文\苑桐,张佳文 作者供职于中国人民银行朝阳市中心支行
一、我国信用卡盗刷现状
目前,我国信用卡盗刷案件呈现发案率高、手法多变、理赔困难等特点。根据21CN聚投诉发布的《2016年银行卡盗刷大数据报告》显示,2016年全国共发生银行卡盗刷投诉7095次,累计损失金额1.83亿元;其中10万元以上的盗刷事件442次,占总投诉量的6.2%。信用卡和借记卡盗刷比例基本持平。通过对2016年已知盗刷渠道的共2362次投诉中获取的4097个渠道数量分析(见表1),快捷支付,尤其是第三方快捷支付已成为发生银行卡盗刷的最主要渠道,占比高达63.56%,而传统的伪卡盗刷占比为11.96%。
2016年,聚投诉平台共接到银行卡盗刷投诉1705次,涉及金额1993万余元。截止2017年3月10日,仅498例的盗刷投诉得到解决,解决率仅为29.21%,挽回经济损失715万余元,占比35.90%,而未得到解决的盗刷投诉占近四分之三,对投诉内容整理,“推卸责任”、“拒绝赔付”等持卡用户投诉评价占比较高。
二、我国防范信用卡盗刷存在的问题
(一)相关法律法规尚不健全
一是对信用卡盗刷的监管机制尚不健全。目前,我国对信用卡卡的监管一般参照《民法通则》《刑法》《中国人民银行法》等法律及《中国人民银行关于信用卡业务有关事项的通知》(银发〔2016〕111号)等一系列法规制度。但是在信用卡盗刷、信用卡个人信息泄露等方面仍然缺乏专门的法律法规。
二是银行与第三方支付互相推诿理赔责任。2015年末,人民银行正式发布《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号),自2016年7月1日起,要求银行承担快捷支付资金损失的先行赔付责任。由于商业银行在信用卡盗刷的防范、处理、理赔方面,缺乏足够的硬约束,在实际赔付时,与第三方支付互相推诿的情况大量存在。
(二)尚未完成对磁条卡的更新换代
目前我国流通的信用卡有三种:磁条卡、芯片卡及磁条芯片复合卡,从安全角度看,磁条卡及磁条芯片复合卡相较于芯片卡更容易被复制盗刷。2014年-2016年间,人民银行多次发布规范和完善银行卡交易安全文件。2016年6月,人民银行发布《关于进一步做好金融IC卡应用工作的通知》(银发〔2016〕170号)要求,2017年5月1日起全面关停芯片磁条复合卡磁条交易。但是对于何时取消磁条卡,我国目前没有明确规定,市面上仍有大量的磁条卡存在。
(三)尚未建立完善的信用卡盗刷保险制度
针对信用卡盗刷问题,国内的一些保险公司开售盗刷险,为个人账户因盗刷、盗用、复制而导致的资金损失提供一定保障,但仍难以完全转移盗刷风险。一是免责条款较多,以中国平安推出的个人账户资金损失保险为例,免责条款包括:持卡人授权的人使用其个人账户而导致的资金损失;个人账户在挂失或冻结前72小时以外的损失等多项。二是理赔手续复杂,投保人需向公安机关及保险公司报案,并提供个人账户交易记录、损失资金流向记录、账户挂失时间证明、公安机关证明等多份材料。三是保险公司与银行之间合作机制不健全,导致持卡人对盗刷险接受度不高。
(四)尚未建立成熟的预判机制
一是银行内部缺乏对异常交易的预判。目前,我国商业银行的内部防范还有所欠缺,部分工作人员监督意识不强,对产生一些可疑交易的账户没有引起足够重视,未及时向持卡人确认信息;部分银行工作人员对客户信息保密意识淡薄,造成包括信用卡密码、身份证号码,住址等持卡人信息的泄露,危险程度最高,也最难预防。二是缺乏对持卡人防范意识的引导。有关部门对保护个人身份信息、识别信用卡诈骗行为的宣传力度不大,导致持卡人缺乏警惕,难以对诈骗行为做出预判,易造成经济损失。
三、美国防范和处置信用卡盗刷的主要做法
(一)建立完善的法律法规体系
