网银安全再起争端

　　网银安全再起争端

　　窃案频发，网上银行系统是否安全、银行应否承担赔偿责任引发激辩

　　如今李女士用借记卡到ATM柜员机上取款时，甚至自己都要好好想想账户的密码是什么。“没办法啊，自从发生那些事后，我就把密码搞得很复杂了，不然哪天也许卡里的钱又

　　李女士说的那些事指的是在今年7月中旬的一周时间里，她和她丈夫的两个银行账户接连被人用网上转账、网上购物等手段偷走了两万五千余元，最令李女士疑惑和气愤的是其中一个账户从未开通过网上银行业务，而另一个账户按照银行要求使用了数字认证证书却依然被盗。

　　据了解，今年上半年我国企业网银注册用户达到90多万户，个人网银注册用户达到3500多万户，网上交易总额为40多万亿元。

　　很显然，在如此庞大的用户群体中，受害者并不止李女士一个。

　　前不久，工行网银受害者成立集体维权联盟事件的出现，则再次将网络银行的安全问题推向风口浪尖。

　　窃案频发，消费者群情汹涌

　　“银行的安全系统肯定有问题！”李女士坚称。7月12日，李女士到工商银行某营业点准备取款，突然发现自己的账户里少了3000多元，在存折的记录和工行提供的交易记录上，李女士惊讶地发现自从5月份开始就有人利用该账户开通的网上银行分多次转走存款用于网上购物，据李女士统计，如果每次都交易成功，累计共可转走1万余元，其中几次大额度转账由于超过工行规定的网上转账最高限额没有成功，这才没有造成更大的损失。

　　“我这个账户根本就没有开通过网上银行业务，网上购物就更不用说了。”李女士告诉记者，这个账户是当初为了方便买房转账才开通的，完成房产交易后就一直闲置着，自己从未用该账户刷卡购物或进行其他交易。

　　到景田派出所报案后，李女士和丈夫杨先生加强了对另外一个在民生银行开设的账户的监控。

　　然而，李女士最担心的事情还是发生了。7月19日上午，杨先生通过电脑对该账户进行查询，一查之下大为愤怒——该账户在18日被人从网上转账盗走两万多元。李女士说，这个账户开通了网上银行业务，但是按照银行的要求，他们在家里的电脑上下载安装了银行提供的数字认证证书，并从未在其他电脑上使用过网上银行进行交易。李女士同时也承认自己电脑有过中毒的经历，“但是哪个家庭电脑没有中毒的经历和可能啊，银行当时就应该想到这个问题，数字证书应该具有防止病毒的功能，如果数字证书都不安全了，那谁还敢用网上银行？”李女士说。

　　“银行这么做太傲慢了，案件发生后他们(民生银行)承诺会展开调查，可是直到今天都是我主动和他们联系，而他们每次都推说要上海总行保卫处才知道，但保卫处的电话根本打不通。”提起民生银行对案件的处理，李女士一肚子火气。

　　“银行方面对我们的要求置若罔闻，我报案这么长时间了，他们一次也没和我联系过。”网银盗窃案受害者、工行网银维权联盟成员之一的蒙先生说。

　　系统是否安全？

　　银行坚称无空子可钻

　　8月17日，中国工商银行就“工行网银受害者集体维权联盟”事件接受媒体采访时表示，“工商银行网上银行系统存在漏洞的说法明显不成立。截至目前，尚未发生一起由犯罪分子侵入工商银行网银系统而导致客户资金损失的案件。”

　　记者就网银是否存在安全问题走访了深圳银行界业内人士，多数人士认为，我国银行网上银行系统安全性能很高，不会出现问题。某国有银行电子银行部刘经理在接受本报采访时表示，银行网银系统是安全的，如果客户按照银行操作要求进行操作，保管好自己的账号、密码等个人资料，是不会发生这样的安全事件的。网上银行是银行的产品，银行同样很关心它的安全性。刘经理告诉记者，国内网银安全系统与国际上其他银行采用的技术基本同步，属于国际上最先进的网络安全技术。国内各银行对网银系统安全方面投入非常大，有一支专门的网络技术研究队伍负责对系统的维护，并对国际先进黑客技术进行研究，适时提升系统安全性。

　　同时，各银行都对网上银行的开设进行了限制，刘经理以自己所在银行为例介绍说，基本分为普通版(大众版)和专业版，普通版只能进行查询功能和小额度的资金交易；专业版可进行大额度资金交易，但需要客户本人带有效证件到各营业网点柜台办理，银行会要求客户同时使用银行提供的数字认证证书、usbkey或动态口令卡等安全措施。“只要使用了这些措施，按照银行要求进行操作，网上交易是安全的。此外，我们对不正常的网上交易会进行监控并及时通知客户甚至暂时终止交易。”刘经理说。

