中国人民银行公布的数据显示，2011年底，国内银行卡数量已经达到29.49亿张，与2010年末同比增长了24.3%。在发卡量继续维持着增速的同时，各银行也逐步加大了对银行卡使用方面的力度，用卡交易笔数和刷卡消费金额在大幅上升，根据报告中的数字统计，2011年的银行卡的交易笔数（含ATM和POS）共计382亿笔，涉及金额340万亿元，较2010年同比增长了25%和33%。

图1  2006-2011年银行卡数量和交易统计

从图表中可以看到国内银行卡产业近几年发展的轨迹，除了卡量还在继续大幅增长，银行卡的使用及消费均已经成为了生活消费中重要的支付方式，银行只有推动银行卡的使用才能为银行带来实实在在的真金白银，促进银行卡从“规模驱动”向“服务驱动”转变的经营理念，为实现行业整体盈利打造坚实的基础。

然而，在银行卡市场如火如荼地发展之际，有一个症结却始终难以逾越，特别是在近几年，这个问题越发加剧了持卡用户与发卡银行之间的矛盾，由“信用卡消费凭签名还是密码更安全”这一话题，引发前不久对信用卡安全问题的社会大讨论，正是这一矛盾的集中体现。从近几年各种媒体的公开报道中可以看到，随着银行卡市场产业化、科技化步伐的加快，银行卡的用卡安全问题和与之同步发展的矛盾也愈发突出，已经引发了大量的银行卡法律诉讼案件，银行卡市场的安全风险不断加大已是不争的事实，并且这种风险已经不仅仅来自于持卡人的个人信用风险，更多风险的已经涉及到银行卡业务流程中的多个环节，形式也从早期偷窃盗刷银行卡这一单一的方式，发展到利用科技手段开设钓鱼网站、在ATM及POS机具放置信息窃取设备、以通讯及网络交流工具诈骗等多种手段，通过窃取持卡人的银行卡及个人信息，制作伪卡用于盗刷的犯罪行为。甚至有的犯罪分子公然采用冒领持卡人申请的信用卡新卡或更新卡、在自助银行偷换持卡人卡片，或直接在自助银行趁持卡人取款时实施抢劫等多种方式进行犯罪行为。

在银行卡犯罪方式不断花样翻新的情况下，中国对银行卡的风险的防范措施虽然也取得了一定的成绩，但不可否认的是，现行的金融管理体制和管理制度尚不健全，与银行卡安全管理相配套的法律、法规就更加严重滞后，可以说几乎是一片空白。这与国外先进银行卡的管理制度相比较，特别是在银行卡业务的经营理念上，都存在着巨大的差距。毋庸置疑的是，如果银行卡安全问题得不到很好的解决，将不可避免地影响到持卡人安全用卡，对银行卡产业的健康发展起到束缚的作用和不良影响。

根据风险的来源，银行卡的风险分为内部风险和外部风险。如果把银行卡的发行、申领过程中出现的审批程序、操作流程、内部管理，持卡人自身对银行卡的保护措施，信用卡还要考虑个人信用等方面产生的风险定义为内部风险，那么在银行卡使用过程中出现的来自外界引起的风险即定义为外部风险。目前针对银行卡业务内部风险的各种研究比较多，而对于银行卡业务外部风险的研究则相对薄弱。本文正是基于这个背景，针对银行卡业务外部风险进行归纳和总结，为安全使用银行卡、建设安全用卡环境提供一些理论分析和思考。

一、银行卡外部风险的形式

来自银行卡外部的风险，在近几年中其方式的变化之快、形式的发展之多，已经让持卡人深深地感觉到风险似乎防不胜防，对持卡人在用卡方面造成很大的恐惧感。银行卡的外部风险，其核心就是窃取网络用户的银行帐户（多以银行卡卡号为主）、交易密码，以及相配套的个人信息，再通过非法手段复制出相同的银行卡用于盗刷为目的，为持卡人带来经济上的损失。当前银行卡业务风险及其防范其形式包括：

