本报记者韩瑞芸北京报道

　　“因为信用卡透支可直接造成坏账，这使得有些银行领导过于注重其信贷风险，反而没有看到安全隐患方面的潜在问题。”他认为，这些隐患尤其突出地体现在安全观念普及、系统例行维护、事故责任追究等方面。

　　有史以来最严重的信用卡身份资料遭窃案于一周前惊爆美国，随即轰动全球。该案涉及四家国际级大型信用卡组织，约800万张信用卡资料。

　　反观国内，尽管国际信用卡组织的专家对国内银行自行研发的信用卡交易处理系统之安全性表示放心，然而，大大小小的信用卡犯罪案及千奇百怪的犯罪手段仍有卷可查。

　　业内人士指出，安全观念落实不到位、例行维护制度实施不力、法律法规保障缺乏，甚至互联网与电子商务的普及速度加快等因素，都可能成为未来银行信用卡的安全隐患。

　　据中国银联股份有限公司统计，截至去年9月底，我国各类银行卡发行总量达到4.69亿张。其中，虽然信用卡数量仅有数百万张，但增长势头迅猛。

　　无论信用卡（贷记卡）还是借记卡，同样存在系统安全问题。但愿以网络为主题的好莱坞影片《黑客帝国》当中的犯罪情节，不会在中国上演。

　　不会重蹈复辙？

　　2月17日，占据着全球信用卡支付数据处理市场绝对份额的两家国际级大型信用卡组织：维萨（visa）和万事达（master），公开承认了其在美国境内信用卡失密的事实。由于一名电脑黑客攻入美国一家专门为商店和银行处理信用卡交易的服务器系统，致使两家组织分别有约340万张和220万张的信用卡资料被盗。次日，美国运通（americanexpress）和发现（discover）两家卡组织也向公众报告了同样问题。

　　据悉，该事件共有约800万张信用卡资料被窃，尤以维萨和万事达的损失最为严重。个别银行在接到信用卡组织的通报后，决定关闭该行在此次事件中失窃的客户信用卡账号。

　　与此同时，由于被窃信息之巨异乎寻常，美联邦调查局也正加紧对该案进行调查。而在近两三年中，美国日益见涨的信用卡资料失窃案涉及信息多为几十万条。作案者一般会将窃得的客户资料卖给犯罪集团，或直接对受害公司进行巨额勒索。据《纽约时报》报道，在2000年上半年中，至少有12家大跨国公司的客户资料被窃，维萨公司曾被勒索上千万美元。

　　而在大西洋另一岸的中国，万事达北京办事处首席代表韩卫强却就同一问题表示出乐观情绪。

　　韩在接受记者采访时指出，由于运行机制及角色身份有所差别，短期内，在中国的万事达卡将不会出现类似美国的情况。在美国，万事达等卡组织作为第三方电子支付信息处理公司，拥有部分客户资料，一旦发生资料被窃事件，机构将连带地承担责任并蒙受损失。但在中国，所有的国内信用卡客户资料及交易数据一概掌握在发卡机构，即银行手中。有业内人士点明，由于特殊国情及行业准入限制，才造就了“与众不同”的国际卡组织中国办事处。　　“我信任中国银行业信用卡数据系统的安全化程度。”韩卫强表示，虽然各家银行的数据处理系统出处不一，有的是银行内部自主研发，有的是在国外先进技术系统上创新改良，有的则彻底外包给专业公司，但最终的系统保卫设置及维护工作，必须由银行内部可靠人员所为。

　　冰山一角

　　然而，也有不愿透露姓名的某银行信用卡部人士认为，以发案率为标准判断银行系统安全程度的做法未免有以偏概全、自圆其说之嫌。

　　“因为信用卡透支可直接造成坏账，这使得有些银行领导过于注重其信贷风险，反而没有看到安全隐患方面的潜在问题。”他认为，这些隐患尤其突出地体现在安全观念普及、系统例行维护、事故责任追究等方面。

