專題六 銀行在網上銀行被盜案中的法律風險及其對策
金融法律典型案例與專題研究 作者:唐俠 投票推薦 加入書簽 留言反饋
專題六 銀行在網上銀行被盜案中的法律風險及其對策
目前國內主要商業銀行均已開通“網上銀行”業務。而網上銀行業務安全備受關注,媒體對網上銀行被盜案的報道,足以說明這一點。在存款資金被盜後,儲戶往往會將銀行告上法庭,要求銀行賠償其損失。如 2006 年 8 月 30 日《法律日報》第六版刊登的《國內金額最大網上銀行被盜案一審宣判——銀行全額賠償儲戶並支付違約金》一文中,一審法院即支持了儲戶的賠償請求。由此可見,銀行在網上銀行被盜案中麵臨著法律風險。本文試就這一問題及其有關對策淺作探討。
一、銀行在網上銀行被盜案中麵臨的法律風險
(一)格式條款風險
無論是自助注冊還是櫃麵注冊,銀行均要與客戶簽訂服務協議。為業務操作方便和能重複使用,該協議由銀行預先擬定,客戶在注冊時隻能選擇“同意”或“不同意”。《合同法》上將這種由一方當事人預先擬訂的協議條款,稱為“格式條款”。為限製擬定方(當事人)利用格式條款免除其責任、加重對方(當事人)責任或排除對方主要權利,體現公平原則,《合同法》第三十九條、四十條和四十一條規定有格式條款規則。違反該規則的,或格式條款無效,或可能不利於擬定方。因此,一旦對格式條款產生爭議,銀行將會麵臨不利的法律風險。在《法製日報》所刊登的全國金額最大網上銀行被盜案中,法院認為“凡密碼相符的交易均視為客戶實施的操作的合法交易”之規定,有悖公平,因而認定該規定無效。
(二)身份識別風險
在網上銀行業務中,銀行通過銀行卡號(或存折號)、密碼和身份證號來判斷客戶身份。然而身份證造假技術日益高明,即使公安技術人員也很難甄別。因此,當犯罪分子以假身份證、所掌握的密碼信息和“客戶遺失的銀行卡(或存折)”或“克隆的假銀行卡”在櫃麵注冊時,銀行工作人員是難以識“假”的。當犯罪分子以所掌握的身份證號、密碼信息和客戶銀行卡(或存折)號冒名自助注冊時,銀行計算機係統也無法去判別“注冊者”的真實身份。而在注冊成功後的網上交易中,由於非麵對麵的特性,銀行無法以物化的方式識別操作者,僅能依靠相關數據信息予以識別。這也使犯罪分子在網上銀行作案有“機”可乘。銀行在網上銀行被盜案中的過錯,往往被認定為注冊時(尤其在櫃麵注冊)未識別出虛假資料(信息)。在《法製日報》所刊登的全國金額最大網上銀行被盜案中,一審法院即認定銀行的過錯在於櫃麵注冊接受(未識別出)虛假資料。當然,法院認定並不是無道理,因為在櫃麵銀行對身份證真偽應作實質審查還是作形式審查是有爭議的。不同的司法解釋也呈相異的規定。至於“冒名”自助注冊的責任承擔,尚未見相關規定,這給法官自由裁量留下了空間,當然也加大了銀行承擔責任的可能性。
(三)舉證責任風險
民事訴訟奉行“誰主張,誰舉證”的原則,有特殊規定的除外。目前,尚未有網上銀行被盜案舉證責任分配的特殊規定。而實踐中,客戶資料(信息)和交易數據都儲存在銀行的服務器中,客戶手中並不掌握任何原始交易數據。這有可能使法院判定銀行在管理上存在過錯,並以此將舉證責任加在銀行一方。然而在網上銀行被盜案中,銀行也是“受害者”,它往往並不掌握(清楚)資金被劃轉的原因,很難有證據材料提供,從而承擔了舉證不能的法律風險(後果)。因此,現有法律未作規定以及人們(包括法官)對網上銀行的知悉程度和認識,均使銀行麵臨舉證責任上的風險(不利後果)。另外,作為交易數據的電子信息,能否作證據使用,尚不明確。這也使銀行麵臨無法舉證之風險。