1、网络支付风险

随着近几年中国的电子商务发展迅猛，仅2011年中国网络购物市场交易规模达7735.6亿元，较2010年增长67.8%，人均网购消费金额为4136.68元，同比增长了22.94%。2011年中国电子商务的交易总额已经接近6万亿，相当于GDP的13%，有效地促进了国内的消费增长。而网购消费高速增长的“助推器”就是日益兴起的网上银行和第三方支付业务，网购消费由于其特定的结算手段，在其交易的数量和金额快速增长的同时，直接带动了网上银行和第三方支付行业的同步发展，根据易观智库的网上银行市场季度监测数据报告显示，2011年中国网上银行的交易额达到了780.93万亿元，同比增长了41.1%；同期，第三方支付业务的交易额为2.2万亿元，同比增长118%。正是互联网时代的进步，打破了传统商品流通中的环节，使生产成本和销售利润更加透明，大大降低了消费成本。在网络时代，网络支付和网络交易同样不可或缺地伴随着共同发展。

但是，就在网络支付市场规模不断扩大的同时，相应的网络安全问题也日渐突出。由于网络支付市场交易金额庞大，对犯罪分子具有极强的诱惑力。网络支付不同于封闭的柜面业务，它在银行端和客户端之间通过开放的互联网连接。相比较银行计算机网络系统的安全性而言，用户客户端是网络支付风险的源头。大量的网络交易服务器又都是网上的公开站点，犯罪分子就可以利用他们掌握的计算机互联网技术，大肆而公开地进行犯罪活动。

网上支付风险的主要方式，有：设立“钓鱼“网站（包括银行网站、知名的销售类网站）；通过电话、即时通讯工具等方式欺诈；设置盗号软件、发送虚假链接邮件、假冒公安司法机关欺诈；甚至开发计算机病毒等手段，用以骗取网购用户的银行卡卡号、密码、识别码、有效期等信息，同时还以“注册”为名骗取个人信息。来自国家互联网应急中心的统计，从2010年开始，网络犯罪行为的趋利化特征明显，大型电子商务、金融机构、第三方在线支付网站成为网络钓鱼的主要模仿对象。这些状况让网购用户对网络支付的安全问题增添了更多烦恼。

易观国际的《中国第三方网络支付安全调研报告》对网络支付安全问题的主要类型进行了分析。调研数据显示，目前在网购用户面临的支付安全问题中，因“账户密码被盗”和“遭遇木马钓鱼”造成的资金损失占比分别达33.9%和24%，成为网民头号大敌。仅2011年第二季度，针对中国品牌的钓鱼攻击已占到全球总量的10%，次于美国的58%和英国的15%，排名全球第三位，甚至包括银行官方网站都被仿冒，网络安全问题的严重性已经日渐突出。尽管与网络支付庞大的市场规模相比，目前国内拥有网络支付账户且曾遇到过安全问题的用户比例不到万分之五，几率似乎显得微不足道，但对于用户而言则意味着百分之百的资金损失。现在，不仅网络支付面临着如此局面，与网络支付相关的手机支付等一系列以网络为基础的新兴支付方式，都不可避免地要面临着严峻的网络安全问题。

2、银行卡机具风险

在银行卡风险更多地被从网络支付方面所关注的同时，来自银行卡机具方面的风险也在逐渐递增。

银行卡机具主要包括ATM机和POS机，它是银行卡完成交易、实现收益的唯一手段。也正是这些银行卡机具的发明和使用，为银行卡的发展奠定了划时代的历史意义。随着银行卡业务的迅速发展，银行卡机具也相伴着得到了飞速发展，ATM发展出多功能取款机、CRS存取款机、终端查询机等多种模式的设备；POS也已经发展出台式、无线式、非接触式、电话式、手机式等多种产品。这些机具的使用，大力改善了银行的经营环境，为用户带来了便利，更为银行延展了服务时间和空间。

然而银行卡机具的大规模发展的背后，也同样为银行卡交易安全带来新的隐患，犯罪分子利用ATM机、POS机加装盗取银行卡信息设备盗取银行卡信息，进而制作“复制卡”进行盗刷的犯罪活动的案例也呈现上升趋势。仅据广东省银监部门的消息称，2011年以来，银行克隆卡案件数目及金额翻倍增长，2011年中4家国有银行广东省分行涉及克隆卡的投诉高达1280件、涉及金额2919万元，分别比2010年增长9倍和5.7倍；2012年前2个月相关投诉已达425件、涉及金额667万元。而银行卡被“克隆”案件数量激增与犯罪分子通过ATM机犯罪行为有很大关系，并且近年银行卡盗取信息及盗刷资金的情况，有从ATM机向银行卡特约商户的POS机转移的趋势。相比较在ATM机安装设施盗取银行卡信息而言，POS机更为隐秘，只需要收银员在操作时即可完成，而绝大多数的持卡用户都不了解银行卡刷卡流程的。窃取信息制作“复制卡”后，该类卡多在高档酒楼、奢侈品商户、娱乐场所等高端消费场所进行盗刷消费或非法套现，为持卡用户造成了大量的财产损失，导致持卡用户与银行间产生纠纷，这在法律层面上引发了越来越多的社会关注。

