改进认证安排及加强资料保安是促进信用卡业务安全的两个方法。
先前发生了几宗大规模的信用卡资料外泄事故。这些事故要到有关的信用卡被不法分子盗用,进行了几百宗交易后才被发现,涉及款额数以十万计。有关各方在发现问题后随即采取行动,终止或取消可能受影响的信用卡。然而,即使受影响持卡人无需对有关的交易负责,但大家仍然关注类似事件会否再次发生。信用卡资料外泄事故不仅对持卡人构成不便,亦令信用卡系统的健全性受到影响,可能会影响用户信心。
我相信有关各方会尽快找到方法解决这个问题。只要消费者无需对不法分子以盗用资料进行的交易负责,并且仍然可以利用其他方便的途径付款以及获取信贷,监管机构看来没有理由要插手,反正信用卡业务的主要参与者绝大部分都不受任何现行的监管制度约束。发卡机构及有关各方不可能一直透过提高财务费用或商户收费,来抵销信用卡被盗用所引致的损失。况且对部分人来说,有关费用或收费已属过高。一旦超越某个程度,信用卡持卡人及商户的行为或许会出现重大转变,以致利用信用卡付款及获取信贷的做法不再普及。因此,有关各方为着本身的利益着想,应赶快设法改进授权及认证安排,使其更加稳妥。
现行的认证程序相当松散。在许多情况下,大家利用先进的电讯技术,以能方便快捷地完成交易,却牺牲了认证的程序,简单如进行电话订购时以信用卡背面的密码来认证(虽然不一定完全有效)这个步骤有时也放弃了。我担心这种做法会让不法分子有可乘之机,可以有系统地盗取信用卡资料,以进行未经授权交易。毫无疑问,我相信改进认证安排可以解决这个问题。
另一个方法是加强传送、处理及储存信用卡资料的地方的资料保安。信用卡支付系统有多个参与者,除了信用卡持有人、商户及发卡机构外,还有比较少人认识的网络营运商、服务供应商及收单机构。他们全部都能取得信用卡资料,其中部分参与者(例如服务供应商)所能获取的资料会比其他参与者更集中,因此他们亦更容易被不法分子有系统地盗取资料,所以他们应该加倍小心,确保有缜密的保安。但无论有没有先前发生的多宗事故,有关各方都应小心谨慎,保障信用卡资料。
信用卡业务是一门庞大的生意,也是一项全球化的业务,因此难以透过监管来解决问题,因为有关法律往往只可以在当地实施,在国际上并没有效力。这可能是信用卡业务容易出现诈骗个案的原因之一,同时也是其他看似不正常现象形成的原因。我相信读者都会留意到,在某些地方使用某些信用卡可以得到很大的折扣。对于这类情况,可理解为以现金或其他方法付款而因此得不到折扣优惠的人,正补贴有关的信用卡用户。此外,还有发卡机构、收单机构及网络营运商收取的费用,理论上都会令商品与服务更昂贵──这至少对无需以信用卡购物的消费者来说是事实。究竟信贷状况良好的消费者(好得无需信贷)是否在补贴信贷状况较差而需要借贷的消费者呢?这些都是很复杂的问题,值得大家研究。但我并不是指监管机构要干预。这门生意规模非常庞大,大得足以推动有关各方为了自身的利益而主动寻求解决问题的方法,并确保持卡人继续得到保障。我相信市场能自行处理这些事件。
任志刚
2006年2月23日
按此处可参阅本专栏过往的文章。
