主题：zt 银行的问题又来了 -- lanchong

首先，为了大家方便，我先自我介绍一下。我曾在招行工作过两年，虽然主要做的是个人理财，但幸运的是当时人手少，所以让我有机会先到各个岗位轮了一圈，除了事后监督都做过了。说这些为了免去大家猜测的时间，如果你认为我曾是银行的说话就偏颇，那下面的话就不用看了。

下面的分析基于三年前的业务知识，不敢说跟现在的情况完全对得上号，只是给大家做个参考。

楼主的转贴很长，我详细看了招行网银的问题，也就是第二章，关于上海付费通的问题。

首先我的出发点是作者的叙述完全属实，但可能有遗漏的细节。毕竟作者不熟悉银行的工作机制，可能忽略掉了有价值的线索。

作者对招行提出了几个问题（后面有引用），最后表达了对招行个人银行专业版安全性的不满和严重的质疑。

我刚才查了一下这个“上海付费通公司”，是一个独立的法人企业，开设通过银行卡缴费的业务，银行是他的合作伙伴。换句话说，这个付费通不等于银行，也不是银行开展的一个业务，而是单独的一个公司。

说到这里我认为作者的这个遭遇漏掉了一个很重要的前提，那就是他是否在付费通开通相关的缴费业务。如果是我看漏了谢谢提醒一下。

如果他完全与付费通没有联系，那么这是一起很严重的事件，他对银行的指责我完全赞同，并且希望他以法律手段捍卫自己的权利。

如果他自己确实在付费通上开通过相关的业务，那么我理解这个事情就成了“付费通乱收费，而银行是他收费的途径”。这样一来合同的主体就是付费通和作者，与银行完全没有联系。我觉得就有几点值得商榷了。

首先关于第一条和第二条，

我对法律不懂行，但是我想，已经报案并开始司法手续了，那么就应该等结果出来之后才能追回资金，也就是说在等确定这是“赃款”后。因为纠纷这种事情向来要两面取证，作为客户当然认为自己理直气壮，认为马上把钱转回来是理所当然。但是有时候合情的未必合理。不知道我这个想法对不对，要是有懂法的河友能说说就更好。

但是关于第三条

这里有个问题了，不知道作者是怎么断定对方是通过鼠标键盘操作来实现划款的。由于缺失了这个重要的前提，后面我只能根据假设来说了。

首先我说一下招行专业版（下面简称专业版）的工作机制。专业版是一个网银客户端，客户可以通过专业版对自己的账户进行操作。他的安全机制有两种：一种是数字证书，即客户需要本人持身份证件和银行卡到招行的营业网点去申请，申请过程中必须输入取款密码。这个业务是不能他人代办的，我认为这杜绝了非本人盗用申请的可能性。需要说明的是，这是客户申请到的是一个数字证书的申请码而不是数字证书本身。然后客户需要将申请到的数字证书导入电脑，这个过程同样要求取款密码，而且还会让客户留下5个提示问题和答案，然后专业版安装完成。值得注意的是，至此客户的电脑上并没有一个数字证书文件，而是完全嵌入了专业版内部。也就是说，一但你重装电脑，你的专业版就没用了，你必须重新到网点申请数字证书。为了方便客户，专业版提供了证书导出功能，使用这样功能后，电脑里才会出现一个数字证书文件，而且在恢复时必须回答前面客户自己设置的5个问题中随机抽取的两个。也就是说，使用了证书导出的客户才有可能被别人盗取安全证书，盗取者想要成功使用专业版，还必须回答对两个问题和掌握取款密码。说到这里，相信大家对于盗取成功的可能性就有一个认识了。

第二种是usb证书，即作者提到的u盾。申请方式相同，不同的是招行会给客户一个u盘，安装专业版时必须插入该u盘，需要注意的是这样安装的数字证书不再嵌入到专业版内，而是放在u盘里，在这种情况下也就没有导出机制，而且使用专业版时必须保证u盘为插入状态。这样盗取者要想成功盗用专业版，必须盗取u盘，回答问题，掌握取款密码。

讲了这么多枯燥的理论，回到问题。如果确实是通过键盘鼠标操作，那么就是成功盗取了作者的专业版，从文中看作者的u盘并未丢失。那么可以说是专业版出了问题，这是招行的问题，而且是个重大问题。

反过来，如果不是通过键盘鼠标操作的，那就这能是网络划转的。那我不得不说，这事儿与专业版的安全性毫无关系，与银行也没什么关系。因为专业版作为一个网银终端，只执行“个性化”的命令，也就是说像自动代扣这样的工作一旦签订，就会在固定的时间，根据代扣方发送的金额代扣，完全不需要通过客户，要不何来“自动代扣”？在这个过程中网银还是起作用的，但是并不是核实这是否是“客户的意愿”，因为这一点已经在你和代扣方签的合同里说明了。这样作者认为的付费通权限超过银行也就是无稽之谈了。

换句话说，这个事情可以抽象成这样：你在百货公司买了一双90元的鞋，然后给了一张签了名的空头支票给售货员，说我忙，请你直接帮我填上，然后就离开了。可是这个售货员给你填了个90000。事后你发现了，你是该找银行呢，还是该找售货员？

为了防止网上交易可能发生的问题，专业版是设置了交易上限功能的，提醒大家最好还是设置一下，以防万一。

一句话，问题可能不是想象的那么简单，到底问题出在哪里？在详细分析前，最好不要急于出口伤人。退一万步，即使是招行出了问题，是不是所有的银行员工都该杀？要真是这么容易判断，估计地球上也剩不了几个人了。