近日，利用“補(bǔ)卡截碼”等方式盜刷銀行卡的事件屢遭曝光。2016年5月初，首航空姐因手機(jī)SIM卡遭復(fù)制損失15萬元。近期又有多地市民上了同樣的當(dāng)：發(fā)送“取消+驗(yàn)證碼”的短信給詐騙分子，使后者利用驗(yàn)證碼更換手機(jī)卡，導(dǎo)致卡內(nèi)錢款被盜刷一空。

銀行卡遭遇盜刷，銀行和電信運(yùn)營(yíng)商該負(fù)起怎樣的責(zé)任？用戶又該如何防范電信詐騙？

可參考一份地方文件來看三方責(zé)任

劉慧慧[北京金誠(chéng)同達(dá)（上海）律師事務(wù)所律師]

我國(guó)現(xiàn)行法律并未對(duì)銀行卡非授權(quán)交易的具體規(guī)則加以規(guī)定，結(jié)合民事侵權(quán)理論及舉證責(zé)任劃分，以及根據(jù)最高法公布的案例審判規(guī)則，我國(guó)司法對(duì)銀行、手機(jī)運(yùn)營(yíng)商和持卡人采取過錯(cuò)推定為基礎(chǔ)的損失分擔(dān)機(jī)制，同時(shí)原則上傾向于保護(hù)持卡人的合法權(quán)益。

“補(bǔ)卡截碼”的關(guān)鍵在于電信運(yùn)營(yíng)商給不法分子有機(jī)可乘，讓他們補(bǔ)辦了受害人的手機(jī)卡并據(jù)此截獲了電信驗(yàn)證碼。電信運(yùn)營(yíng)商與電信消費(fèi)者之間構(gòu)成消費(fèi)服務(wù)合同關(guān)系。運(yùn)營(yíng)商責(zé)任的界限在于是否嚴(yán)格審查了辦卡人與本人身份證一致的義務(wù)，補(bǔ)辦手機(jī)卡不嚴(yán)格就是對(duì)消費(fèi)者不負(fù)責(zé)，應(yīng)承擔(dān)該類案件中持卡人損失的主要責(zé)任。賠償責(zé)任的比例具體是多少，還要綜合分析持卡人的過錯(cuò)、銀行的過錯(cuò)之后，在三方之間進(jìn)行合理分配。

再來看銀行。持卡人與銀行之間形成金融服務(wù)合同關(guān)系，銀行理應(yīng)掌握銀行卡的制作和加密技術(shù)，具備識(shí)別真?zhèn)蔚募夹g(shù)能力與硬件軟件設(shè)施，確保持卡人的賬戶安全。對(duì)于盜刷事件，除非銀行有充分證據(jù)證明持卡人存在過錯(cuò)，否則就不應(yīng)讓持卡人承擔(dān)損失。

過錯(cuò)劃分方面，可參考2012年《廣東省高級(jí)人民法院關(guān)于審理偽卡交易民事案件工作座談會(huì)紀(jì)要》。這份文件對(duì)舉證責(zé)任分配及責(zé)任認(rèn)定給出了一些指導(dǎo)意見：對(duì)設(shè)置了密碼的銀行卡，持卡人對(duì)密碼的泄露沒有過錯(cuò)的，對(duì)銀行卡賬戶內(nèi)資金損失一般不承擔(dān)責(zé)任。持卡人用卡不規(guī)范足以導(dǎo)致密碼泄露的，一般應(yīng)當(dāng)在卡內(nèi)資金損失50%的范圍內(nèi)承擔(dān)責(zé)任。對(duì)于未設(shè)密碼的銀行卡被偽造后交易的，發(fā)卡行如在辦卡過程中履行了不設(shè)定密碼后果和風(fēng)險(xiǎn)的提示義務(wù)，持卡人需承擔(dān)不超過卡內(nèi)資金損失50%的責(zé)任。我認(rèn)為這份文件很有參考意義，同時(shí)期待全國(guó)統(tǒng)一的司法標(biāo)準(zhǔn)。

應(yīng)升級(jí)為“多因子身份認(rèn)證”

楊超（西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院副教授）

“補(bǔ)卡截碼”盜刷案近年來屢屢發(fā)生，原因是大家的生活已經(jīng)離不開移動(dòng)通信，電子商務(wù)、商品交易、銀行金融等業(yè)務(wù)越來越多地從線下轉(zhuǎn)移到移動(dòng)平臺(tái)上，這就讓掌握一定移動(dòng)通信技術(shù)的詐騙分子看到了“商機(jī)”。