(四)信息外漏風險
網上銀行被盜案往往伴隨客戶銀行卡(存折)或卡(存折)號、密碼和身份證號等信息(資料)的外漏(遺失),並最終為犯罪分子掌握和利用。由於密碼等信息的可複製性,使得像以印章真偽作為風險分擔界限的傳統做法無法適用。然而法院仍按傳統方法要求銀行舉證,這種不“合身”的規則使銀行承擔了舉證不能的法律風險(不利後果)。信息可能會通過多種途徑外漏,如密碼或銀行卡(存折)號可能被人竊取或獲知,也可能由儲戶告知他人,並最終由犯罪分子掌握,或由犯罪分子通過“手機信息”、假網站等騙取。又如:銀行卡(存折),可能因遺失而最終被犯罪分子掌握,也可能被犯罪分子所盜取;銀行卡(存折)號的外漏,還可能因第三人而引起。銀行往往不能控製信息的外漏,且也不掌握信息外漏的相關資料。而在訴訟中,信息外漏風險轉化為舉證責任風險。
(五)黑客入侵風險
黑客已是一個世界性話題。據報道,18 歲的格雷入侵電子商務網站,竊取了比爾·蓋茨的信用卡詳細資料。據美國聯邦調查局調查,格雷與同夥以屏幕名字 cu-rador 入侵全球九個互聯網站,竊取超過 26000 個信用卡賬戶資料,導致有關方麵損失超過 3000 萬美元。因此,道高一尺,魔高一丈,任何先進網絡係統的安全都不是絕對的,都存在被黑客入侵的可能性。如果儲戶存款被黑客盜取,能否被認定為網上銀行協議雙方當事人所不能克服和控製的“意外事件”或“不可抗力”,值得思考。我們認為,因黑客入侵而引發的網上銀行被盜案中,如銀行網絡係統先進,則其不存在過錯問題。在這種情形下,由銀行承擔全部賠償責任,則有失公平。法律應當對此責任的承擔,作出明確而公平的規定。
這章沒有結束^.^,請點擊下一頁繼續閱讀!
(六)賠償責任風險
在網上銀行被盜案中,法院的判決結果往往是:銀行不僅要賠償儲戶被盜存款,還要承擔違約責任,而銀行承擔違約責任的直接方式往往為賠償儲戶一定的貨幣資金。因此,銀行被判定的賠償責任範圍已不限於儲戶被盜存款。這無疑加大了銀行的賠償責任風險。我們認為,儲戶存款被盜的途徑多種多樣,而銀行在存款被盜事件中,往往是無過錯的,或者其過錯不是導致存款被盜的主要(關鍵)原因,判決銀行賠償儲戶被盜存款,有顯失公平之嫌疑,讓銀行再承擔違約責任,無疑有悖公平原則。
二、銀行如何防範在網上銀行被盜案中的法律風險
在現有法律規定不完善的情形下,銀行要防範和化解在網上銀行被盜案中麵臨的法律風險,首先應通過自身努力,其次才可借助國家對法律規定的不斷完善。對後一內容,本文將在第三部分予以闡述。
(一)正確宣傳網銀風險
儲戶存款被通過網上銀行盜取,以及法院判決銀行賠償儲戶被盜存款,往往與儲戶不知或忽視相關信息外漏(遺失)風險和社會各界(包括法官)對網上銀行業務操作流程不知(熟悉)有關。正如前文所述,網上銀行注冊,必須依賴於由儲戶掌握或控製的存折(銀行卡)或存折(銀行卡)號、身份證號和密碼。因此,銀行應向儲戶明確告知其所持存折(銀行卡)遺失或相關信息外漏的風險,使儲戶保管好折卡及相關信息(尤其密碼),正確操作使用網上銀行,防止受假網站或“手機信息”等所騙,從而防止存款“被盜”於未然,一方麵可從源頭上減少存款被盜事件發生,另一方麵也加大儲戶過錯程度。銀行要使社會各界知悉(明白):沒有密碼和存折(銀行卡)或存折(卡)號,即使有假身份證,也無法注冊網上銀行,從而使社會各界認識到密碼和存折(銀行卡)或存折(卡)號的遺失或外漏,是存款被盜的關鍵因素。這樣,在訴訟中無須銀行解釋說明,法官自知網上銀行業務操作規程,從而使銀行不再承擔舉證責任。