　　那么，如何操作才符合银行的安全要求呢？业内人士告诉记者，主要是客户要有较高安全意识，不要将账号、密码告诉别人；为网上银行设置专门的密码，区别于在其他场合中(例如：其他网上服务、ATM、存折和银行卡等)使用的用户名和密码，避免因某项密码的丢失而造成其他密码的泄漏；不要相信任何通过电子邮件、短信、电话等方式索要卡号和密码的行为；注意计算机安全，下载并安装由银行提供的用于保护客户端安全的控件，定期下载安装最新的操作系统和浏览器安全程序或补丁，安装并及时更新杀毒软件，不要开启不明来历的电子邮件；正确登录各银行网站，警惕假网站等。

　　据此前媒体报道，深圳某商业银行一位中层管理人员利用手中职权，内外勾结，以伪造客户身份资料等方式擅自替客户开通网上银行业务，然后以网上转账的方式将该客户的1500万元资金盗走。有网友在网上惊呼：“家贼难防，网上银行还有安全可言吗？”记者就此事采访了刘经理，刘经理表示，此类案件并非网上银行安全系统漏洞所致，根本原因是某些银行内部制度执行不力，监管不严所致。“此案发生后，我们就自身的管理制度进行梳理，并没有发现有空子可钻。”

　　受害者质疑系统漏洞

　　“工行网银受害者集体维权联盟”在其《联盟声明》中对工行的网银安全性提出强烈质疑，《声明》中说，既然工行号称其网银系统安全可靠，可以有效对付木马等病毒，那为什么受害者找上门时就推诿成客户中了木马等病毒呢？为什么工行网银在不断进行安全升级，并单方面随意修改《个人网上银行交易规则》呢？为什么叫停大众版网银和为用户网上支付受限呢？为什么媒体报道IT新手都能找到工行网银漏洞呢？

　　记者试图联系深圳市警方网监处就网上银行是否存在漏洞这一热点问题接受采访，因警方表示不方便接受采访而未果。

　　一位自称是工行用户的网友认为，连世界上网络研发技术最强的微软都不敢说自己的系统没有漏洞，工行凭什么在用户资金频频被盗的同时一口咬定自己的系统是没有漏洞的？该网友还列举了“万州高职学生发现工行网上漏洞”等多篇媒体报道证实说法。

　　一位业内人士指出，某些银行当初设计网上银行业务时，为了简化手续、节约成本，给予了普通版网上银行注册和注册后交易金额上限太大的权限，这是造成一系列案件发生的重要原因。不能因为漏洞现在已经被补上了，就否认漏洞的存在或曾经存在，银行应反省自己。

　　李女士在接受采访时表示，当时开通民生银行的网上银行业务时，银行要求必须下载安装数字证书作为安全措施，当时她都照做了，“没有开通网上银行的账户被开通了网上银行，有数字证书也保护不了安全，说网上银行没漏洞，谁信啊？”

　　暨南大学研究网络安全的王教授认为，从密码学的角度来说，越复杂的密码设置的系统其安全性能就越高，反之则越低。银行可能因为考虑成本、方便客户等多种原因，没有给用户提供更高级更复杂的密码安全措施；而用户为了图方便，也多把密码设置得较为简单易记。这样一来两边都让犯罪分子有空子可钻了，所以银行在尽可能使自身系统没有漏洞时，应该考虑到客户端的安全问题，为客户提供更便利更安全的保障措施。

　　银行应否承担责任？

　　银行方面拒不担责

　　日前，央视针对网银安全问题作了一项网上调查，结果发现：70％的受调查者认为在网银资金被盗的案件中，银行应该负主要责任。

　　中消协表示，商业银行应及时转变思路，加强服务意识，和消费者做好安全教育和及时沟通，推动网上银行业务健康发展。中国消费者协会投诉部主任邱建国接受媒体采访时说：“我的钱存在你银行里面，银行是有责任保护它的安全的。钱丢了，那应该谁承担责任呢？你完全让我消费者承担责任，这是非常不公平的，也是不合理的。”

　　面对一片指责之声，银行方面坚称责任不在己方。工行在回应“工行受害者集体维权联盟”事件时指出，“从目前发生和已经侦破的案件来看，客户安全意识不强，没有保护好自己的账号、密码等重要信息，是导致网银资金被盗的根本原因。”

　　某国有银行深圳分行电子银行部刘经理在接受采访时表示，出了事情，客户维护自己的利益，当然认为银行应该负责甚至赔偿损失，但现实情况是多数涉及网银存款被盗的案件是由于客户自身未按银行要求，操作不当导致泄密的。“网银账户、密码和数字证书就等同于现实中客户手中的存折、借记卡和密码，如果自己不小心把卡或存折丢了，肯定会导致资金风险。”同时，刘经理也认为，在培养客户安全意识和提醒用户注意网银风险上，银行负有责任。