一是规定持卡人承担的经济损失上限。美国1969年出台《诚实借贷法》(Truth in Lending Act)规定,信用卡被未经授权使用,即发生丢失或被盗后被他人使用的情况,持卡人的法定最高责任限额为50美元。美国联邦贸易委员会(FTC)规定,如果消费者发现盗刷之后 2日内报告银行,消费者最多承担50美元损失,2个工作日之后报告,消费者原则上最多承担500美元损失,实际上大部分情况下,银行对判定为盗刷的交易实施全额赔付。
二是明确发卡机构的举证责任。美国1968年通过的《消费者信用保护法》规定,信用卡发卡机构对信用卡是否经授权使用负举证责任,发卡机构有义务采取必要措施识别信用卡的使用是否经过持卡人授权。
三是建立严厉的惩处机制。在美国,盗刷他人信用卡是严重的犯罪行为,各州规定的惩罚措施都较为严厉。例如,在弗吉尼亚州,信用卡盗刷最高可判罚金1万美元、监禁20年。法律上严厉的判罚加大了盗刷信用卡的犯罪成本,有效威慑了盗刷案件的发生。
(二)实施“责任转移”(Liability Shift)政策促进信用卡更新换代
一是用EMV芯片卡取代传统信用卡。为提高支付系统的安全性,推行EMV芯片卡。2015年10月起,美国政府要求所有商户的POS终端必须支持EMV标准,否则在发生信用卡盗刷事件后,由商户承担损失。二是实施“责任转移”政策。2015年10月,维萨和万事达正式实施“责任转移”政策,规定如果持卡人在交易中因使用传统磁条卡而遭遇盗刷,则交易两方中的不支持EMV标准的一方(提供非EMV芯片卡的发卡机构或不使用支持EMV芯片卡POS机的商户)承担主要责任。
(三)建立成熟的保险机制
美国采取银保合作的措施,由商业银行统一为信用卡盗刷行为购买保险。出现信用卡盗刷后,只要持卡人无过错,银行会先将被盗刷的损失退给持卡人,赔付最终会由保险公司承担,持卡人不必与保险公司直接打交道。银保合作机制使银行不承担最终损失,因而积极保护了出卡人利益。
(四)建立完善的预判机制
一是银行加强对异常账户的监控。如果银行监测到持卡人账户出现异常消费,如三个月单笔消费未超过20美元,突然有大额交易或转账,往往采取先冻结账户并联系持卡人的措施。持卡人对消费确认后,才会解除冻结。二是商户不定期抽查客户身份。美国不允许使用他人信用卡消费,商户会采取抽查消费者身份证件的方式预防信用卡盗刷。
四、相关建议
(一)进一步完善信用卡盗刷相关法律法规
建议借鉴美国对信用卡盗刷责任的判定,结合我国实际情况,进一步完善相关法律法规。一是建立限定损失上限机制,从法律层面上规定持卡人遭遇盗刷的最高损失限额;二是明确发卡机构的举证责任,从法律上规定发卡机构有义务采取必要措施识别信用卡是否被非授权使用,减轻持卡人的维权难度;三是建立更加严厉的惩罚机制,加大盗刷信用卡的犯罪成本,保护持卡人资金安全。
(二)加快信用卡更新换代速度
建议加快金融IC芯片卡全面取代磁条卡的进程,结合我国实际情况,把促进IC芯片卡取代传统磁条卡的责任落实到发卡机构,敦促发卡机构对以前发放的磁条卡进行更换,并要求发卡机构全面推出“换卡保号”业务,磁条卡换为芯片卡后可以保留原卡号,提高持卡人更换芯片卡的积极性。
(三)完善信用卡盗刷保险机制
一是建立健全的银保合作机制,商业银行针对信用卡盗刷行为统一购买保险,如果持卡人无过错,银行先将盗刷的损失退给持卡人后,再向保险公司索赔,免去持卡人直接与保险公司沟通的过程,降低持卡人维权成本;二是推动保险公司加快对盗刷险的完善和创新,减少免责条款,简化理赔手续,保护持卡人利益。
(四)完善信用卡盗刷预判机制
一是完善银行内部防范机制。要求银行完善信用卡风险防控体系,对问题账户及在高风险商户频繁使用的信用卡加强监控;银行工作人员发现产生可疑交易的账户,应及时向持卡人确认信息,及时遏制风险交易的发生。二是建立外部防范机制。人民银行及发卡机构应通过社交媒体等方式向持卡人及商户宣传如何保护个人信息安全及维权途径,提高持卡人及商户的防范意识。