(二)強化安全防範措施
除黑客侵入外,網上銀行被盜案的發生往往與網絡係統本身是否安全並無關聯。事實上,銀行網絡係統自身在不斷改進和完善。此處要討論的,是與網絡係統本身無直接關聯而屬網上銀行注冊與運用的安全防範措施。據悉,開展網上銀行業務的主要銀行均各有數字認證係統,工商銀行有 u 盾和電子口令卡等安全防範技術和措施供儲戶選擇。當然,這些措施隻能在注冊時或注冊後由儲戶選擇,對於儲戶被他人冒名注冊的,卻無法適用。對此,銀行要研究相關技術措施來加以防範,如可否對大額轉賬或短時間內轉賬次數較多(因為犯罪分子急需一次或多次將資金轉入其他賬戶)的賬戶附加限製操作環節。另外,銀行要安排人員密切關注儲戶賬戶資金的支出動態,如發現異常要及時告知儲戶。
(三)合理分攤業務風險
一般情況下,網上銀行業務涉及銀行與儲戶兩方主體,如有第三方認證的,還存在認證機構問題。有些銀行的網絡軟硬件設施是由供應商提供的。由此可知,網上銀行業務多可涉及銀行與儲戶、網絡服務商、設施供應商、認證機構等多個法律關係。而儲戶存款被盜可能與一個或多個主體的過錯有直接或間接關聯性。因此,銀行在與各方簽訂協議時,要充分認識到存款被盜原因的多樣性和複雜性,並以公平原則和過錯責任為基礎,將存款被盜的法律風險進行分攤。如果銀行是格式協議文本的提供者,則須以適當方式提醒對方當事人注意協議條款內容,必要時可在協議中附加如下重要提示條款:乙方(即對方當事人)對本協議條款已詳盡閱讀,甲方已對乙方的有關問題作出解釋說明,乙方對本協議各條款內容已無異議。
(四)及時進行證據保全
雖然銀行單方承擔舉證責任存在問題,但網上銀行業務無紙化的特點,決定了由銀行儲存和保管客戶資料(信息)和交易數據。這也是法院要求銀行承擔舉證責任的關鍵因素。然而銀行不可由此消極對待,而應變被動為主動,利用現有條件積極應對。一是網上銀行注冊的資料或信息要長時間保存,對交易記錄數據等其他信息要至少保存兩年以上,以滿足有關訴訟時效期間的規定。二是銀行與儲戶應協商建立賬目核對機製,定期以電子郵件等方式向儲戶送達賬單,進行賬目核對,並書麵約定如儲戶在若幹工作日內未提出異議的,即視為賬目支出無問題。同時保留前述送達材料。三是借助公證作用,保全相關證據資料和信息。如在訴訟中,交易記錄數據因儲存服務器容量飽和或保存時間屆滿而被刪除時,可打印該數據並予以公證保存。在有可能的情況下,對曾獲悉儲戶折卡等材料或信息的人進行訪談,了解資料(信息)的傳遞途徑,並予以公證保全。四是積極與法官或公安偵查人員溝通,爭取他們的支持,必要時可申請法院依職權調查取證。
三、加快立法建設,合理規範各方當事人的權利義務