　　该人士介绍，目前各家银行正在搞数据大集中，内部的信息技术都在迅速提升。其中，人力资源部门已摆脱部分人工操作，财务管理已全面电子化，业务部门的技术虽与国际还有一定距离，但已颇为先进。唯独系统安全维护，技术变化一直不大。

　　他表示，国内银行还存有只重业务不重安全的观念，受此影响，维护系统安全的工作人员薪资水平与在集团中的地位偏低，难以专心做好本职工作。加之银行体制方面的因素，即使发生事故，银行很少一级一级地将事故责任落实到人头。

　　专家指出，将信用卡部从银行业务中分离出来另立门户，独立核算，自负盈亏，或许是目前解决国内银行卡业多种矛盾及问题的最好方案。

　　全球ERP软件供应商SAP公司中国区金融行业总监栗树和博士也持有类似意见。“技术是可以看得到、容易解决的问题，还有一个问题更麻烦，那就是内部操作风险。银行或业务部门只有进行股份制改造，才能让情况慢慢好起来。”

　　2002年5月17日，中国工商银行率先成立牡丹卡中心，对牡丹卡业务实行专业化经营、公司化管理。该中心成立不到半年，就完成内部机构和人员的整合，投产具有世界先进水平的贷记卡应用系统，构建出牡丹卡业务集中经营的组织架构和运作模式。“与以往银行卡部不同，中心成立后，一直在探索着长期稳健的发展模式，安全问题当然更不容忽视。”但该牡丹卡中心工作人员拒绝透露任何有关信息安全的改革方案。

　　传统与新兴作案方式

　　某银行信用卡部人士认为，并非目前中国银行业信息系统的安全性高得足以抵挡任何“侵略”行径，“时机未到”才是中国境内信用卡罪案发案率低的重要客观原因之一。

　　据记者了解，目前中国境内的银行卡犯罪还停留在传统的非互联网个案操作阶段，主要有4种作案方式：　　一是当持卡人在银行ATM上取款时，进行隐蔽窥视，或利用持卡人丢弃的刷卡回单获取个人资料，或在持卡人使用过的网吧电脑或公用电话上回查有关资料，以此获取卡内信息资料，伪造信用卡；

　　二是利用人们轻信、贪小的心理，以假卡、空卡调包真卡，或在ATM机旁贴“通知”等办法作案；

　　三是用别人的身份证等有效证件做担保申请信用账户，并进行信用透支等诈骗行为；

　　四是在餐馆、商场的一些不法服务人员利用客户持卡消费的时机，在几秒钟的时间内使用比卡大不了多少的盗码器盗取客户的信用卡账号和密码，然后用市场上就可买到的空磁条卡，伪造出立即可以提款、消费的信用卡。

　　“更先进、更防不胜防的作案方式要数互联网盗窃。在电子商务越来越进入生活的时候，我国现有的法律法规本应该对这一新兴事物加以规范。但目前，漏洞着实不少。”

　　该人士表示，为了维护国家安全利益和社会公共利益，国家专政机关必须对新的通讯方式，如电子邮件、IP电话等，加以合法的监视监听。为此，美国克林顿政府曾努力将联邦窃听法案的范围扩大到包括对光缆和DSL线路传输的电子邮件进行监视。

　　与此同时，一些国家针对公民的信用卡资料被盗，导致隐私泄露、财产受到他人恶意透支等情况，已出台网上隐私权法律法规。而我国现有法律体系只对隐私权做了抽象而宽泛的定义，比如“享有通讯自由”、“通讯秘密受法律保护”等，还缺乏可操作性的法律条款。

　　此外，一旦消费者发现自己持有的卡被盗刷而报案，犯罪依据的收集将是个重大问题。而法律执行部门在追踪和起诉境外网络罪犯时所表现出的困难程度，也使得许多公司不愿向有关部门报告黑客入侵事件。