誰為安全買單？

在信用卡產(chǎn)業(yè)中攫取高額利潤的受益者，有責任擔當起防范風險的主力，然而也不能僅依賴他們，信用卡安全其實需要整個產(chǎn)業(yè)鏈共同面對

廣東發(fā)展銀行北京信用卡中心總經(jīng)理孫祺然眼中的中國信用卡產(chǎn)業(yè)架構與中國汽車業(yè)非常相似。在這個類比中，銀行好比汽車制造商，萬事達、Visa以及中國銀聯(lián)是高速公路的擁有者，而卡制造商則是汽車零配件廠商，委外銷售代理業(yè)務商有如汽車經(jīng)銷商，持卡人則更像是車主。就像造成交通事故的原因不是惟一的，信用卡泄密事件以及其他安全問題的產(chǎn)生緣于多種因素。除了“車主”要保持正常駕駛之外，其他幾方同樣對安全問題負有重要責任。

主角缺失的安全防范

針對信用卡安全問題，如果從價值鏈角度分析更為客觀。作為高速路擁有者的卡組織是高利潤的受益者之一?？ńM織們所建立的信息高速路收費十分可觀。談及收入，他們都諱莫如深。但據(jù)曾經(jīng)在某卡組織工作多年的人士稱，有關收費，公司內部有一本幾十頁的小冊子，規(guī)定得很細致。而另一方面，在信用卡安全問題上，他們應有的影響力卻似乎沒有發(fā)揮出來。

在價值鏈中的另一大受益者是銀行。知情人稱，信息卡高達36%的年利率為銀行所創(chuàng)造的利潤也十分可觀。以美國為例，2004年美國銀行信用卡業(yè)的平均資產(chǎn)收益率為4.5%，是同期平均總體資產(chǎn)收益率的3倍。一般而言，信用卡業(yè)務的資產(chǎn)收益率要比銀行總體收益率高2~4倍。而國內信用卡業(yè)務，盡管人民銀行規(guī)定最高利率不能超過18%，但較其他業(yè)務仍有相當大的利潤空間，這也使眾多商業(yè)銀行在中國目前征信體系仍殘缺不全的情況下投入到信用卡的圈地大戰(zhàn)中。

國內銀行在信用卡安全問題上的表現(xiàn)也并不令人滿意。在張寧東看來，與公網(wǎng)不同，銀行的核心業(yè)務系統(tǒng)網(wǎng)絡運用了不同的算法以及加密手段，發(fā)卡行、收單行與國際卡組織之間的網(wǎng)絡應該是安全的。隨著合作商戶的迅速增加，他們逐漸成為了銀行相關網(wǎng)絡與外對接的主要接口，他們也自然成為了信用卡安全鏈中最薄弱的環(huán)節(jié)。在信用卡產(chǎn)業(yè)鏈中，商業(yè)銀行一般同時承擔著發(fā)卡行和收單行的角色，當客戶信用卡被盜，并被盜卡者瘋狂刷卡的時候，發(fā)卡行的反應滯后并非個別現(xiàn)象。

相比之下，國外銀行在信用卡的風險防范上積累了更多經(jīng)驗?？總€人業(yè)務起家的花旗銀行具有較高的風險防范意識。這家銀行很早就有了一套實時監(jiān)控系統(tǒng)，如果在短時間內發(fā)現(xiàn)某客戶卡非正常使用，花旗的這套系統(tǒng)能夠快速鎖定這一賬號。如果某位用戶突然使用一張長期未用的信用卡，花旗的客服人員會立刻通過電話問詢，盡最大可能控制風險。而國內商業(yè)銀行還鮮有這樣的例子。以網(wǎng)上交易為例，發(fā)生信用卡被盜用的情況時，往往是電子商務網(wǎng)站向銀行通報，之后再采取行動，這個時候損失往往難以避免。

除了銀行自己的問題，不同銀行間共同聯(lián)手防范信用卡風險做得也并不到位，發(fā)卡行與收單行之間還經(jīng)常發(fā)生錯位。某商業(yè)銀行信用卡中心的負責人告訴記者，作為收單行，他們曾發(fā)現(xiàn)一個信用卡賬戶明顯出現(xiàn)問題，當他們向該賬戶發(fā)卡行反映時，對方卻表現(xiàn)得很無所謂，最后收單行只好收單了事。