3、自助银行盗抢风险

如果网络支付、银行卡机具为银行卡引发的风险问题，还只是犯罪分子为持卡用户造成 “不见面风险”的话，而在遍布城市街巷的自助银行中则隐藏着犯罪分子对银行卡用户形成了面对面的风险。

由于网络银行、银行卡机具犯罪需要一定的技术手段和银行卡知识，而自助银行的犯罪则相对简单和直接，从媒体已经公布的案件中，自助银行的犯罪成为银行卡犯罪的一大隐患，其形式包括：对正在操作的持卡用户“碰瓷”后将正在操作的银行卡掉包，或者直接对正在操作的持卡用户胁迫抢劫，甚至出现了在自助银行内实施了杀人抢劫的恶性案件，虽然这些恶性案件多数已经破获，但其造成的后果相当恶劣。这类案件的发生特点已经从晚间转向白天、从僻静的自助银行发展到繁华地段，对持卡用户的安全造成极大的威胁。

更为重要的是，相比较网络银行和银行卡机具的风险来说，尽管自助银行内安装了安防监控设备，但自助银行的盗抢风险具有不可预见的随机性和突发性特点，从而缺乏相应、有效的防范措施，导致这种盗抢风险在即时、瞬间就可能发生。从网络搜索中，可以得到上海、宁波、扬州曾发生过的几起自助银行内抢劫杀人案件的信息，前不久深圳某银行在行式自助银行在营业时间就发生了ATM抢劫案，更是把自助银行存在的安全问题完全地暴露出来。

 

二、银行卡外部风险的后果

近几年来，银行卡的风险问题越来越严重。实际上，银行卡风险和安全问题是世界上各个国家在发展银行卡产业过程中普遍遇到的极其重要又非常棘手的问题，其中信用卡的安全问题尤为突出。银行卡一旦出现了风险，将直接让持卡用户遭受可能是无法弥补的经济损失，同时也影响到了金融机构的市场声誉，银行卡的安全问题是银行业务中不可推卸的责任。就如同生产厂商必须要保证生产的产品质量的安全一样，一旦出现生产质量隐患就必须予以无条件的更换，甚至召回销毁。银行也同样应该树立持卡用户和普通商品的消费者具有相同地位的理念，而任何消费者在与企业较量中永远是处于明显的弱势地位。

针对银行卡安全问题，作为持卡用户而言，对银行卡的了解程度仅仅停留于正当合法的使用银行卡的水平，无论是银行卡的技术、知识等，都应该由靠银行卡产业中获取利润的受益者，即银行和银行卡组织，有责任和义务为持卡人正当合法的使用提供安全用卡环境和保障。然而国内在银行卡的用卡安全方面的表现并不令人满意。从过去的涉及银行卡的各种纠纷案例的结果来看，银行可以通过银行卡章程的“格式合同”，降低自身承担的责任和义务，将更多地风险转嫁给持卡人。如果出现了风险，银行可以通过“格式合同”中的相关规定撇清自身的责任，而大多数持卡人对银行卡专业知识缺乏深入的了解，同时银行卡行业没有类似《消费者权益保护法》的法律法规来保护持卡人权益，即便有些案例判定由银行来承担部分责任，但其却需要复杂的内部流程，最后实施也是大打折扣。因此，在很多纠纷中，最终都是处于弱势地位的持卡人以“自认倒霉”的形式了结，这不能不说是中国银行卡产业的一个遗憾。

银行卡外部风险的表现形式比起内部风险，对持卡人的伤害更为直接，案例比比皆是：卡中存款被复制卡盗刷；网上支付帐号被窃，资金被转帐；自助银行ATM取款取出假钞；持卡人在自助银行中银行卡被犯罪团伙掉包；甚至出现了在自助银行里胁迫取款人抢劫卡内资金，以及杀人的恶性案件，更关键的是在这类案件的处理上，很多结果都是对持卡人不利的。这些案件对持卡人的负面影响相当大。虽然银行方面对安全设施的投入逐渐加大，但是有一个普遍现象，就是绝大多数的自助银行都没有银行的保安人员执守，特别是在晚间，自助银行很容易成为犯罪的场所，尽管配置了大量的摄像头，但盗抢案件发生的随机性，银行保安人员的难以反应。持卡用户对上述这些银行卡安全的担忧如果得不到解决，即便银行再大投入的安全设备，看起来都像是本末倒置。