銀行在網上銀行被盜案中的法律風險,根本原因在於我國立法滯後。網上銀行運營模式,改變了傳統的交易過程與方式、規範原則和法律責任歸責基礎,且某些操作也與現行的法律法規不一致。這就要求有新的立法來規範新的業務行為,否則,各方當事人權責不清或者權利義務不對等,既影響業務的快速發展,客觀上也造成大量糾紛,並容易使司法裁判產生一定的隨意性。近年來的多起結果相異的網上銀行被盜案訴訟判決,足以說明這一點。因此,建議加快立法建設,合理規範各方當事人的權利義務,以便於司法實踐的操作。我們認為,以下幾方麵應在立法時優先考慮。
(一)法律關係定性
網上銀行被盜案主要涉及兩個法律關係,即銀行與儲戶之間的存款合同關係和犯罪分子與儲戶或銀行之間的侵權關係。犯罪分子將儲戶賬目上的數據進行修改,並將電子貨幣資金轉移至其他賬戶,這是對儲戶權益的侵害還是對銀行權益的侵害,是有爭議的。如是侵害儲戶權益,則儲戶隻能向犯罪分子追償;如是侵害銀行權益,則銀行應按存款合同向儲戶履約和支取存款。我們認為,網上銀行存款被盜的原因多而複雜,很難適用單一的法律關係及其規則解決糾紛。因此,應在個案中視被盜原因來確定適用何種法律關係及其規則解決糾紛。
(二)歸責原則
這決定舉證責任的分配。在網上銀行被盜案中,可能銀行與儲戶均有過錯,也可能一方有過錯,還可能各方當事人均無過錯,而是由犯罪分子竊取所致。因此,如果適用侵權關係及其規則的,則不宜單獨適用過錯責任原則、無過錯責任原則或過錯推定原則中的任何一種;如果適用合同關係及其規則的,則不宜單獨適用過錯責任原則或嚴格責任原則中的任何一種。如黑客入侵的網上銀行被盜案中,銀行與儲戶均無過錯,而在密碼、折卡號和身份證號外漏的被盜案中,儲戶過錯是顯而易見的。我們認為,由於存款被盜原因多而複雜,且考慮到當事人承擔責任的公平性,所以在個案中應按確定適用的法律關係,選擇適當的、公平的歸責原則。一般情況下,在銀行有過錯時,按合同關係由銀行繼續履行合同;在儲戶有過錯時,銀行不承擔責任,按侵權關係告知儲戶起訴犯罪分子並向其追償,或判決犯罪分子賠償儲戶損失;在銀行和儲戶均有過錯時,按他們過錯大小,分別適用不同法律關係,由銀行或犯罪分子承擔或賠償儲戶損失;在雙方均無過錯時,由法官根據雙方實際情況,判決銀行承擔一部分或全部損失;在銀行或儲戶可能有過錯的情況下,適用於過錯推定或嚴格責任原則,確定雙方承擔的責任大小。另外,在無相反證據證明的情況下,應推定儲戶對密碼、折卡號等信息的外漏或折卡的遺失有過錯。
(三)證據效力和舉證責任分配
網上銀行業務無紙化特點決定了注冊、交易等信息隻能以數據形式儲存於銀行的服務器。同時,由於電子記錄尚未被納入證據種類中,導致銀行往往在訴訟中處於不利地位。因此,立法應承認電子證據,以適應快速發展的電子商務或網上銀行業務,從而解決訴訟中無證據證明之困境。在舉證責任分配上,要根據確定的法律關係和歸責原則,確定由誰承擔舉證責任。我們認為,儲戶掌握和控製著銀行卡(存折)、密碼、身份證等信息和物質材料,因而原則上應由儲戶對信息未外漏或折、卡、證未遺失予以舉證證明。
(四)對黑客入侵所竊取的存款,確立合理的損失承擔規則
由於銀行和儲戶對黑客入侵均無過錯,所以由任何一方承擔損失,均有失公平。美國 1980 年的聯邦電子資金移動法(聯邦 eft)規定,當出現無權限交易時,即使銀行已經證實消費者存在過失,但在一定條件下,消費者承擔的損失額限為 50 美元(即 50 美元規則)。我國可以借鑒國外立法實踐,或考慮一個額度,或設定一個比例,由銀行和儲戶分別承擔部分損失。不過需要指出,儲戶是弱者,在規則的設定上銀行應承擔主要損失。
