国内主要商业银行均已开通“网上银行”业务。而网上银行业务 安全备受关注,媒体对网上银行被盗案的报道,足以说明这一点。在 存款资金被盗后,储户往往会将银行告上法庭,要求银行赔偿其损失。 如2006年8月30日《法律日报》第6版刊登的《国内金额最大网上 银行被盗案一审宣判一一银行全额赔储户并支付违约金》一文中,一 审法院即支持了储户的赔偿请求。由此可见,银行在网上银行被盗案 中将而临着法律风险。木文试就这一问题及其有关对策浅作探讨。
一、银行在网上银行被盗案中面临的法律风险 (一) 格式条款风险
无论是自助注册还是柜面注册,银行均要与客户签订《服务协 议》。为业务操作方便和能重复使用,该协议由银行预先拟定,客户 在注册时只能选择“同意”或“不同意”。《合同法》上将这种由一 方当事人预先拟订的协议条款,称为“格式条款”。为限制拟定方(当 事人)利用格式条款免除其责任、加重对方(当事人)责任或排除对 方主要权利,体现公平原则,《合同法》第39条、40条和41条规 定有格式条款规则。违反该规则的,或格式条款无效,或可能不利于 拟定方。因此,一旦对格式条款产生争议,银行将会面临不利的法律 风险。在《法制日报》所刊登的全国金额最大网上银行被盗案中,法 院认为“凡密码相符的交易均视为客户实施的操作的合法交易”之规 定,有悖公平,因而认定该规定无效。
(二) 身份识别风险
在网上银行业务中,银行通过银行卡号(或存折号)、密码和身 份证号来判断客户身份。然身份证造假技术日益高明,既使公安技术 人员
也很难甄别。因此,当犯罪分子以假身份证、所掌握的密码信息 和“客户遗失的银行卡(或存折)”或“克隆的假银行卡”在柜面注 册时,银行工作人员是难以识“假”的;当犯罪分子以所掌握的身份 证号、密码信息和客户银行卡(或存折)号冒名自助注册时,银行计 算机系统也无法去判别“注册者”的真实身份。而在注册成功后的网 上交易中,由于非而对面的特性,银行无法以物化的方式识别操作者, 仅能依靠相关数据信息予以识别。这也使犯罪分子在网上银行作案有 “机”可乘。银行在被盗中的过错,往往被认定为注册时(尤其在柜 而注册)未识别出虚假资料(信息)。在《法制Fl报》所刊登的全国 金额最大网上银行被盗案中,一审法院即认定银行的过错在于柜面注 册接受(未识别出)虚假资料。当然,法院认定并不是无道理。因为 在柜而银行对身份证真伪应作实质审查还是作形式审查,是有争议 的。不同的司法解释也呈相异的规定。至于“冒名”自助注册的责任 承担,尚未见相关规定,这给法官自由裁量留下了空间,当然也加大 了银行承担责任的可能性。
(三)举证责任风险
民事诉讼奉行“谁主张、谁举证”的原则,有特殊规定的除外。 目前,尚未有网上银行被盗案举证责任分配的特殊规定。而实践中, 客户资料(信息)和交易数据都储存在银行的服务器中,客户手中并 不掌握任何原始交易数据。这有可能使法院判定银行在管理上存在过 错,并以此将举证责任加在银行一方。然在网上银行被盗案中,银行 也是“受害者”,它往往并不掌握(清楚)资金被划转的原因,很难 有证据材料提供,从而承担了举证不能的法律风险(后果)。因此, 现有法律未作规定和人们(包括法官)对网上银行的知悉程度和认识, 均使银行而临举证责任上的风险(不利后果)。另外,作为交易数据 的电子信息,能否作证据使用,尚不明确。这也使银行面临无法举证 之风险。
(四) 信息外漏风险
网上银行被盗案往往伴随客户银行卡(存折)或卡(存折)号、 密码和身份证号等信息(资料)的外漏(遗失),并最终为犯罪分子 掌握和利用。由于密码等信息的可复制性,使得像印章的真伪作为风 险分担的界限的传统作法无法适用。然而法院仍按传统方法要求银行 举证,但事实上银行难以举证,因此,不“合身”的规则使银行承担 举证不能的法律风险(不利后果)。信息可能会通过多种通径外漏, 如密码或银行卡(存折)号,可能被人窃取或获知,也可能由储户告 知他人,并最终由犯罪分子掌握,或由犯罪分子通过“手机信息”、 假网站等所骗取;又如银行卡(存折),可能因遗失而最终被犯罪分 子掌握,也可能被犯罪分子所盗恥 银行卡(存折)号的外漏,还可 能因第三人而引起。银行往往不能控制信息的外漏,且也不掌握信息 外漏的相关资料。而在诉讼中,信息外漏风险转化为举证责任风险。
(五) 黑客入侵风险