在客戶服務方面，國內各商業(yè)銀行的水平高低不一。以短信提示刷卡信息這一服務功能為例，北京的陳小姐申請辦理了不同銀行的幾張信用卡，在使用過程中發(fā)現(xiàn)，招商銀行一般都能及時告知，有的銀行短信卻在第二天才發(fā)送過來。而所有這些問題的解決都需要相關的產(chǎn)業(yè)主體發(fā)揮足夠的主動性。

無法削減的成本

對銀行而言，除了增強主動防范信用卡風險的意識，必要的投入更不可缺少。磁條卡的缺陷就是目前信用卡怎么也繞不開的安全隱患。在張寧東看來，只要對磁條卡的格式有所了解，在盜取磁條信息之后，復制卡的過程簡單而方便，這對銀行的任何后臺系統(tǒng)來說都是防不勝防的。

萬事達國際卡組織資深副總裁兼大中華區(qū)總經(jīng)理馮煒權曾指出，在未來3-5年內，信用卡將在我國呈現(xiàn)“井噴”式發(fā)展，與此同步增長的將是更高的信用卡欺詐風險。磁條卡的不安全因素如果不早日排除，后患難以估量。

為了徹底解決磁條卡的技術缺陷問題，銀行卡正大張旗鼓的進行“換芯運動”。Visa、萬事達等國際卡組織推出了“風險轉移”政策，要求組織內成員把磁條卡更換成IC智能卡，其中卡芯片的EMV（EMV標準是從磁條卡向IC卡轉移的技術標準）遷移是一大重點，并規(guī)定逾期之后的偽卡欺詐責任要由未實施遷移的一方承擔。

在接受記者采訪的前兩天，孫祺然剛剛參加了人民銀行組織的關于IC智能卡的會議，央行關于銀行卡進行EMV遷移已經(jīng)提上日程?；剡^頭來看國內的商業(yè)銀行，卻發(fā)現(xiàn)他們對卡片換芯的熱情并不高。

在孫祺然看來，對中國商業(yè)銀行而言，現(xiàn)在是搶占信用卡市場的好時機，各大小銀行更愿意將精力花在市場推廣上。如果注意一下電視和報紙的廣告，就會發(fā)現(xiàn)信用卡廣告的增長有多快。在北京某電臺，每天在某一時段有5條信用卡廣告連續(xù)播放。像廣發(fā)行這樣的中小商業(yè)銀行，對信用卡業(yè)務的熱情尤其高。孫祺然認為，廣發(fā)行與四大國有商業(yè)銀行在別的領域競爭很難有突破，但在信用卡領域，廣發(fā)行已經(jīng)以300萬張的發(fā)行量占據(jù)第一把交椅。如今幾大國有商業(yè)銀行也開始看好信用卡，盡管市場仍屬初級階段，但競爭已近白熱化。

事實上，大眾對信用卡安全的擔憂如果得不到安撫，無論銀行怎樣投入看起來都像是本末倒置。而在業(yè)內人士看來，銀行對EMV遷移冷淡的原因在于成本考慮。

據(jù)中國銀聯(lián)IC卡應用部副總經(jīng)理徐晉耀介紹，全球銀行卡盡管總量很大，但是發(fā)卡銀行及信用卡公司這樣的發(fā)卡機構數(shù)量很多，因此每家銀行的發(fā)卡量并不大，同時卡片換芯的總體成本也不會很高，他們“換芯”的最大成本是對后臺系統(tǒng)的升級改造。與之相比，中國的發(fā)卡機構相對集中，主要包括四大國有商業(yè)銀行、十幾家股份制商業(yè)銀行以及部分城市商業(yè)銀行，加起來不過二十來家。從發(fā)卡量來看，其中的發(fā)卡大戶不過在工行、建行、招行等幾家。發(fā)卡行的相對集中也使得這些銀行各自的換芯成本遠高于其后臺改造的成本。從Visa國際組織提供的數(shù)據(jù)看，換芯成本其實是在下降的，一張芯片卡的成本從過去的3美元已經(jīng)下降到了1美元左右。然而，對于中國的發(fā)卡銀行而言，要將每張價值不過1元人民幣的磁條卡都換成1美元的IC卡，7億多張卡片的換芯成本可以說是個天文數(shù)字。按照Visa的算法，如果把更換終端、用戶培訓的費用加上，中國EMV遷移的總成本將高達數(shù)百億元人民幣。