目前國內主要商業銀行均已開通“網上銀行”業務。而網上銀行業務安全備受關注,媒體對網上銀行被盜案的報道,足以說明這一點。在存款資金被盜後,儲戶往往會將銀行告上法庭,要求銀行賠償其損失。如 2006 年 8 月 30 日《法律日報》第六版刊登的《國內金額最大網上銀行被盜案一審宣判——銀行全額賠償儲戶並支付違約金》一文中,一審法院即支持了儲戶的賠償請求。由此可見,銀行在網上銀行被盜案中麵臨著法律風險。本文試就這一問題及其有關對策淺作探討。
一、銀行在網上銀行被盜案中麵臨的法律風險
(一)格式條款風險
無論是自助注冊還是櫃麵注冊,銀行均要與客戶簽訂服務協議。為業務操作方便和能重複使用,該協議由銀行預先擬定,客戶在注冊時隻能選擇“同意”或“不同意”。《合同法》上將這種由一方當事人預先擬訂的協議條款,稱為“格式條款”。為限製擬定方(當事人)利用格式條款免除其責任、加重對方(當事人)責任或排除對方主要權利,體現公平原則,《合同法》第三十九條、四十條和四十一條規定有格式條款規則。違反該規則的,或格式條款無效,或可能不利於擬定方。因此,一旦對格式條款產生爭議,銀行將會麵臨不利的法律風險。在《法製日報》所刊登的全國金額最大網上銀行被盜案中,法院認為“凡密碼相符的交易均視為客戶實施的操作的合法交易”之規定,有悖公平,因而認定該規定無效。
(二)身份識別風險
在網上銀行業務中,銀行通過銀行卡號(或存折號)、密碼和身份證號來判斷客戶身份。然而身份證造假技術日益高明,即使公安技術人員也很難甄別。因此,當犯罪分子以假身份證、所掌握的密碼信息和“客戶遺失的銀行卡(或存折)”或“克隆的假銀行卡”在櫃麵注冊時,銀行工作人員是難以識“假”的。當犯罪分子以所掌握的身份證號、密碼信息和客戶銀行卡(或存折)號冒名自助注冊時,銀行計算機係統也無法去判別“注冊者”的真實身份。而在注冊成功後的網上交易中,由於非麵對麵的特性,銀行無法以物化的方式識別操作者,僅能依靠相關數據信息予以識別。這也使犯罪分子在網上銀行作案有“機”可乘。銀行在網上銀行被盜案中的過錯,往往被認定為注冊時(尤其在櫃麵注冊)未識別出虛假資料(信息)。在《法製日報》所刊登的全國金額最大網上銀行被盜案中,一審法院即認定銀行的過錯在於櫃麵注冊接受(未識別出)虛假資料。當然,法院認定並不是無道理,因為在櫃麵銀行對身份證真偽應作實質審查還是作形式審查是有爭議的。不同的司法解釋也呈相異的規定。至於“冒名”自助注冊的責任承擔,尚未見相關規定,這給法官自由裁量留下了空間,當然也加大了銀行承擔責任的可能性。
(三)舉證責任風險
民事訴訟奉行“誰主張,誰舉證”的原則,有特殊規定的除外。目前,尚未有網上銀行被盜案舉證責任分配的特殊規定。而實踐中,客戶資料(信息)和交易數據都儲存在銀行的服務器中,客戶手中並不掌握任何原始交易數據。這有可能使法院判定銀行在管理上存在過錯,並以此將舉證責任加在銀行一方。然而在網上銀行被盜案中,銀行也是“受害者”,它往往並不掌握(清楚)資金被劃轉的原因,很難有證據材料提供,從而承擔了舉證不能的法律風險(後果)。因此,現有法律未作規定以及人們(包括法官)對網上銀行的知悉程度和認識,均使銀行麵臨舉證責任上的風險(不利後果)。另外,作為交易數據的電子信息,能否作證據使用,尚不明確。這也使銀行麵臨無法舉證之風險。