遠(yuǎn)程實(shí)施，不與當(dāng)事人直接接觸，大多基于引誘、欺騙、恐嚇等社會(huì)學(xué)騙術(shù)，采用通信和計(jì)算機(jī)的IT技術(shù)手段，有完整犯罪鏈條的作案，電信詐騙的這些特點(diǎn)不僅針對(duì)人的弱點(diǎn)，也針對(duì)技術(shù)的漏洞，讓人難以防范。

目前，網(wǎng)絡(luò)金融的監(jiān)管存在許多不足，網(wǎng)絡(luò)金融及電子商務(wù)的業(yè)務(wù)大多由互聯(lián)網(wǎng)公司主導(dǎo)操作，與銀行監(jiān)管相比，力度要弱很多。電信運(yùn)營(yíng)商保持著傳統(tǒng)思維，把自己看作僅僅是通訊服務(wù)提供者。如，修改交易密碼等，往往并不需要本人持有效證件親自到場(chǎng)辦理?；谛滦偷木W(wǎng)絡(luò)金融實(shí)施形態(tài)，傳統(tǒng)的監(jiān)管方式必須進(jìn)行適應(yīng)性的改進(jìn)。

手機(jī)卡被盜用的本質(zhì)原因在于犯罪分子可以獲得受害人手機(jī)卡的所有權(quán)并實(shí)施操作，從技術(shù)角度來看，我建議，需要根據(jù)不同類型的漏洞進(jìn)行技術(shù)改進(jìn)和升級(jí)。例如，對(duì)于補(bǔ)卡時(shí)的身份認(rèn)證，可以升級(jí)為“多因子身份認(rèn)證”，即通過用戶獨(dú)有的多個(gè)秘密信息對(duì)用戶身份進(jìn)行驗(yàn)證，不僅驗(yàn)證身份證的有效性，還需驗(yàn)證指紋，驗(yàn)證在注冊(cè)手機(jī)卡時(shí)候的各個(gè)密保問題，等等，如果這些都嚴(yán)格按照流程操作，將能有效遏制“虛假補(bǔ)卡”類的攻擊。

再例如，第三方支付平臺(tái)的密碼重置時(shí)的身份認(rèn)證，也可以采用“多因子認(rèn)證機(jī)制”，除了短信驗(yàn)證外，還可以增加用戶指紋、用戶密保問題、用戶特定手勢(shì)（手機(jī)內(nèi)有重力傳感器和陀螺儀）、用戶語音（手機(jī)內(nèi)有錄音）等多重比對(duì)。

嚴(yán)格管控企業(yè)或機(jī)構(gòu)留存的公民身份信息

馬坤（信息安全專家、西安四葉草信息技術(shù)有限公司CEO）

要防止“補(bǔ)卡截碼”，不僅各運(yùn)營(yíng)商內(nèi)部要制定嚴(yán)格的開卡和補(bǔ)卡規(guī)定，并在流程上切實(shí)執(zhí)行，同時(shí)國(guó)家還應(yīng)注意從公民身份信息泄露的源頭上來防范。

個(gè)人信息泄露主要有四個(gè)途徑：人為倒賣、手機(jī)泄露、PC電腦感染、網(wǎng)站漏洞，但主要源頭還是來自企業(yè)層面或網(wǎng)站。市民買房、買車、到物業(yè)進(jìn)行登記，到銀行、通信、交通甚至政府部門等機(jī)構(gòu)去辦事，都可能被要求留下身份證復(fù)印件，或通過網(wǎng)絡(luò)平臺(tái)上傳身份信息。然而，對(duì)這些按要求留存的身份信息，企業(yè)和機(jī)構(gòu)究竟是如何管理的，群眾很難知曉。

有報(bào)告顯示，福布斯上榜的中國(guó)企業(yè)中，大多數(shù)企業(yè)都曾不同程度遭受過攻擊或出現(xiàn)數(shù)據(jù)泄露。由于服務(wù)器或系統(tǒng)在安全防護(hù)方面不可能做到天衣無縫，精通網(wǎng)絡(luò)技術(shù)的黑客就會(huì)利用漏洞發(fā)起攻擊，將整個(gè)客戶數(shù)據(jù)庫(kù)信息完整下載下來，打包出售以謀取利益。還有可能將多個(gè)泄密數(shù)據(jù)庫(kù)的信息進(jìn)行關(guān)聯(lián)分析，形成一個(gè)地下數(shù)據(jù)網(wǎng)。這個(gè)數(shù)據(jù)網(wǎng)里會(huì)有非常完整的個(gè)人信息的鏈條，比如姓名、身份證號(hào)、家庭住址、手機(jī)號(hào)、銀行卡號(hào)，甚至密碼等。這種情形對(duì)任何人都是嚴(yán)重的威脅，甚至可能給用戶帶來人身安全方面的問題。

