32亿张银行卡陷安全危机
法治周末记者 肖莎
卡在手里,钱没了。
遇到这倒霉事儿的不止赵洪琛一个人。
不久前的一天,赵洪琛人在北京郊区,他那张几乎未用过的工商银行信用卡如常躺在家里,工商银行95588客服电话却发来短信称,他用那张卡在网上消费了230元。
赵洪琛去银行要求拒付这笔款项,并未如愿。且在去跟银行交涉的短短两个小时里,赵洪琛就碰到了跟他有类似情况的3拨人:“其中一位大妈的情况是,她还没收到信用卡,却已经先收到1000多元的账单。”
“现在用银行卡太不放心了。”赵洪琛接受法治周末记者采访时反复说。
当我们把视线从这一家工行网点移向全国,会发现赵洪琛并不孤单。银行卡被盗刷的案例层出不穷,而赵洪琛看到的这些人及其遭受损失的金额,在银行卡被盗刷的群体中都只占很小的比例。就在今年7月,广州的一位朱女士的储蓄卡被盗刷金额高达596万元。
根据央行发布的《2012年第二季度支付体系运行总体情况》显示,截至今年第2季度末,全国累计发行银行卡32.25亿张。这个数字在上个季度末是31.02亿张。
3个月,1亿张卡,银行发卡的速度惊人。银行卡所遭受的危机也同样惊人。如此多的银行卡,需要怎样的技术升级、责任分担机制和法律体系,才能度过安全危机?
盗刷多因卡被克隆
“目前银行卡被盗刷的原因主要有3种:一种是银行内部工作人员泄露客户信息;一种是银行卡遗失或被抢;最后一种就是银行卡被克隆。但以最后一种情况居多。”中央财经大学中国银行业研究中心秘书长李宪铎告诉法治周末记者。
在广东省高院此前召开的克隆卡民事纠纷法律问题座谈会上,广东高院相关负责人透露,2011年广东省因银行卡疑似被克隆而向人民银行投诉的数量是2010年的近9倍;今年1到7月,广东省各法院新收的民事纠纷案件中因克隆卡而引起的纠纷数量上升最快。
来自广东省银监部门的消息称,2011年以来,银行卡克隆案件数量及金额在翻倍增长。仅2011年,工行、农行、中行、建行的广东省分行涉及克隆卡的投诉高达1280件,涉及金额2919万元,分别比2010年增长9倍和5.7倍。2012年前2个月相关投诉已达425件,涉及金额667万元。
“那么多银行卡被克隆,技术基础就是现在中国使用的银行卡普遍是磁条卡(以液体磁性材料或磁条为信息载体,将液体磁性材料涂覆在卡片上或将宽约614mm的磁条压贴在卡片上而制成的卡片)。”李宪铎说。
磁条卡曾因信息读取简单、成本较低,而被普及使用。然而随着技术的进步,磁条卡被克隆的手段也随之跟进。
法治周末记者在采访中发现,目前盗刷磁条卡的技术已经比较成熟,甚至可以说盗刷银行卡是轻而易举。如果在百度搜索中键入“银行复制器”,即可发现有很多兜售克隆卡设备的帖子。
“一套设备包括银行卡信息采集器、复制器、摄像头、空白卡等,只需要8500元,可无限量复制磁条卡。”一位自称兜售新型银行卡复制设备的王先生告诉记者。
在王先生口中,复制银行卡是一本万利的生意。要先找人在POS机或ATM机上安装采集器和摄像头,只要磁条卡从采集器的读卡槽里通过,磁条卡的资料就被完整地保存下来,同时摄像头会拍下相应的密码,然后用复制器制作卡片并刷卡即可。
在目前已经告破的案件中,基本上也都是这样的作案流程,只不过作案的主体不同而已。
垄断是换卡迟缓根源
法治周末记者在采访中了解到,早在2003年,中国就已出现团伙克隆银行卡的案件。这也就意味着,自那时起,磁条卡的安全隐患已经出现。
将磁条卡更换为芯片卡(以芯片作为交易介质的卡,芯片卡可以应用于金融、交通、通讯、商业、教育、医疗、社保和旅游娱乐等多个行业领域,可实现一卡多能)的呼声也一直存在。
然而直到去年3月11日,央行才通过发布《关于推进金融IC卡应用工作的意见》,推动芯片卡的普及工作。意见要求,自2013年1月1日起,全国性商业银行应开始发行金融IC卡,自2015年1月1日起,在经济发达地区和重点合作行业领域,商业银行发行的银行卡均应为IC卡,地方性商业银行以及外资银行应根据实际情况发行金融IC卡。
在这种要求之下,直到近日,工商银行和农业银行等部分银行才率先在全国范围内开展芯片卡的更换工作。而此前大多只是针对高端客户的试点。
反观全球,早在上世纪90年代末,欧洲就已启动换卡计划,即把磁条卡更换为安全系数更好的芯片卡。2006年英国率先全面完成,目前欧洲已全面完成。
“芯片卡成熟度很高,普及芯片卡的国家虽然没有完全杜绝盗刷情况,但盗刷率与使用磁条卡的国家相比已大大降低。”国际著名金融分析研究机构银率网分析师告诉法治周末记者。
那么缘何这么多年来,中国仍未完成芯片卡普及计划?