國內的商業(yè)銀行目前都在掂量為防范信用卡風險支付的成本與收益的平衡問題。即便如此，處于信用卡安全漩渦中心的商業(yè)銀行如不下力氣解決安全問題，將沒有信用卡產(chǎn)業(yè)的長足發(fā)展。而目前在信用卡業(yè)務上有所建樹的廣發(fā)、招行無一不在安全系統(tǒng)上進行了大規(guī)模的投入。

不可忽視的邊緣力量

如果說卡組織和銀行是防范信用卡風險的主力，那么與之關系密切的合作廠商也不可忽視。全球最大的銀行卡生產(chǎn)商歐貝特卡系統(tǒng)公司已在中國開始著手銀行EMV卡的推廣，該公司首席顧問陳安平認為，信用卡的安全是一個系統(tǒng)問題，要站在整個產(chǎn)業(yè)鏈的高度來應對。此前他曾在Visa任職20多年，從Visa全球副總裁的位置上退休，之后在中國銀聯(lián)有過兩年多的顧問經(jīng)歷，對信用卡產(chǎn)業(yè)有著深刻理解。

在陳安平看來，中國商業(yè)銀行目前在銀行卡方面的安全性比國外不少銀行還要高，這與國內銀行卡多為借記卡有關。而國內客戶在借記卡上輸入密碼的使用習慣也影響到了貸記卡的使用，現(xiàn)在國內不少信用卡也有密碼認證的環(huán)節(jié)。

隨著信用卡客戶的大量增長以及國際往來的頻繁，國際通用的簽名習慣必將成為主流，對于中國目前的信用卡市場環(huán)境來說，IC智能卡也是一種必然選擇。而在EMV遷移的過程中，EMV包含的安全管理、密鑰管理等關乎信用卡安全的國際標準也將應用到中國商業(yè)銀行環(huán)節(jié)，這對中國商業(yè)銀行的后臺系統(tǒng)會是一種新的考驗，也要求國內銀行在信用卡產(chǎn)業(yè)中要站到信用卡安全的最前端來。

“但對銀行不能過于苛求，信用卡安全是需要整個產(chǎn)業(yè)鏈共同面對的問題，”陳安平告訴記者，“信用卡每一個鏈條之間都有一個標準問題，銀行與卡商、銀行與卡組織以及其他鏈條之間要進行標準對接?！痹谒磥?，萬事達、Visa這樣的卡組織在信用卡行業(yè)中，充當著制定游戲規(guī)則的角色，而信用卡安全是這個規(guī)則的底線。

對于前不久的美國信用卡泄密事件，陳安平認為，萬事達、Visa對CardSystems這樣的第三方公司認證應該有一個嚴格標準，對這種做數(shù)據(jù)外包的公司要經(jīng)常性的檢查和審核。萬事達、Visa的網(wǎng)絡系統(tǒng)作為發(fā)卡行和收單行之間的交換清算平臺，如果承接外包業(yè)務的公司不負責任，那么將對信用卡的安全形成致命威脅。

在目前信用卡安全最薄弱的商戶環(huán)節(jié)出問題的時候，萬事達、Visa以及中國銀聯(lián)這些卡組織同樣需要首先站出來，規(guī)范和制約商戶行為，如何防止特約商戶刷卡終端被“做手腳”，打擊那些“縱容”盜卡者刷卡消費的商戶，都是這些卡組織要面對的問題。而對歐貝特這樣的卡生產(chǎn)商而言，需要積極參與信用卡相關標準的建立和推廣，與產(chǎn)業(yè)鏈其他環(huán)節(jié)產(chǎn)生互動。

信用卡安全無疑是一個系統(tǒng)工程，它與產(chǎn)業(yè)鏈上諸多環(huán)節(jié)密切相關，使信用卡風險降低是產(chǎn)業(yè)鏈中多種力量積極互動的結果。要想讓信用卡產(chǎn)業(yè)有更廣闊的發(fā)展空間，不失信于客戶，需要進行產(chǎn)業(yè)總動員。