具體到盜刷，不法分子利用地下數(shù)據(jù)信息，專門招聘“技術(shù)員”，從選取信息到辦理補(bǔ)卡，再到非法竊取受害人資金，形成完整的“業(yè)務(wù)鏈”。與從企業(yè)和機(jī)構(gòu)數(shù)據(jù)庫(kù)泄露的情況相比，個(gè)人丟失身份證或泄露密碼的情況，我認(rèn)為僅屬于小頭。

所以，對(duì)于企業(yè)或機(jī)構(gòu)要求上傳或留存公民身份信息、照片或復(fù)印件的平臺(tái)和環(huán)節(jié)，國(guó)家應(yīng)該嚴(yán)格管控，最好立法進(jìn)行規(guī)范。

建立機(jī)構(gòu)賠付機(jī)制

韓復(fù)齡（中央財(cái)經(jīng)大學(xué)金融學(xué)院教授）

網(wǎng)絡(luò)詐騙犯罪已經(jīng)有組織、成規(guī)模。此前有媒體報(bào)道，網(wǎng)絡(luò)詐騙產(chǎn)業(yè)鏈上至少有160萬從業(yè)者，“年產(chǎn)值”超過千億元，詐騙手段和技術(shù)也在不斷發(fā)展。

與此同時(shí)，網(wǎng)絡(luò)金融風(fēng)險(xiǎn)監(jiān)管存在法律體系不完善、行業(yè)協(xié)調(diào)及風(fēng)險(xiǎn)監(jiān)管不理想、現(xiàn)行的風(fēng)險(xiǎn)管理模式與網(wǎng)絡(luò)金融的發(fā)展不適應(yīng)等現(xiàn)實(shí)問題，這都需要進(jìn)一步推動(dòng)健全法律制度、加強(qiáng)市場(chǎng)準(zhǔn)入管理、完善監(jiān)管體制、調(diào)整監(jiān)管策略、構(gòu)建安全體系等措施來解決。

盜刷案件中的兩個(gè)角色——電信企業(yè)和銀行，在設(shè)計(jì)業(yè)務(wù)流程的時(shí)候，他們對(duì)當(dāng)下的網(wǎng)絡(luò)經(jīng)濟(jì)蓬勃發(fā)展應(yīng)該說估計(jì)并不充分，雙方的流程都有不少技術(shù)漏洞。如依托短信發(fā)送驗(yàn)證碼，可以說已經(jīng)落后于時(shí)代的需要。因此，銀行、電信運(yùn)營(yíng)商有必要采取更嚴(yán)格的安全防護(hù)措施。

尤其是電信運(yùn)營(yíng)商，應(yīng)充分應(yīng)用技術(shù)手段，防止平臺(tái)被不法基站侵襲，對(duì)于已經(jīng)出現(xiàn)的技術(shù)漏洞要及時(shí)修補(bǔ)。運(yùn)營(yíng)商可以通過設(shè)定敏感詞、群發(fā)短信數(shù)量控制等手段，相對(duì)有效地限制詐騙短信的發(fā)送?，F(xiàn)實(shí)的情況是，運(yùn)營(yíng)商通過發(fā)送短信收費(fèi)，而對(duì)詐騙短信卻不擔(dān)責(zé)。正是權(quán)利和義務(wù)的失衡，使電信運(yùn)營(yíng)商至今沒有對(duì)此給予充分重視。要讓運(yùn)營(yíng)商對(duì)電信詐騙問題重視起來，必須讓他們承擔(dān)責(zé)任。國(guó)家在這個(gè)方面應(yīng)盡快立法，讓運(yùn)營(yíng)商承擔(dān)一定的民事責(zé)任。

我建議，針對(duì)電信詐騙以及盜刷問題，可以建立機(jī)構(gòu)賠付機(jī)制。出現(xiàn)此類事件，用戶可以不必先搞清楚到底是哪個(gè)環(huán)節(jié)出的問題，而是由一個(gè)機(jī)構(gòu)出面為用戶賠償一定損失。之后，相關(guān)機(jī)構(gòu)再去進(jìn)行調(diào)查，理清責(zé)任。但是，這種機(jī)制的建立，受制于國(guó)家個(gè)人征信體系的完善，因?yàn)榭赡艽嬖趫?bào)假案的情況。