(四)信息外漏風險
網上銀行被盜案往往伴隨客戶銀行卡(存折)或卡(存折)號、密碼和身份證號等信息(資料)的外漏(遺失),並最終為犯罪分子掌握和利用。由於密碼等信息的可複製性,使得像以印章真偽作為風險分擔界限的傳統做法無法適用。然而法院仍按傳統方法要求銀行舉證,這種不“合身”的規則使銀行承擔了舉證不能的法律風險(不利後果)。信息可能會通過多種途徑外漏,如密碼或銀行卡(存折)號可能被人竊取或獲知,也可能由儲戶告知他人,並最終由犯罪分子掌握,或由犯罪分子通過“手機信息”、假網站等騙取。又如:銀行卡(存折),可能因遺失而最終被犯罪分子掌握,也可能被犯罪分子所盜取;銀行卡(存折)號的外漏,還可能因第三人而引起。銀行往往不能控製信息的外漏,且也不掌握信息外漏的相關資料。而在訴訟中,信息外漏風險轉化為舉證責任風險。
(五)黑客入侵風險
黑客已是一個世界性話題。據報道,18 歲的格雷入侵電子商務網站,竊取了比爾·蓋茨的信用卡詳細資料。據美國聯邦調查局調查,格雷與同夥以屏幕名字 cu-rador 入侵全球九個互聯網站,竊取超過 26000 個信用卡賬戶資料,導致有關方麵損失超過 3000 萬美元。因此,道高一尺,魔高一丈,任何先進網絡係統的安全都不是絕對的,都存在被黑客入侵的可能性。如果儲戶存款被黑客盜取,能否被認定為網上銀行協議雙方當事人所不能克服和控製的“意外事件”或“不可抗力”,值得思考。我們認為,因黑客入侵而引發的網上銀行被盜案中,如銀行網絡係統先進,則其不存在過錯問題。在這種情形下,由銀行承擔全部賠償責任,則有失公平。法律應當對此責任的承擔,作出明確而公平的規定。
這章沒有結束^.^,請點擊下一頁繼續閱讀!
(六)賠償責任風險
在網上銀行被盜案中,法院的判決結果往往是:銀行不僅要賠償儲戶被盜存款,還要承擔違約責任,而銀行承擔違約責任的直接方式往往為賠償儲戶一定的貨幣資金。因此,銀行被判定的賠償責任範圍已不限於儲戶被盜存款。這無疑加大了銀行的賠償責任風險。我們認為,儲戶存款被盜的途徑多種多樣,而銀行在存款被盜事件中,往往是無過錯的,或者其過錯不是導致存款被盜的主要(關鍵)原因,判決銀行賠償儲戶被盜存款,有顯失公平之嫌疑,讓銀行再承擔違約責任,無疑有悖公平原則。
二、銀行如何防範在網上銀行被盜案中的法律風險
在現有法律規定不完善的情形下,銀行要防範和化解在網上銀行被盜案中麵臨的法律風險,首先應通過自身努力,其次才可借助國家對法律規定的不斷完善。對後一內容,本文將在第三部分予以闡述。
(一)正確宣傳網銀風險
儲戶存款被通過網上銀行盜取,以及法院判決銀行賠償儲戶被盜存款,往往與儲戶不知或忽視相關信息外漏(遺失)風險和社會各界(包括法官)對網上銀行業務操作流程不知(熟悉)有關。正如前文所述,網上銀行注冊,必須依賴於由儲戶掌握或控製的存折(銀行卡)或存折(銀行卡)號、身份證號和密碼。因此,銀行應向儲戶明確告知其所持存折(銀行卡)遺失或相關信息外漏的風險,使儲戶保管好折卡及相關信息(尤其密碼),正確操作使用網上銀行,防止受假網站或“手機信息”等所騙,從而防止存款“被盜”於未然,一方麵可從源頭上減少存款被盜事件發生,另一方麵也加大儲戶過錯程度。銀行要使社會各界知悉(明白):沒有密碼和存折(銀行卡)或存折(卡)號,即使有假身份證,也無法注冊網上銀行,從而使社會各界認識到密碼和存折(銀行卡)或存折(卡)號的遺失或外漏,是存款被盜的關鍵因素。這樣,在訴訟中無須銀行解釋說明,法官自知網上銀行業務操作規程,從而使銀行不再承擔舉證責任。
