难题：

“盗刷很难判断泄露环节在哪里”

5月9日，最高人民法院与最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。《解释》明确，非法获取、出售或者提供公民个人信息违法所得五千元以上，即应当认定为刑法第二百五十三条之一规定的“情节严重”，可处三年以下有期徒刑或者拘役，并处或者单处罚金。

360手机卫士安全专家葛健向新京报记者表示，2017年第一季度，360手机卫士拦截的垃圾短信中，有1100万条伪基站短信，占垃圾短信拦截总量的0.5%。一季度，360互联网安全中心共截获安卓平台新增恶意程序样本222.8万个，隐私窃取类木马占比7.9%。

葛健称，360提供的数据显示，2017年第一季度，伪基站短信在所有垃圾短信中的比例，相较于2016年第一季度(6.6%)、2016年全年(4%)有了明显下降。这说明通过公安机关、电信运营商、安全厂商等相关政府、企业联合打击治理后，伪基站短信得到了有效的治理。

21CN聚投诉在3月发布的银行卡盗刷大数据显示，2016年度，银行卡盗刷全网公开的投诉量共7095次，累计造成客户经济损失1.83亿元。2016年工商银行全年盗刷投诉量1923次，成为盗刷投诉第一大户，占总投诉量的25.6%，涉案金额3874.8万元。

北京盈科律师事务所方超强律师表示，一般用户银行卡信息泄露后遭到盗刷，很难判断泄露环节在哪里。但银行卡在盗刷时总会有IP地址显示，银行卡持有人只要证明银行卡被盗刷时的IP地址和本人当时所在地址不一致，就可以证明这单交易非本人操作，从而获得银行理赔。

“在实际维权过程中，如果银行卡持有人举证证明银行卡确实遭到盗刷，且过错是银行方面的漏洞，是可以获得银行赔偿的。不过在钓鱼网站泄露信息被盗刷的情况并不属于银行本身存在漏洞，只能说骗术过于高明，在这样的情况下，银行不需承担责任。”方超强表示。

6月8日，新京报记者拨打工商银行及招商银行客服咨询银行卡被盗刷之后可如何处理，工行客服回复称，如果用户账户遭到盗刷，可以立即申请拒付以避免更大损失；如果上了账户安全险，遭到盗刷后可以获取一定数额的赔偿，但并不能保证被盗刷走的钱一定能被追回来。招行则回复称具体处理情况需要根据盗刷者是境内境外盗刷以及线上还是线下盗刷来具体分析。

2016年，新京报曾经报道，受害者许先生在回复一条短信后，银行卡、支付宝、百度钱包内资金被盗走的情况。网络安全专家当时分析，这是一则利用“个人信息＋USIM卡＋改号软件发送诈骗短信”盗取资金的案件，在实施诈骗之前，骗子掌握了大量受害者的个人信息，包括姓名、手机号、身份证号、网银账户和密码，银行预留的验证手机号。不法分子获取个人信息主要的途径包括无良商家盗卖、网站数据窃取、木马病毒攻击、钓鱼网站诈骗、二手手机泄密和新型黑客技术窃取等。

第三方支付平台易联支付也遭遇过用户银行卡通过其平台被盗刷的情况。

5月4日，有用户反映自己银行卡上的500块钱被他人通过易联支付进入苹果账号充值“取走”。

易联支付相关负责人向新京报记者表示，该用户的银行卡在被盗刷过程中，均是在填写了正确的银行卡开户信息以及个人身份信息后，输入了正确的银行卡取款密码，易联支付通过银联及发卡行对支付信息进行校验后才成功扣款。“我们以此可以判断在银行卡被盗刷前，犯罪分子已经掌握了所有支付信息，包含银行卡取款密码。”

上述负责人表示，易联支付有“先行赔付”机制。“我们在收到该用户的投诉后，已第一时间联系商家冻结交易，并在投诉后的第1个工作日安排了退款。”

方超强表示，第三方平台属于支付的渠道和工具，在刷卡环节不认人，只和密钥比对，因此在银行卡盗刷事件中，第三方平台本身并不需要承担责任。

新京报记者 罗亦丹 陈鹏