近日,利用“补卡截码”等方式盗刷银行卡的事件屡遭曝光。2016年5月初,首航空姐因手机SIM卡遭复制损失15万元。近期又有多地市民上了同样的当:发送“取消+验证码”的短信给诈骗分子,使后者利用验证码更换手机卡,导致卡内钱款被盗刷一空。
银行卡遭遇盗刷,银行和电信运营商该负起怎样的责任?用户又该如何防范电信诈骗?
刘慧慧[北京金诚同达(上海)律师事务所律师]
我国现行法律并未对银行卡非授权交易的具体规则加以规定,结合民事侵权理论及举证责任划分,以及根据最高法公布的案例审判规则,我国司法对银行、手机运营商和持卡人采取过错推定为基础的损失分担机制,同时原则上倾向于保护持卡人的合法权益。
“补卡截码”的关键在于电信运营商给不法分子有机可乘,让他们补办了受害人的手机卡并据此截获了电信验证码。电信运营商与电信消费者之间构成消费服务合同关系。运营商责任的界限在于是否严格审查了办卡人与本人身份证一致的义务,补办手机卡不严格就是对消费者不负责,应承担该类案件中持卡人损失的主要责任。赔偿责任的比例具体是多少,还要综合分析持卡人的过错、银行的过错之后,在三方之间进行合理分配。
再来看银行。持卡人与银行之间形成金融服务合同关系,银行理应掌握银行卡的制作和加密技术,具备识别真伪的技术能力与硬件软件设施,确保持卡人的账户安全。对于盗刷事件,除非银行有充分证据证明持卡人存在过错,否则就不应让持卡人承担损失。
过错划分方面,可参考2012年《广东省高级人民法院关于审理伪卡交易民事案件工作座谈会纪要》。这份文件对举证责任分配及责任认定给出了一些指导意见:对设置了密码的银行卡,持卡人对密码的泄露没有过错的,对银行卡账户内资金损失一般不承担责任。持卡人用卡不规范足以导致密码泄露的,一般应当在卡内资金损失50%的范围内承担责任。对于未设密码的银行卡被伪造后交易的,发卡行如在办卡过程中履行了不设定密码后果和风险的提示义务,持卡人需承担不超过卡内资金损失50%的责任。我认为这份文件很有参考意义,同时期待全国统一的司法标准。
杨超(西安电子科技大学网络与信息安全学院副教授)
“补卡截码”盗刷案近年来屡屡发生,原因是大家的生活已经离不开移动通信,电子商务、商品交易、银行金融等业务越来越多地从线下转移到移动平台上,这就让掌握一定移动通信技术的诈骗分子看到了“商机”。
远程实施,不与当事人直接接触,大多基于引诱、欺骗、恐吓等社会学骗术,采用通信和计算机的IT技术手段,有完整犯罪链条的作案,电信诈骗的这些特点不仅针对人的弱点,也针对技术的漏洞,让人难以防范。
目前,网络金融的监管存在许多不足,网络金融及电子商务的业务大多由互联网公司主导操作,与银行监管相比,力度要弱很多。电信运营商保持着传统思维,把自己看作仅仅是通讯服务提供者。如,修改交易密码等,往往并不需要本人持有效证件亲自到场办理。基于新型的网络金融实施形态,传统的监管方式必须进行适应性的改进。
手机卡被盗用的本质原因在于犯罪分子可以获得受害人手机卡的所有权并实施操作,从技术角度来看,我建议,需要根据不同类型的漏洞进行技术改进和升级。例如,对于补卡时的身份认证,可以升级为“多因子身份认证”,即通过用户独有的多个秘密信息对用户身份进行验证,不仅验证身份证的有效性,还需验证指纹,验证在注册手机卡时候的各个密保问题,等等,如果这些都严格按照流程操作,将能有效遏制“虚假补卡”类的攻击。
再例如,第三方支付平台的密码重置时的身份认证,也可以采用“多因子认证机制”,除了短信验证外,还可以增加用户指纹、用户密保问题、用户特定手势(手机内有重力传感器和陀螺仪)、用户语音(手机内有录音)等多重比对。
马坤(信息安全专家、西安四叶草信息技术有限公司CEO)
要防止“补卡截码”,不仅各运营商内部要制定严格的开卡和补卡规定,并在流程上切实执行,同时国家还应注意从公民身份信息泄露的源头上来防范。
个人信息泄露主要有四个途径:人为倒卖、手机泄露、PC电脑感染、网站漏洞,但主要源头还是来自企业层面或网站。市民买房、买车、到物业进行登记,到银行、通信、交通甚至政府部门等机构去办事,都可能被要求留下身份证复印件,或通过网络平台上传身份信息。然而,对这些按要求留存的身份信息,企业和机构究竟是如何管理的,群众很难知晓。
有报告显示,福布斯上榜的中国企业中,大多数企业都曾不同程度遭受过攻击或出现数据泄露。由于服务器或系统在安全防护方面不可能做到天衣无缝,精通网络技术的黑客就会利用漏洞发起攻击,将整个客户数据库信息完整下载下来,打包出售以谋取利益。还有可能将多个泄密数据库的信息进行关联分析,形成一个地下数据网。这个数据网里会有非常完整的个人信息的链条,比如姓名、身份证号、家庭住址、手机号、银行卡号,甚至密码等。这种情形对任何人都是严重的威胁,甚至可能给用户带来人身安全方面的问题。
具体到盗刷,不法分子利用地下数据信息,专门招聘“技术员”,从选取信息到办理补卡,再到非法窃取受害人资金,形成完整的“业务链”。与从企业和机构数据库泄露的情况相比,个人丢失身份证或泄露密码的情况,我认为仅属于小头。
所以,对于企业或机构要求上传或留存公民身份信息、照片或复印件的平台和环节,国家应该严格管控,最好立法进行规范。
韩复龄(中央财经大学金融学院教授)
网络诈骗犯罪已经有组织、成规模。此前有媒体报道,网络诈骗产业链上至少有160万从业者,“年产值”超过千亿元,诈骗手段和技术也在不断发展。
与此同时,网络金融风险监管存在法律体系不完善、行业协调及风险监管不理想、现行的风险管理模式与网络金融的发展不适应等现实问题,这都需要进一步推动健全法律制度、加强市场准入管理、完善监管体制、调整监管策略、构建安全体系等措施来解决。
盗刷案件中的两个角色——电信企业和银行,在设计业务流程的时候,他们对当下的网络经济蓬勃发展应该说估计并不充分,双方的流程都有不少技术漏洞。如依托短信发送验证码,可以说已经落后于时代的需要。因此,银行、电信运营商有必要采取更严格的安全防护措施。
尤其是电信运营商,应充分应用技术手段,防止平台被不法基站侵袭,对于已经出现的技术漏洞要及时修补。运营商可以通过设定敏感词、群发短信数量控制等手段,相对有效地限制诈骗短信的发送。现实的情况是,运营商通过发送短信收费,而对诈骗短信却不担责。正是权利和义务的失衡,使电信运营商至今没有对此给予充分重视。要让运营商对电信诈骗问题重视起来,必须让他们承担责任。国家在这个方面应尽快立法,让运营商承担一定的民事责任。
我建议,针对电信诈骗以及盗刷问题,可以建立机构赔付机制。出现此类事件,用户可以不必先搞清楚到底是哪个环节出的问题,而是由一个机构出面为用户赔偿一定损失。之后,相关机构再去进行调查,理清责任。但是,这种机制的建立,受制于国家个人征信体系的完善,因为可能存在报假案的情况。