(二)強化安全防範措施
除黑客侵入外,網上銀行被盜案的發生往往與網絡係統本身是否安全並無關聯。事實上,銀行網絡係統自身在不斷改進和完善。此處要討論的,是與網絡係統本身無直接關聯而屬網上銀行注冊與運用的安全防範措施。據悉,開展網上銀行業務的主要銀行均各有數字認證係統,工商銀行有 u 盾和電子口令卡等安全防範技術和措施供儲戶選擇。當然,這些措施隻能在注冊時或注冊後由儲戶選擇,對於儲戶被他人冒名注冊的,卻無法適用。對此,銀行要研究相關技術措施來加以防範,如可否對大額轉賬或短時間內轉賬次數較多(因為犯罪分子急需一次或多次將資金轉入其他賬戶)的賬戶附加限製操作環節。另外,銀行要安排人員密切關注儲戶賬戶資金的支出動態,如發現異常要及時告知儲戶。
(三)合理分攤業務風險
一般情況下,網上銀行業務涉及銀行與儲戶兩方主體,如有第三方認證的,還存在認證機構問題。有些銀行的網絡軟硬件設施是由供應商提供的。由此可知,網上銀行業務多可涉及銀行與儲戶、網絡服務商、設施供應商、認證機構等多個法律關係。而儲戶存款被盜可能與一個或多個主體的過錯有直接或間接關聯性。因此,銀行在與各方簽訂協議時,要充分認識到存款被盜原因的多樣性和複雜性,並以公平原則和過錯責任為基礎,將存款被盜的法律風險進行分攤。如果銀行是格式協議文本的提供者,則須以適當方式提醒對方當事人注意協議條款內容,必要時可在協議中附加如下重要提示條款:乙方(即對方當事人)對本協議條款已詳盡閱讀,甲方已對乙方的有關問題作出解釋說明,乙方對本協議各條款內容已無異議。
(四)及時進行證據保全
雖然銀行單方承擔舉證責任存在問題,但網上銀行業務無紙化的特點,決定了由銀行儲存和保管客戶資料(信息)和交易數據。這也是法院要求銀行承擔舉證責任的關鍵因素。然而銀行不可由此消極對待,而應變被動為主動,利用現有條件積極應對。一是網上銀行注冊的資料或信息要長時間保存,對交易記錄數據等其他信息要至少保存兩年以上,以滿足有關訴訟時效期間的規定。二是銀行與儲戶應協商建立賬目核對機製,定期以電子郵件等方式向儲戶送達賬單,進行賬目核對,並書麵約定如儲戶在若幹工作日內未提出異議的,即視為賬目支出無問題。同時保留前述送達材料。三是借助公證作用,保全相關證據資料和信息。如在訴訟中,交易記錄數據因儲存服務器容量飽和或保存時間屆滿而被刪除時,可打印該數據並予以公證保存。在有可能的情況下,對曾獲悉儲戶折卡等材料或信息的人進行訪談,了解資料(信息)的傳遞途徑,並予以公證保全。四是積極與法官或公安偵查人員溝通,爭取他們的支持,必要時可申請法院依職權調查取證。
三、加快立法建設,合理規範各方當事人的權利義務
銀行在網上銀行被盜案中的法律風險,根本原因在於我國立法滯後。網上銀行運營模式,改變了傳統的交易過程與方式、規範原則和法律責任歸責基礎,且某些操作也與現行的法律法規不一致。這就要求有新的立法來規範新的業務行為,否則,各方當事人權責不清或者權利義務不對等,既影響業務的快速發展,客觀上也造成大量糾紛,並容易使司法裁判產生一定的隨意性。近年來的多起結果相異的網上銀行被盜案訴訟判決,足以說明這一點。因此,建議加快立法建設,合理規範各方當事人的權利義務,以便於司法實踐的操作。我們認為,以下幾方麵應在立法時優先考慮。