“成本是重要的影响因素。”中山大学银行业研究中心主任陆军告诉法治周末记者。
陆军透露,很多银行觉得,芯片卡的成本较贵。且更换芯片卡后,为了适应芯片卡的功能和技术标准,很多ATM机等设备也需更新,会花去高额的成本。
一位银行业内部人士告诉记者一组数据:目前磁条卡成本是1元/张,而芯片卡成本平均是20元/张。
也有银监会负责人接受媒体采访时坦承,要将磁条卡全部升级为芯片卡及配套的ATM机,需花费1000亿元的成本,推行难度很大。
“但银行利润那么高,更换芯片卡的成本其完全可以承担。而且银行过于注重短期利益了,长远来看,更换芯片卡是保障客户资金安全以及留住客户的重要手段,谁率先启动了芯片卡更换工作,其实是对市场的又一次争夺。”陆军说。
不过在接受法治周末记者采访时,包括李宪铎在内的很多专家认为,银行之所以没有更换芯片卡的积极性,成本高是直接原因,但根本原因还在于银行是垄断行业。
“垄断经营之下,银行没有技术进步的压力。而且从银行的角度来说,流失一两个客户对其来说影响并不大,即便是有银行客户对银行安全系统升级发出呼吁,但银行认为这件事情并未到非解决不可的地步。如果银行业竞争充分,走向市场化,它会为了吸引客户主动进行技术更新。”李宪铎说。
银行很少主动担责
银行很早就知晓了磁条卡的风险,但10年来却迟迟不启动技术更新工作,导致诸多人的资金安全受损。在这种情况下,当发生银行卡因被克隆而遭盗刷的情况,银行作为发卡方因未识别伪造卡而导致客户损失,应当承担怎样的责任,一直是业内争论的焦点。
中国消费者协会律师团团长邱宝昌在接受法治周末记者采访时表示,当下银行作为金融服务单位,明知道磁条卡有安全隐患,但由于成本的问题不愿意消除这种缺陷,给金融消费者造成损失,不仅要承担一般的赔偿责任,而且根据侵权责任法还要对消费者进行惩罚性赔偿。
“且技术总是进步的,只要证明银行卡使用的技术有漏洞,而银行未能及时弥补漏洞,银行就应承担责任。”邱宝昌说。
但现实并非如邱宝昌所愿,带着垄断头冠的银行事实上很少在盗刷中主动承担责任。
银率网分析师告诉记者,如果银行卡被盗刷,若持卡人没有起诉银行或采取其他手段,基本上有密码的借记卡的卡内损失都是个人承担,很难被追回;而对于信用卡来说,部分银行对信用卡有失卡保障服务,即当持卡人发现银行卡被盗刷,如果第一时间申请挂失,银行对于挂失前一定期限内盗刷导致的损失进行赔偿。
记者查看各个银行的服务内容发现,并非所有银行都有全国性的失卡保障服务,如工商银行只针对深圳、上海等部分地区的牡丹卡用户提供失卡保障服务。即便是在推出了全国范围内失卡保障服务的银行办卡,客户也并非所有情况下都能享受该项服务,比如很多银行只针对在境外发生的盗刷情况进行赔偿,且赔偿金额多有上限。
在信用卡遭受盗刷后,赵洪琛曾多次跟工商银行沟通,申请款项拒付。银行方面告知其在申请后30个工作日才能通知他是否能拒付。然而不到3天,230元就已经被划走,此后银行劝赵洪琛先把盗刷的信用卡欠款还上,以后再返给他。
“事情过去两个月,工商银行除了持续告诉我,盗刷产生的230元欠款在一直生息外,款项能否退回,尚未给出明确答复。”赵洪琛说。
司法判决不统一
赵洪琛在工商银行要求相关款项拒付时,还看到一位男子要求注销原有银行卡、更换新卡,因为其银行卡在他上一次出国后曾遭受盗刷,但银行并未给予赔偿。近日该男子再次出国,回国后他担心卡再遭盗刷,就决定更换银行卡。
在现实中,有太多人像赵洪琛看到的那位男子一样,在银行卡被盗刷之后,跟银行交涉无果后就认栽了。
也有持卡人不满银行的做法,把银行告上法庭。但由于没有统一的司法解释或相关法律规定,类似的案例,不同的法院给出的判决也不太相同。
以有密码的借记卡被盗刷为例,有法院就认为,持卡人向银行申办银行卡,双方之间已经成立合法有效的储蓄存款合同关系,依法应当受到法律保护。而银行作为经营存、贷款等业务的专业金融机构,负有保障客户存款安全的义务,银行应当对其发行的银行卡具有鉴别真伪的能力,并应采取技术手段防范借记卡被复制和伪造。而只有持有真卡的交易者使用密码办理的各类交易才能视为客户本人的行为,持伪卡进行的交易,即使密码相同,也不能视为客户本人所为,并以此为由判银行赔偿持卡人的所有损失。
