IT技術的迅速發展改造着傳統經濟,也創造着新的經濟。資訊技術和金融業之間,已不是金融業簡單的應用資訊技術,而是金融和資訊技術的深度融合,創造出新的金融業態一一網上銀行,併成爲新經濟的核心力量。網上銀行是金融領域的一場革命,它促進了新的時空觀念的形成,突破了地域、時間的限制,使全球金融在虛擬空間範圍內24小時不間斷進行,它擴大了金融服務生產與需求的彈性,降低了業務經營和擴張的成本。現在我國的傳統4大銀行以及衆多股份制和地區性銀行都已開辦了網上銀行,在實體銀行櫃檯能辦的業務在網上銀行都可辦理,社會公衆,包括公司、公民從開始擔心其安全,到現在業務和日常生活大量使用網上銀行辦理匯款、資金劃撥及各種銀行理財業務,而這些都是在自己家裏或者公司辦公室電腦上操作的,十分方便。目前我國網上銀行資金交易量巨大,虛擬的網上銀行已成爲我國實體經濟和社會生活中的重要內容。隨着交易量的增加,各種糾紛也大量產生,網銀的安全問題揮之不去,本文從法學角度對此作一探討,以期對目前的網銀運作有所助益。
一、網上銀行安全的兩個典型案例
案例一,據《法制日報》2006年8月30日報道,福建省泉州市中級人民法院審結了一起鉅額網銀案件,案情如下:儲戶莊玉清2005年5月11日到晉江農行辦理存款時,發現帳戶內的777萬元存款被人轉走,她十分焦急,立即向農行和公安機關報案。經查,此筆鉅款是有人冒用莊玉清的身份證在農行鯉城支行開通網上銀行業務,然後透過網銀於2005年5月10日將莊玉清帳戶內的存款劃轉到犯罪嫌疑人自己在北京開的帳戶上,領取現金逃逸。案發後,部分犯罪嫌疑人被公安機關抓獲,追回贓款229萬元,但尚餘548萬元無法追回。這損失該由誰承擔?莊玉清把中國農業銀行晉江市支行告上福建省泉州市中級人民法院,法院審理認爲,莊玉清和農業銀行晉江市支行之間存款合同有效,銀行負有保護客戶資金安全的責任,這筆鉅款的丟失直接起因於犯罪嫌疑人冒用莊玉清的身份證開通網銀業務,銀行工作人員對申請材料的審查明顯失察,應對這次損失承擔責任,因此福建省泉州市中級人民法院一審判決:中國農業銀行晉江市支行賠償莊玉清損失548萬元,並承擔相應違約金。
案例二,2006年9月27日,北京市海淀區法院審理了一起網銀糾紛案件。①案情是這樣的:原告楊先生稱自己2004年2月14日在工行海淀支行西苑儲蓄所開戶存款並開通了網銀,截至2005年9月3日楊先生存摺顯示共存款74025. 37元,但他在2005年9月15日去銀行取款時發現自己的帳戶上只有13425. 37元,60600元無故消失。經查,這60600元是在2005年9月4日至15日間經楊先生的網銀分36筆匯出去的,其中包括600元銀行手續費。楊先生說自己從未匯出這36筆錢,要求銀行補償,而銀行認爲這是從楊先生自己的帳戶走的,就是楊自己的行爲,於是拒絕了楊的要求。楊先生把工行海淀支行告上北京海淀區法院,法院認爲:楊先生在工行海淀支行西苑儲蓄所開戶存款並簽署開通了網銀,銀行和楊先生之間的儲蓄存款合同和網銀服務合同法律關係建立,銀行按照楊先生的指令和密碼爲其辦理網銀匯款轉賬業務,本案件中的36筆匯款是透過楊的密碼操作的,銀行履行了自己的職責,沒有過錯,至於誰在使用此密碼匯款在所不問,推定楊所爲。法院一審駁回了原告的訴訟請求。
二、對以上案例的分析
關於案例一,筆者對福建省泉州市中級人民法院的判決是贊同的,因爲在此案中銀行的錯誤明顯,犯罪嫌疑人冒用莊玉清的身份證開通網銀業務,銀行工作人員沒有應有的審慎注意,甚至也沒要求當事人出示銀行卡或詢問賬號就爲其開通了網銀。目前的情況是,各家商業銀行出於業務的競爭,在辦理網銀業務時對客戶身份資訊的審查在走過場出事後銀行會辯稱身份證的真僞他們沒有能力辨別,那是公安機關的事。那麼,銀行在辦理網銀業務時到底有沒有對客戶身份資訊負有實質審查的義務?當出現錯誤時應由誰承擔責任?筆者透過考察發現以前中國人民銀行發佈的關於商業銀行處理儲蓄存款和存單業務時只要求銀行對客戶身份證件形式履行審查義務,②最高人民法院發佈的一個關於法院審理票據糾紛的檔案又要求銀行對客戶身份證件負有實質審查的義務。③在司法實踐中各地法院對此事的處理也不一致。網銀是一個嶄新的業務,福建省泉州市中級人民法院在案件一審中認爲銀行對客戶身份證件負有實質審查的義務,筆者認爲這完全正確,對今後此類網銀案件具有標杆意義,而且具有機讀功能的第二代身份證的廣泛使用,使銀行對客戶身份證件的實質審查不再是難事。