(一)法律關係定性
網上銀行被盜案主要涉及兩個法律關係,即銀行與儲戶之間的存款合同關係和犯罪分子與儲戶或銀行之間的侵權關係。犯罪分子將儲戶賬目上的數據進行修改,並將電子貨幣資金轉移至其他賬戶,這是對儲戶權益的侵害還是對銀行權益的侵害,是有爭議的。如是侵害儲戶權益,則儲戶隻能向犯罪分子追償;如是侵害銀行權益,則銀行應按存款合同向儲戶履約和支取存款。我們認為,網上銀行存款被盜的原因多而複雜,很難適用單一的法律關係及其規則解決糾紛。因此,應在個案中視被盜原因來確定適用何種法律關係及其規則解決糾紛。
(二)歸責原則
這決定舉證責任的分配。在網上銀行被盜案中,可能銀行與儲戶均有過錯,也可能一方有過錯,還可能各方當事人均無過錯,而是由犯罪分子竊取所致。因此,如果適用侵權關係及其規則的,則不宜單獨適用過錯責任原則、無過錯責任原則或過錯推定原則中的任何一種;如果適用合同關係及其規則的,則不宜單獨適用過錯責任原則或嚴格責任原則中的任何一種。如黑客入侵的網上銀行被盜案中,銀行與儲戶均無過錯,而在密碼、折卡號和身份證號外漏的被盜案中,儲戶過錯是顯而易見的。我們認為,由於存款被盜原因多而複雜,且考慮到當事人承擔責任的公平性,所以在個案中應按確定適用的法律關係,選擇適當的、公平的歸責原則。一般情況下,在銀行有過錯時,按合同關係由銀行繼續履行合同;在儲戶有過錯時,銀行不承擔責任,按侵權關係告知儲戶起訴犯罪分子並向其追償,或判決犯罪分子賠償儲戶損失;在銀行和儲戶均有過錯時,按他們過錯大小,分別適用不同法律關係,由銀行或犯罪分子承擔或賠償儲戶損失;在雙方均無過錯時,由法官根據雙方實際情況,判決銀行承擔一部分或全部損失;在銀行或儲戶可能有過錯的情況下,適用於過錯推定或嚴格責任原則,確定雙方承擔的責任大小。另外,在無相反證據證明的情況下,應推定儲戶對密碼、折卡號等信息的外漏或折卡的遺失有過錯。
(三)證據效力和舉證責任分配
網上銀行業務無紙化特點決定了注冊、交易等信息隻能以數據形式儲存於銀行的服務器。同時,由於電子記錄尚未被納入證據種類中,導致銀行往往在訴訟中處於不利地位。因此,立法應承認電子證據,以適應快速發展的電子商務或網上銀行業務,從而解決訴訟中無證據證明之困境。在舉證責任分配上,要根據確定的法律關係和歸責原則,確定由誰承擔舉證責任。我們認為,儲戶掌握和控製著銀行卡(存折)、密碼、身份證等信息和物質材料,因而原則上應由儲戶對信息未外漏或折、卡、證未遺失予以舉證證明。
(四)對黑客入侵所竊取的存款,確立合理的損失承擔規則
由於銀行和儲戶對黑客入侵均無過錯,所以由任何一方承擔損失,均有失公平。美國 1980 年的聯邦電子資金移動法(聯邦 eft)規定,當出現無權限交易時,即使銀行已經證實消費者存在過失,但在一定條件下,消費者承擔的損失額限為 50 美元(即 50 美元規則)。我國可以借鑒國外立法實踐,或考慮一個額度,或設定一個比例,由銀行和儲戶分別承擔部分損失。不過需要指出,儲戶是弱者,在規則的設定上銀行應承擔主要損失。