日前,在上海浦东法院正在审理的一场纠纷中,因为持卡人怀疑是银行的电子系统存在漏洞才让小偷得逞,而将银行告上法庭。原告的两张牡丹灵通卡上各有1414元通过网上银行被人转走,而从银行卡的提款记录来看,小偷可能事先并不知晓卡内的存款数额。由此,原告怀疑小偷并没有事先破解银行卡密码,而是直接利用电子银行的漏洞一次性将钱划走转账。此事发生后,银行方对此矢口否认,称自己的电子银行系统经过了公共安全部门对其可靠性和安全性进行的一系列的测试,而且还没有接到其他类似用户的投诉,由此拒绝赔偿。
此案目前法院还没有审理结果,但原告仅仅是怀疑而没有确实的证据证明电子银行系统有漏洞,从而让诉讼对自己很不利。由于没有大规模的银行帐户被盗事件的发生,银行的系统漏洞应该说是可以被排除的。但是通过这个案件说明,由于种种情况的发生,已经有用户开始对电子银行系统的安全性表示怀疑了。同时,在即将实施的《电子银行业务管理办法》中也明确规定了“电子银行系统存在安全隐患”造成损失的,金融机构应当承担相应责任。这就带来了一个电子银行的安全性的认定问题。
依照《电子银行业务管理办法》的规定,金融机构必须定期对电子银行系统进行安全评估,并将其作为电子银行风险管理的重要组成部分。但是安全评估工作有谁来完成呢?如何让评估更具有公信力呢?
中国银监会在发布《电子银行业务管理办法》的同时也发布了《电子银行安全评估指引》,从中对这个问题的解决,是“承担金融机构电子银行安全评估工作的机构,可以是金融机构外部的社会专业化机构,也可以是金融机构内部具备相应条件的相对独立部门”,而且“金融机构在进行电子银行安全评估时,可以选择经中国银监会资质认定的安全评估机构,也可以选择未经中国银监会资质认定的安全评估机构。”由此可见,《电子银行安全评估指引》中金融机构进行安全评估所能够选择机构的范围是非常宽泛的,这样会直接带来安全评估的社会公信力的降低。
一个电子银行的安全建设,不仅仅是银行业一方自己用劲的事情;而是要让这种安全性为用户所知晓和信任。但是这种安全性光靠银行一方“吹嘘”是不够的,《电子银行安全评估指引》中再次让金融机构内部的相对独立部门承担起安全评估工作,让用户会更加不信任。这就好比前面案例中被告银行中的某个部门出来作证,“我们银行的系统是安全的”。在法庭上,这种证词的证明力也是非常有限的。
社会专业化机构资质管理的放宽,也必然会让这些机构的水平值得怀疑。由于没有经过中国银监会资质认定的安全评估机构也可以与经中国银监会资质认定的安全评估机构一样在安全评估市场上竞争,从而难以让其中某些机构产生更为强大的社会公信力。同时市场的竞争者鱼目混珠,不免会因为竞争而发生一些“虚假评估”的事情来。当然我们相信通过市场竞争,会产生一个或者几个为整个社会所知晓并信任的安全评估机构,但为此要付出的时间和代价是得不偿失的。
同时,我们有必要建立一种用户申请安全评估的机制。依照《电子银行业务管理办法》的规定,安全评估是定期的,即使再频繁,由于网络安全的特性,也只能保证评估时的相对安全,不可能是绝对永远安全的。当用户对电子银行系统的安全性表示怀疑的时候,能够调取的只是一定时间之前的安全评估文件,而不能证明此时的系统是安全的,因此,需要建立用户申请安全评估的机制。但是,这种申请安全评估机制必须简便可行,否则会因为费用过高和工作烦琐,可能会让这种用户申请安全评估机制形同虚设。