　　消费者三问银行

　　1.为何没有明显的安全风险提醒？

　　但是，记者在调查中发现，多数受害者对银行现行的风险提醒机制十分不满，他们表示，自己在注册网上银行时，并没有收到银行方面对可能存在的安全隐患的明确提醒；在使用网上银行的过程中，安全控件更新信息的获得和可能面临的网络安全风险，银行方面也没有及时提醒他们。

　　记者登录国内各大银行的网上银行自助注册界面发现，多数银行在注册页面上并没有特别明显的安全风险提示或安全措施指南，仅在其向注册用户提供的“电子银行个人客户服务协议”中提及客户应当注意保管好个人资料信息，不要接受不明电子邮件，不在公用计算机上使用网银等。

　　为什么在网银案件频发的今天，银行仍不在自己的页面上对使用网银存在的风险进行明显的提示？业内人士表示，银行这么做有自己的考虑，“一旦在页面上对安全风险设置一个明显的提示，有可能造成人们一种错觉：使用网上银行很危险。”

　　刘经理认为，目前银行网上注册用户(普通版用户)的权限已经很小，而到柜台进行注册专业版的客户，银行一般都会提醒客户要注意的事项。但刘经理同时承认，过去银行在网上银行用户安全意识的培养上宣传力度不够，“主要是银行推出的产品很多，每个产品的推广费用都有限制，但由于网银案件的频频发生，今后银行方面肯定会对宣传重心作出调整。”

　　2.为何利用假身份证作案屡屡得逞？

　　记者就李女士的遭遇采访了广东广和律师事务所鲁楷律师。鲁律师认为，由于客户自己没有保管好密码等资料导致的存款被盗，银行方面没有责任；但是，类似李女士工行账号存款被盗的案件，如果李女士确实没有开通过网上银行，那么就是银行网银系统的问题了，银行应该负责。

　　记者在随后的调查中发现，国内发生过多起在受害人不知情的情况下被开设网银业务的案例，其中犯罪分子多利用假身份证冒充受害人在营业网点办理开通专业版网上银行业务，然后将存款转移，最典型的案例是在2005年发生的“福建晋江777万巨款网银盗窃案”。而在前不久判决的“浙江永嘉洪荣尧诉中国农业银行”一案中，犯罪分子也是利用假身份证作案。鲁律师告诉记者，在此类诉讼中，银行无一胜诉，因为银行没有履行自己为客户保密的职责，在没有认真核实验明办理网上银行注册人提供资料的真实性的情况下办理网银开通业务，这是银行的过错。

　　刘经理告诉记者，某些银行之所以会屡屡被犯罪分子利用假身份证盗窃得手，主要原因是在柜台注册网上银行的程序设计上有问题。他介绍说，有些银行对于同名转账的监控不严，犯罪分子就利用假身份证到柜台以受害人名义开设一个账户并开通网上银行，然后利用网上银行可以操作多个同名账户的条件，把受害人的账户添加到网上银行，再通过同名转账将受害人的资金转入假身份证开立的账户，从而将资金盗走。

　　刘经理认为，只要对任一账户的资金流动都加以监控并在制度上加以限制，就可以杜绝此类事件的发生，以他所在银行为例，任何账户开通网银业务均需本人持证办理，同名账户亦如此。

　　3.为何客服协议中存在霸王条款？

　　有受害者指出，国内银行网银业务里要求用户签署的“网上银行个人客户服务协议”里的某些条款具有霸王条款性质。

　　根据该受害者的描述，记者在某国有银行的“网上银行客户服务协议”里找到如下条款：乙方(银行)根据甲方(客户)的电子银行业务指令办理业务，对所有使用甲方注册卡号、客户编号、密码及客户证书进行的操作均视为甲方所为。在另一银行的协议里则更为明确：无论客户实际上是否将电子证书或密码提供给他人使用，均需对该电子证书或密码下(银行处理错误另议)完成的一切金融交易负责。

　　深圳消委会法律事务部有关负责人认为，目前霸王条款多存在于我国的垄断行业中，此类条款是否属于霸王条款有待调查。

　　银行业内人士则认为，这些条款可对客户起到约束的作用，增强客户风险意识。

　　广和律师事务所鲁楷律师认为这些条款是银行的免责条款，按照《合同法》的规定，采用格式条款订立合同的，格式条款的提供方应采取合理的方式提醒对方注意合同中免除或限制其责任的条款，并有向对方说明的义务。但很显然，银行并没有尽到提醒说明的义务。

　　(应受访者要求，文中刘经理、李女士均为化名)

　　本版撰文见习记者黄键

　　图：

　　一位用户标出了自己网银账户上可疑的扣款记录。朱丹阳丁玎摄

　　网上银行业务发展迅猛，但因其固有的风险，有不少市民的存款被“莫名其妙”地盗走。

　　如何防范虚假网上银行诈骗新华社发