關於案例二,北京海淀法院的判決實際上是對目前各商業銀行網銀格式合同中“凡是憑客戶證書和密碼進行的操作均視同客戶本人所爲”這一典型條款的認可,是法院在處理一般民事糾紛中“誰主張誰舉證”這一思維模式在網銀糾紛中的應用。這實際上把網銀這一複雜系統中嘿客的攻擊、系統的錯誤等一系列新技術蘊含的風險全部轉嫁給客戶承擔。筆者對此不予認同,而實際上目前全國各地法院對此類網銀糾紛案件的判決就出現了“同案不同判”的現象。據《江西日報》社的《新法制報》2013年9月26日報道,江西省寧都縣儲戶黃某網銀帳戶被盜損失8. 7萬元,寧都縣法院審理該案時讓被告銀行進行舉證,提出相關證據證明原告自身存在過錯,即舉證責任倒置,由於銀行未提出原告錯誤證據,法院即認爲是銀行網銀系統的缺漏造成了黃先生的損失,遂一審判決銀行賠償黃先生本金8. 7萬元及利息。而幾乎在同時,千里之外的廣東,廣州市番禺區法院判決儲戶樑某承擔自己的網銀帳戶損失16萬元,這16萬元是短短7天內被他人以網上購物的方式從樑某網銀帳戶盜刷走的。
由此提出了一個問題公民個人網銀帳戶的資金丟失到底該由誰承擔?這涉及到法院在判決時舉證責任的承擔是按照一般的民事思維模式“誰主張誰舉證”,還是簡單地實行舉證責任倒置?如果實行“誰主張誰舉證”,作爲原告的客戶很難拿出證據證明銀行的網銀系統有錯誤、有漏洞,而且網上銀行所依據的IT技術發展迅速、日新月異,這樣如何判斷銀行網銀系統有錯誤、有漏洞?這實際上把網銀這一偉大而又脆弱的新技術風險都轉由客戶買單。如果簡單地實行舉證責任倒置,那後果更不可想象,如果真是由於客戶自己的過失、過錯泄漏了網銀密碼等個人資訊導致別人盜取了網銀帳戶資金、或者有些用心不良的人自己劃轉了自己網銀帳戶資金,所有這些情況他都把過錯推到銀行身上,那銀行如何舉證是客戶的錯?這將引發大量道德風險!正因爲簡單的'舉證責任的分配不能解決問題,纔出現了上文中全國各地法院對網銀帳戶失竊案件“同案不同判”的結果。
三、思考和建議
爲解決以上“難題”,筆者有以下思考和建議:
(一)首先劃分雙方責任物理界限。由客戶端電腦上出現的問題所造成的帳戶資金損失由客戶自己承擔除此之外,由網銀系統的錯誤所造成的客戶網銀帳戶資金損失由銀行承擔。此問題可在法庭審理時由法院委託或原、被告雙方共同委託第三方IT技術公司負責監測提出證據。
(二)判斷銀行方面網銀系統技術上是否有缺漏的標準問題。由於網銀依據的IT技術進步快、日新月異,判斷網銀系統是否有漏洞、是否技術落後,應以事故發生時或法院審判時銀行界同行網銀公認的安全技術爲標準。這樣可督促銀行不斷進行網銀安全技術升級進步。
(三)區分個人客戶和法人客戶。對於個人客戶有確立銀行的過錯推定原則,即發生客戶網銀帳戶資金失竊時,若銀行方不能證明自己沒有過錯,那麼就必須承擔舉證不能的法律責任。對法人客戶,則確立過錯歸責原則,即在網銀交易中只要透過了網銀的安全身份認證,不管指令是誰發出的,即視爲銀行無過錯,銀行不承擔責任。
(四)關於CA,即客戶電子身份認證。這是網銀的關口,一切問題都出在這裏,非常重要,而目前都是各家銀行自建以,自己進行客戶網銀交易時的電子身份認證,這樣和客戶發生糾紛時有失公平,銀行既是運動員又是裁判員,與客戶對簿公堂時對客戶明顯不利。因此建議國家建立第三方CA。
(五)司法解釋。建議最高人民法院對網銀糾紛案件法院審判時的具體法律適用問題進行解釋,指導全國各衆多法院的審判實踐,維護法律的公平、尊嚴。
(六)加強網銀案件刑事打擊和破案力度,對犯罪分子產生震懾,使網銀髮案率降低。對此問題又附着另外一個問題,即司法機關在辦理網銀案件時是“先刑後民”還是刑民分開?因爲此類案件都隱藏着盜竊、詐騙等刑事犯罪,“先刑後民”觀點認爲爲了公平正義,應查清事實真相,先刑後民;而另一觀點則認爲應該刑民分開,使受害者的損失得到及時補償。理論界主張刑民分開,而審判實踐中法院大多從實際出發,出於公平正義,先進行刑事案件的偵查審判。例如上文案例一777萬元網銀失竊案,一審法院判決原告勝訴後,被告銀行不服,提出上訴,福建省高院以“該案涉及刑事犯罪,目前公安機關正在偵破中”爲由,二審裁定該民事案件中止審理。筆者對此不予贊同,因爲此案當時的證據已很明確:這777萬元的損失是犯罪分子盜用客戶身份證、銀行審覈失察造成的,即系他人所爲,排除了帳戶戶主自己所爲的可能性,因此法院應該先進行民事審判,使受害者的損失及時得到銀行的賠償,後進行刑事的偵查、審判,由刑事審判來補償銀行的損失。筆者認爲其它類似案件,即現有證據已明確排除了網銀帳戶戶主自己所爲的可能性,就應該照此辦理,先進行民事審判,使受害者的實體權利及時實現。