但在有的案例中,银行辩称,存款被盗的根本原因是持卡人故意或过失向他人泄露了银行卡信息和密码;法院也要求持卡人应证明其已经尽到妥善保管密码的义务,但如持卡人未能就此举证,则判决银行和持卡人各承担一半责任。
今年8月初,广东省高院针对克隆卡纠纷明确了两点原则:只要是克隆卡,银行须担责一半以上,无密码信用卡若用户保管不善也应担责;有密码,用户要自证清白,无密码,银行要自证清白。
根据广东高院的指引,对设置了密码的银行卡,持卡人对密码的泄露没有过错的,对银行卡账户内资金损失一般不承担责任;持卡人用卡不规范足以导致密码泄露的,一般应当在50%的范围内承担责任;对于未设密码的银行卡被伪造后交易的,发卡行如在办卡过程中履行了不设定密码后果和风险的提示义务,持卡人需承担不超过卡内资金损失50%的责任。
“但持卡人很难证明自己用卡没有不规范的行为,根据‘谁主张,谁举证’的原则,如果银行声称是储户未妥善保管密码,银行应承担举证责任。而且跟银行相比,持卡人处于弱势地位,银行相对有能力,也应当承担更多的举证责任。”作为律师,赵洪琛在跟银行交涉的过程中也形成了自己对于此事的一些观点。
需立法明确银行责任
信用卡研究人士董峥最近在研究国外的银行卡安全法律体系。他认为,当下中国银行卡之所以被频繁盗刷、持卡人的利益得不到保障,跟当前银行卡安全保障方面的相关法律法规缺失有一定关系。相比之下,国外的法律体系就比较完备。
“就拿案情类似的案件判决不统一来说,就是没有相应的司法解释或法律法规所致。虽然每个案件案情不同,不能非常细致地进行规定,但也应该出台一定的原则性条款。”董峥说。
记者查询资料发现,美国《诚信贷款法》(Truth in Lending Act)规定,持卡人对未经授权的消费最多承担50美元的责任,其余责任由银行承担。
而美国国会通过的《消费者信用保护法》(Consumer Credit Protection Act)规定,信用卡的发卡人对信用卡是否经授权使用负举证责任,即当银行无法证明消费行为是经过持卡人授权时,发卡人连50美元的责任都不用承担。
“国外法律的完备程序细致到,对信用卡的催收都有详细规定。比如美国规定了什么时候能催收,什么时候不能催收,可以在什么时候催收等。”董峥认为,“美国这种保护持卡人利益的理念以及法律规定的完整度都值得中国借鉴。”
但在我国,在如何保证银行卡安全方面,立法是滞后的。
调整中国银行卡业务的主要规范文件是《银行卡业务管理办法》,但办法在规定发卡银行的“义务”时,只是提及了银行应提供银行卡使用说明、收费标准、对账单、提供挂失服务等,并未明确规定银行在举证、出现未授权消费等情况下应承担的责任。
在董峥看来,鉴于目前我国银行卡安全已经受到威胁,应适时制定或修订相应法律法规,研究在当下环境和体制之下,银行、持卡人乃至商户之间的责任应如何厘清,以及如何有效保障持卡人利益。
但董峥认为,我国并不能照搬美国的经验,因为美国作出上述规定的基础是建立了国家信用体系,相信绝大多数的消费者或持卡人是诚实的,不会出现故意泄露密码去向银行敲诈的行为。而一旦发现持卡人撒谎,这种行为就会体现在信用记录上,会对持卡人带来很大影响。
“中国信用体系尚未建立,如果不分时机地推出类似法律条款,很可能会引发故意把密码告诉朋友,然后谎称卡被盗刷骗钱的情况出现。”董峥表达了自己的担忧。
一位银行业资深从业人员还告诉记者,美国之所以敢规定“消费者或持卡人对未经授权的消费最多承担50美元的责任”,还因为其有存款保险制度。美国的银行可以通过商业化保险来分散风险,通过保险公司支付持卡人损失。
“但中国尚未建立存款保险制度,且银行资产大多是国有的,在这种情况下出台跟美国类似的法律制度,还可能造成国有资产流失。”前述银行业资深从业人员表示。