用卡安全问题的。尽管某些银行推出“签名”方式下的“失卡保障”服务，市场中也有一些财产保险产品中包含了信用卡损失，但是这一服务多有限制性条款，甚至最终的责任界定问题存在着很大的“不确定性”，从而依旧无法为持卡人带来真正意义上的“无忧用卡”。

　　虽然在“密码”方式下，银行规定如果出现风险情况，将由持卡人承担全部责任。相比较在签名模式下的很多不确定因素而言，密码方式却显得简单、明确、易操作，符合前文所述的“损失减少原则”，当然这种损失针对的是时间和精力损失情况下的无奈选择，并非好的选择。

　　对于信用卡安全问题中各种风险的方式，作为正当持卡人来说是无力能够防范和规避的，如果出现了风险后既要承担可能的经济损失带来的伤害，还要承受与相关部门繁琐的处理中，以及并不确定的结果所面临的二次伤害，这对于正当持卡人是极为不公的，对信用卡产业发展更为不利。因此，单纯地争论信用卡交易凭“密码”还是“签名”更安全这一问题，实际上是陷入了一个无解的命题之中，才使得银行更愿意选择“推卸”的方式来降低或减少自身所承担的风险责任。这也是导致众多的涉及信用卡安全问题的司法讼诉结果存在着大量的社会争议的原因，也是信用卡产业经常受到诟病的原因之一。

　　前不久，微博上流传了一则消息称，一位信用卡被盗刷的网友，为自己维权追讨损失的经历，引发了微博的广泛关注。综合很多网传的一些类似的银行卡案例来看，客观地说都具有一定的真实背景，而且由于银行目前所处的社会位置，这些案例无论是持卡人还是银行都无从查考，更增加了该类事件的“神秘性”。虽然此文被证明有“炒作”嫌疑，但是以银行安全问题和服务问题进行炒作，也不失为非常高超的营销手法，就目前信用卡安全角度来看，非常容易博得网民和社会公众的“眼球”，而银行只能为自身的这种服务BUG，默默地承受“炒作”所带来的负面影响。

　　简单地用“信用卡交易‘密码’还是‘签名’更安全”这一话题来判断信用卡安全问题，已经无法适应日益多样化的盗刷卡风险责任问题。对于绝大多数持卡人来说，用卡只需要便捷、安全，出了问题能够容易处理和解决。某些银行开通银联卡境外用卡的“签名”服务，这就存在着很大的困惑：该类卡在中国境外出现风险时，以什么标准控制风险?如果在境外可以按照国际通用标准控制风险，那么在中国境外出现风险问题时如何界定责任?这就出现了一个最重要的问题：境内以密码方式为准，境外又以签名方式为准，就出现了同卡的风险标准不统一的局面，持卡人该如何获得可能出现的风险保障。

　　因此，要想从根本上彻底解决信用卡安全问题，还正当持卡人一个安全健康的用卡环境，需要重新定位信用卡产业的经营理念，由央行牵头，商业银行、保险公司、征信机构等机构通过横向联合，建立起制度性的信用卡安全责任问题的承担机制，将信用卡风险问题得以顺利的化解，才是中国信用卡产业得到健康有序发展的核心。

   【我爱卡网原创内容声明】凡注明 “我爱卡网”来源作品（文字、图片、图表或音视频），在未经授权情况下，任何媒体及个人不得全部或者部分转载，文章中所载的信息材料及结论仅供用户作参考。