 

三、银行卡外部风险的解决之路

银行卡市场的飞速发展，使得银行卡风险发生的概率也越来越大，对此银行是责无旁贷的。如果说银行卡内部风险取决于持卡人本人和银行内部流程的话，银行卡外部风险则取决于银行对这类风险的防范水平和是否出台相应的法律法规予以保护。

网络支付方面的风险除了持卡人主观原因造成的风险外，网上银行因为银行巨大的财力物力投入，安全设施相当完备，那么网络支付很大部分的风险是来自于其它支付平台，尤其是在第三方支付呈燎原之势的今天，由于资金实力和技术实力等差异，除个别实力强大的支付平台外，多数支付平台显出参差不齐的局面。而第三方支付平台都需要网络银行提供接入服务，这就要求银行在选择合作的第三方网络支付平台时，需要对支付安全技术严格把关，避免与安全性能差的支付平台合作。

机具和自助银行的风险问题，银行应该提高管理级别，自助银行属于银行业务的延伸部分，银行有责任和义务保证在其营业范围内对持卡用户的银行卡、资金乃至人身安全提供保障。如果持卡用户因自助银行被盗取银行卡信息、遭遇抢劫等，导致出现了经济损失，银行就应该承担相应的“失职”责任。这就要求银行需要定时对ATM机进行人工的安全检查；定期对特约商户的POS机进行抽检，检查商户是否存在通过POS机进行窃取银行卡信息的现象；对自助银行加派保安人员，如果对于离行式自助银行有难处，也应该保证在行式自助银行有保安人员值班到一定时间。

从国外银行卡发展的情况来看，产业立法是行业健康有序发展的基础和保证。美国为银行卡，特别是为信用卡产业发展制订了将近二十个法律，形成了一套完善的法律体系，涵盖了业务链中所有环节，为美国信用卡产业的规模化、高速度发展起到了重要的促进作用，法国、德国、英国、日本等发达国家也具有较为完备的法律法规体系。我国至今没有一部专门为银行卡、信用卡颁布的相关法律，只有几部管理办法和条例，还套用了包括《刑法》在内的其它法律的条文。在法律的权威性方面有所欠缺，这也是目前中国银行卡产业发展面临的一个棘手的问题亟待解决。

中国银行卡产业与国际上相比，起步晚、专业人才匮乏等特点，但正是因为这样，就更应该加快步伐，学习国际上的先进经验，追赶国际银行卡产业发展的步伐。银行卡安全是需要整个产业链共同面对的问题，银行与卡商、银行与卡组织、银行与银行，每一个链条之间都有相应衔接的标准问题。如果银行卡组织是这个游戏规则的制订者，发卡银行就是这个规则的执行者。信用卡安全无疑是一个系统工程，它与产业链上诸多环节密切相关，使信用卡风险降低是产业链中多种力量积极互动的结果。

 

四、谁来“铁肩担道义”

目前对于银行卡风险的研究，主要都是集中于对银行卡内部风险的发生、控制、预防、处理方面的研究，对于来自于银行卡外部风险的研究也更多的是从技术角度，而对于来自外部风险中类似发生在自助银行内针对银行卡盗抢风险的思考几乎是空白，究其原因，恐怕是由于银行把这类风险归类于普通刑事案件，忽视了从金融安全这样一个大的视野中进行深入、综合的研究，并失去了加强防范措施的动力。

银行卡无论是内部还是外部风险，对于持卡用户而言只是资金的风险。作为银行卡的经营机构的银行，理应“铁肩担道义”，担负起对银行卡风险的相关责任和义务，必须改变靠“格式合同”减少和降低自己的责任与义务的经营思想。国外的银行卡之所以健康发展，一个最重要的原因就在于银行为银行卡的风险承担了主要的风险责任，并通过商业化保险来规避风险，让正当的持卡人“用卡无忧”。这些优秀的经验，中国银行卡产业是完全可以予以参考和借鉴的。

银行卡安全问题已经到了刻不容缓需要解决的时候，否则银行卡产业的发展就将大打折扣。因此为了中国银行卡产业的健康、良性、有序地发展，就亟待央行、银监会、银联，以及各商业银行出台更多措施，严格保护银行卡的用卡安全。

 

 

                                            2012年5月6日