黑客己是一个世界性话题。据报道,18岁的格雷入侵电子商务 网站,窃取了比尔•盖茨的信用卡•详细资料。据美国联邦调查局调查, 格雷与同伙以屏幕名字CUradOr入侵全球9个互联网站,窃取超过 26000个信用卡账户资料,导致有关方面损失超过3000万美元。因 此,道高一尺,魔高一丈,任何先进网络系统的安全不是绝对的,都 存在被黑客入侵的可能性。如果储户存款被黑客盗取,能否被认定为 网上银行协议双方当事人所不能克服和控制的“意外事件”或“不可 抗力”,值得思考。我们认为,因黑客入侵而引发的网上银行被盗案 中,如银行网络系统先进,则其不存在过错问题。在这种情形下,由 银行承担全部赔偿责任,则有失公平。法律应当对此责任的承担,作 出明确而公平的规定。
(六)赔偿责任风险
在网上银行被盗案中,法院的判决结果往往是:银行不仅要赔偿 储户被盗存款,还要承担违约责任。而银行承担违约责任的直接方式 往往为赔储户一定的货币资金。因此,银行被判定的赔偿责任范围己 不限于储户被盗存款。这无疑加大了银行的赔偿责任风险。我们认为, 储户存款被盗的通径多种多样,而银行在存款被盗事件中,往往是无 过错的,或者其过错不是导致存款被盗的主要(关键)原因,判决银 行赔偿储户被盗存款,有显失公平之嫌疑,让银行再承担违约责任, 无疑于有悖公平原则。
二、银行如何防范在网上银行被盗案中的法律风险
在现有法律规定不完善的情形下,银行防范和化解在网上银行被 盗案中而临的法律风险,首先应通过自身努力;其次才可借助国家对 法律规定的不断完善。对后一内容,本文将在第三部分予以阐述。
(一)正确宣传网银风险
储户存款被通过网上银行盗取,以及法院判决银行赔偿储户被盗 存款,往往与储户不知或忽视相关信息外漏(遗失)风险和社会各界 (包括法官)对网上银行业务操作流程不知(熟)悉有关。正如前文 所述,网上银行注册,必须依赖于由储户掌握或控制的存折(银行卡) 或存折(银行卡)号、身份证号和密码。因此,银行应向储户明确告 知其所持存折(银行卡)遗失或相关信息外漏的风险,使储户保管好 折卡及相关信息(尤其密码),正确使用网上银行操作及其被救措施, 防止受假网站或“手机信息”等所骗,从而使防存款“被盗”于未然, 一方而可从源头上减少存款被盗事件发生,另一方而也加大储户过错 程度。银行要使社会各界知悉(明白):没有密码和存折(银行卡) 或存折(卡)号,既使有假身份证,也无法注册网上银行,从而使社 会各界认识到密码和存折(银行卡)或存折(卡)号的遗失或外漏, 是存款被盗的关键因素。
这样,在诉讼中无须银行解释说明,法官自 知网上银行业务操作规程,从而使银行不再承担举证责任。
(二) 强化安全防范措施
除黑客侵入外,网上银行被盗案的发生往往与网络系统本身是否 安全无关联。事实上,银行网络系统自身在不断改进和完善。此处要 讨论的,是与网络系统木身无直接关联而属网上银行注册与运用的安 全防范措施。据悉,开展网上银行业务的主要银行均各有数字认证系 统;工商银行有U盾和电子口令卡等安全防范技术和措施供储户选 择。当然,这些措施只能在注册时或注册后由储户选择,对于储户被 他人冒名注册的,却无法适用。对此,银行要研究相关技术措施来加 以防范,如可否对大额转账或短时间内转帐次数较多(因为犯罪分子 急需一次或多次将资金转入其他账户)的账户附加限制操作环节。另 外,银行要安排人员密切关注储户账户资金的支出动态,如发现疑常 要及时告知储户。
(三) 合理分摊业务风险
一般情况下,网上银行业务涉及银行与储户两方主体,如有第三 方认证的,还存在认证机构问题。有些银行的网络软硬件设施是由供 应商提供的。由此可知,网上银行业务最多可涉及银行与储户、网络 服务商、设施供应商、认证机构等多个法律关系。而储户存款被盗可 能与一个或多个主体的过错有直接或间接关联性。因此,银行在与各 方签订协议时,要充分认识到存款被盗原因的多样性和复杂性,并以 公平原则和过错责任为基础,将存款被盗的法律风险进行分摊。如果 银行是格式协议文本的提供者,则须以适当方式提醒对方当事人注意 协议条款内容,必要时,可在协议中附加如下加黑放大条款:乙方(即 对方当事人)对本协议条款己详尽阅读,甲方己对乙方的有关问题作 出解释说明,乙方对木协议各条款内容已无异议。
(四)及时进行证据保全
