文/张翼轸

美国4000万信用卡资料被盗，这并不可怕，因为循惯例发生盗用赔钱的是银行，用户并无损失。真正可怕的是中国的银行卡，根据媒体报道，四川某用户工行内6000多元的存款被人以网上购物的方式一夜扫空，而这笔损失可能将由其自行承担。

中国的银行发展颇为特别，由于信用卡发展过于缓慢，所以时下国内电子商务中承担网上支付的并不是国外流行的信用卡，而是依托于银行借记卡的网上银行。

就安全性而言，其实信用卡支付还不如国内的网上银行，任何一个人只要有机会接触到你的信用卡，记上刻在卡正面的卡号及过期日期再加上卡背后的验证码，便可以用这张卡进行网上支付;相比国内的网上银行除了卡号还需要用户自己设定的密码，安全性反而高一些。这也是为什么近期最大的信用卡发卡组织Visa为了提高信用卡网上支付的安全性，开始逐步推广附设密码的原因。虽然信用卡更不安全，只不过信用卡在海外使用广泛，已经形成了只要银行不能举证证明某笔消费是由卡主完成，就必须承担相应损失的惯例，所以并不安全的信用卡支付虽然让银行头疼，但是对于用户威胁并不大。相比之下，相对安全的网上银行业务，对于用户却是威胁更大。

国内的网上银行，一般分为两种，专业版或者普通版，当然具体名字可能有所不同，但是大体来说就是一种需要专门的电子证书作为身分识别，从而加强安全系数，另一种则只需要卡号和密码机壳，安全性相对较低。这两种版本安全性不同，自然操作的权限不同。以使用最广泛的招商银行的为例，其普通版仅能用来进行基本的查询和一些交易品种的买卖，转账和网上支付并不支持。要使用网上支付，就必须使用依托于原先银行卡的专用支付卡卡号以及密码，支付卡的卡号在普通版中必须提供多个信息才能够获得;如果要进行转帐，则一定要通过使用电子证书的专业版。这也就是说，只要有人能够头看到你的支付卡卡号和密码，虽然不能把钱转作他用，但可以利用你的银行卡进行网上支付，只要不超过每天的限额既可。

笔者在Hong Kong银行也有账户，同样使用过他们的网上银行服务，两者一对比，便可以发现内地的网上银行服务在设计上有诸多不安全的地方。

首先，内地网上支付业务是一个缺省服务，所有的银行卡都附带，无须开通都可以使用。这样对于银行拓展业务自然有好处，但是却给那些并不需要网上银行业务的用户带来额外的风险，而与此相比，Hong Kong的网上银行一般都已经将网上支付、转账等业务设置为必须持卡人亲自去银行申请才能够使用。

其次，内地的网上支付业务权限设置相对简单，以招行为例，如果你使用普通版，根本不能够修改每天网上支付的限额，而只能使用银行提供的缺省数额，想要修改或者禁止某些业务，你却必须使用专业版。不安全的普通版不允许设置降低风险，相对安全的专业版倒允许，真是有些滑稽。相比较，Hong Kong的网上银行业务就很人性化了，你不但可以设置每天支付、转账的上限，而且可以更进一步设置仅允许针对某几个特定账户支付或者转账，将安全性进一步提高。

最后，内地即使是专业版，一般也就是一个证书作为保障，而Hong Kong恒生和汇丰两间银行已经推出新一代的保安编码器来加强网上银行的安全性。保安编码器是一个大拇指大小的电子仪器，上面有液晶屏幕和一个按钮。在如何使用保安编码器加强网络银行服务上，汇丰和恒生各有不同的选择。恒生将保安编码器作为高危服务的保障手段，仅在你需要向未登记户口转账或者支付时，才需要用到保安编码，因此并非每个用户都获发保安编码器，如果你之前有使用高风险服务或者去银行主动申请，便会免费得到保安编码器;汇丰相对更加谨慎一点，不但为每一个用户都免费发放了保安编码器，而且今后连最基本的登入网上银行查看户口资料都需要保安编码器的配合，虽然安全性是大大提高，不过麻烦也是多了不少。

每一个编码器都有一个自身编号，你在使用之前需要将其与自己的银行账户绑定。编码器应该内置有时钟，每次按下按钮，都会根据自身的编号和时间生成一个6位数的密码，你除了自己帐户的个人密码外还需要输入这个秘密，才能够获得身份的识别。由于生成的密码与时间挂钩，所以每次生成的密码都不一致，而且每个密码只能使用很短的时间，这样即使他人偷看或者记录下你的个人密码和保安密码，时间一过同样不能操纵你的网上银行。

虽然Hong Kong的智能身份证早就内置了安全证书，但是由于需要使用特殊的设备读取，所以使用并不方便。内地使用的证书版网上银行虽然没有使用芯片卡，二是允许读者保存在硬盘或者USB存储器上，但是就移动性而言，还是不佳。Hong Kong此次推出的保安编码器小到可以放在钥匙扣上随身携带，而且纯硬件化，比起软件形式的电子证书来是更胜一筹。不知道安全性更低内地网上银行何时可以推出类似服务，保护内地用户的安全。

当然，内地网上银行的问题，不仅是设计，法规上的疏漏更为重要。根据央行近期出台的《电子支付指引(征求意见稿)》，只有在账户“使用数字证书和电子签名等作为安全认证方式”和“因转发人或银行原因造成客户安全认证数据被盗”两种情况下，银行才会负相关责任。也就是说，因为相对高安全性的专业版造成损失，银行负责;而使用相对不安全的普通版，银行就没有责任了。如果是用户自由的选择，贪图方便选择普通版，那么如此立法还有些道理，可是现在的问题是银行不分青红皂白就给每个用户提供了普通版，用户根本没有选择，如此情况却要用户承担损失，简直就是强词夺理。这就像一个保险箱，生产商除了安装了一扇三道锁的门，还自作主张帮你装了一扇一道锁的门，然后告诉你，三道锁的门被打开损失它负责，一道锁的门打开造成损失，它概不负责，天下哪有这样的逻辑?

网上银行的安全必须加强，不仅是技术上，更重要是立法上。与银行相比，用户是弱者，相关法律应当保护弱者才对，否则就只是为银行说话的“恶法”一部。