虽然银行单方承担举证责任存在问题,但网上银行业务无纸化的 特点,决定了银行储存和保管客户资料(信息)和交易数据。这也是 法院要求银行承担举证责任的关键因素。然银行不可由此消极对待, 而应变被动为主动,利用现有条件积极应对。一是网上银行注册的资 料或信息要长时间保存,对交易记录数据等其他信息要至少保存2年 以上,以满足诉讼时效期间上的规定。二是银行与储户应协商建立账 目核对机制,定期以电子邮件等方式向储户送达账单,进行账目核对, 并书而约定如储户在若干工作Fl内未提出异议的,即视为账目支出无 问题。同时保留前述送达材料。三是借助公证作用,保全相关证据资 料和信息。如在诉讼中,交易记录数据因储存服务器容量或保存时间 届满而被删除时,可打卬该数据并予以公证保存;在有可能的情况下, 对曾获悉储户折卡等材料或信息的人进行访谈,了解资料(信息)的 传递途径,并予以公证保全。四是积极与法官或公安侦查人员沟通, 争取他们支持,必要时可中请法院依职权调查取证。
三、加快立法建设,合理规范各方当事人的权利义务
银行在网上银行被盗案中的法律风险,根本原因在于我国立法滞 后。网上银行运营模式,改变了传统的交易过程与方式、规范原则和 法律责任归责基础,且某些操作也与现行的法律规定不一致。这就要 求有新的立法来规范新的业务行为,否则,各方当事人权责不清或者 权利义务不对等,既影响业务的快速发展,也客观上造成大量纠纷, 并容易使司法裁判产生一定的随意性。近年来的多起结果相异的网上 银行被盗案诉讼判决,足以说明这一点。因此,建议加快立法建设, 合理规范各方当事人的权利义务,以便于司法实践的操作。我们认为, 以下几方而应在立法时优先考虑。
(一) 法律关系定性
网上银行被盗案主要涉及两个法律关系,即银行与储户之间的存 款合同关系和犯罪分子与储户或银行之间的侵权关系。犯罪分子将储 户账目上的数据修改,并将电子货币资金转移至其他账户,这是对储 户权益的侵害还是对银行权益的侵害,是有争议的。如是侵害储户权 益,则储户只能向犯罪分子追偿;如是侵害银行权益,则银行应按存 款合同向储户履约和支取存款。我们认为,网上银行存款被盗的原因 多而复杂,很难适用单一的法律关系及其规则解决纠纷。因此,应 在个案中视被盗原因确定适用何种法律关系及其规则解决纠纷。
(二) 归责原则
这决定举证责任的分配。在网上银行被盗案中,可能银行与储户 均有过错,也可能为一方有过错,还可能各方当事人均无过错,而是 由犯罪分子窃取所致。因此,如果适用侵权关系及其规则的,则不宜 单独适用过错责任原则、无过错责任原则或过错推定原则中的任何一 种;如果适用合同关系及其规则的,则不宜单独适用过错责任原则或 严格责任原则中的任何一种。如黑客入侵的网上银行被盗案中,银行 与储户均无过错,而在密码、折卡号和身份证号外漏的被盗案中,储 户过错是显而易见的。我们认为,由于存款被盗原因多而复杂,且考 虑到当事人承担责任的公平性,所以在个案中应按确定适用的法律关 系,选择适当的、公平的归责原则。一般情况下,在银行有过错时, 按合同关系由银行继续履行合同;在储户有过错时,银行不承担责任, 按侵权关系告知储户起诉犯罪分子并向其追偿,或判决犯罪分子赔偿 储户损失;在银行和储户均有过错时,按他们过错大小,分别适用不 同法律关系,由银行或犯罪分子承担或赔偿储户损失;在双方均无过 错时,由法官根据双方实际情况,判决银行承担一部分或全部损失; 在银行或储户可能有过错的情况
下,适用于过错推定或严格责任原 则,确定双方承担的责任大小。另外,在无相反证据证明的情况下, 应推定储户对密码、折R号等信息的外漏或折卡的遗失有过错。
(三) 证据效力和举证责任分配
网上银行业务无纸化特点决定了注册、交易等信息只能以数据形 式储存于银行的服务器。同时,由于电子记录尚未被纳入证据种类中, 导致银行往往在诉讼中处于不利地位。因此,立法应承认电子证据, 以适应快速发展的电子商务或网上银行业务,从而解决诉讼中无证据 证明之困境。在举证责任分配上,要根据确定的法律关系和归责原则, 确定由谁承担举证责任。我们认为,储户掌握和控制着银行卡(存折)、 密码、身份证等信息和物质材料,因此,原则上应由储户对信息未外 漏或折、卡、证未遗失举证予以证明。
(四) 对黑客入侵所窃取的存款,确立合理的损失承担规则 由于银行和储户对黑客入侵均无过错,所以由任何一方承担损 失,均有失公平。美国1980年的联邦电子资金移动法(联邦EFT) 规定,当出现无权限交易时,即使银行己经证实消费者存在过失,但 在一定条件下,消费者承担的损失额限于50美元(即50美元规则)。 我国可以借鉴国外立法实践,或考虑一个额度,或设定一个比例,由 银行和储户分别承担部分损失。不过需要指出,储户是弱者,在规则 的设定上,银行应承担主要损失。
因篇幅问题不能全部显示,请点此查看更多更全内容