手机银行失密被盗,谁之责任?

2008年3月，王步辉到银行签约办理手机银行业务，并在签约账户内存款12万元。两小时后，王步辉发现该账户内款项10万元被连续转出，立即向公安机关报案。经查涉案金额正是通过手机银行转账方式分多笔连续转出。在公安机关调查过程中，王步辉承认因收到短信得知有人可帮其申请银行贷款，在与发短信人取得联系后，对方要求其开立账户并存入保证金，证明自己具有偿还能力。于是，王步辉按发短信人要求办理储蓄卡、用发短信人提供的手机号码开通手机银行业务并与该储蓄卡绑定，同时设置交易密码。发现款项丢失后，王步辉在多次与银行交涉未果后，一纸诉状将银行告上法庭，要求银行承担违约责任并赔偿其经济损失。王步辉认为，银行作为储蓄部门负有保证储户存款安全的责任，现存款丢失正是因为银行未尽合同约定义务造成，故应承担违约责任。经过一审审理，法院最终认为：王步辉自身存在失密行为，而其认为资金被他人非法划出是因银行未尽合同义务造成又无相应证据支持，故驳回王步辉的诉讼请求。

本案的争议焦点在于手机银行业务安全的关键――手机号码和业务交易密码两者的安全性、保密性应由谁负责，由于第三人侵权所造成的资金损失，银行储户之间的责任又将如何分配。对此，银行、储户以及司法机关都有着各自的理解和认识。

银行认为：手机银行业务的操作特点在于手机银行与手机号码惟一绑定，手机号码作为个人身份识别的标志，所有交易必须且只能在签约为主叫号码的手机上进行，具有较高的安全性。由签约手机银行的主叫号码发出的交易指令，银行只须验证储蓄卡密码和手机银行交易密码，即已完成合同的履行。至于手机号码、交易密码都应由储户负有保管义务，储户用别人的手机号码绑定自己的账户并开通手机银行，同时泄露交易密码，本身存在巨大过错，损失应自行承担，银行没有任何责任。

储户则认为：在办理手机银行业务过程中，其本身对相关业务并不了解，对该业务可能存在的风险也不知悉，在业务办理过程中，银行工作人员并未履行提示和告知义务，同时对客户填写资料的真实性也未尽谨慎的审核义务，且工作人员自身对手机银行业务并不熟悉，向其作出错误的相关解释。正是这些原因导致犯罪分子利用手机银行将客户账户内款项转走，造成其经济损失。因此银行对于其资金损失具有重大过错，应当承担责任。同时，银行作为金融机构，本来就对保护储户资金安全负有不可推卸的责任，存款丢失不管基于何种原因，银行都不能免责。

在日常的司法实践中，对于此类电子银行案件，全国各地法院作出过许多截然相反的判决：银行、储户承担全部责任或者各自承担部分责任的判决结果都曾出现。法院的观点并不相同：有的认为银行依据客户或知道客户信息及密码信息的人员发出的指令进行操作，银行没有审查的义务，原告亦没有提供证据证明银行的电子银行系统存在技术上的缺陷，因此不应由银行承担责任；有的则认为银行作为向客户提供电子银行服务的一方，对储户安全使用电子银行、确保交易安全负有责任，银行应证明案件所涉及的电子银行交易行为，确系原告本人或其合法有效的授权人所为，现银行不能举证故应承担举证不能的不利后果。

由于本案属于新类型诉讼，没有相关法律法规可以直接适用，因此在审理过程中审委会也经历了激烈的讨论。最终法院认为：银行作为储蓄部门，负有保证储户存款安全的义务，储户本人也有保护自己密码、维护存款安全的义务。而手机银行业务中，手机号码作为个人身份识别的标志，所有交易必须在签约的主叫手机上发出指令，并且知道储蓄卡密码和手机银行密码者方可完成，本案中储户将外人的手机号码与自己的账户绑定，从而使外人得以进行手机银行业务操作。同时对外人如何知道储户相关密码，储户并未提出合理解释，因此推定储户存在失密行为。现储户认为资金被他人非法转出，是银行未尽合同义务造成，因未能提供相关证据证明其主张，故法院不予支持。

笔者认为：本案的争议焦点在于王步辉的资金被案外人划转是否由于银行未尽合同义务造成。从《合同法》理论来看，合同的义务分为主合同义务和合同的附随义务，本案中银行已履行合同主要义务，只是在履行风险提示等附随义务中存有瑕疵，从储户资金损失原因及过错大小分析，银行未尽合同附随义务与储户资金被案外人划转并无直接因果关系，虽有过错但较微小。而王步辉资金被划转，主要由于其自身的失密行为所造成，故要求银行承担责任于法无据。

首先，银行方已经履行主要合同义务，但附随义务的履行存在瑕疵。从合同权利义务角度分析，双方形成储蓄合同关系和手机银行服务合同法律关系，而资金划转行为的权利义务源自双方签订的《电子银行业务服务协议》，其中相关条款已作出如下规定：“无论客户实际上是否将电子证书或密码提供给他人使用，在该电子证书或密码下（银行处理错误另议）所进行的一切交易操作，均被视为客户本人所做的正常操作。如客户已将电子证书或密码提供给他人使用，由此造成的损失由客户自行承担。”虽然协议条款本身有霸王条款之嫌，但根据电子商务交易习惯以及电子商务的特点应认定：凭交易密码发出的交易指令视为客户本人作出，银行按照交易指令进行交易视为履行合同的义务。目前，多数银行推出的电子银行服务均采用国际标准的身份认证系统和最先进的安全加密技术以保证交易安全。依照我国《电子签名法》规定：“收件人按照发件人认可的方法对数据电文进行验证后结果相符的，视为发件人发送。”因此，银行向输入正确的密码或出示有效的电子签名的人履行义务，是有法律依据的，可以认为银行已履行主要合同义务。

至于本案中银行是否全面履行合同义务的确难以判断。笔者认为银行在向客户履行手机银行使用方法告知、业务流程介绍、密码保护风险提示等附随义务方面确实存在瑕疵和疏漏，不应认定银行全面履行合同义务。但银行方已履行主要合同义务，且未履行合同附随义务并非造成客户资金被转走的直接原因，因而在此情况下由银行承担赔偿责任显然有失公平。

第二，客户应负有保证密码安全的义务，失密则应承担相应责任。笔者认为：一个具有完全民事行为的储户应对自己的财产尽到合理谨慎的保管义务，而密码是储户在与银行签订电子银行服务协议时自行设定，除其本人外他人均无从得知，储户本人对其享有占有、使用、处分的权利。密码产生于储户思想当中，可以被纸质等载体表现出来，因此属于存在于人体之外，能够为人力所支配并且能满足人类需要的物质对象，符合我国民事法律中“物”的概念和特点。正因为储户对密码享有绝对的、排他的物权，其应当同时对该密码尽相应的保管义务，防止其被他人知晓。

以正常行为逻辑判断，王步辉轻信外人诱骗，将外人的手机号码与自己的账户绑定，同时泄露交易密码，款项被盗应归因于其疏于防范、轻信他人。由于对其财产损失存在重大过错，因此主张银行承担其财产损失的责任于法无据且不合情理。

从本案的判决结果来看，笔者认为法院驳回王步辉的诉讼请求是理由充分且合情合理的。但对于此类电子银行案件，司法实践中还存在较大争议，主要集中在银行是否全面、适当履行合同义务，诉讼中举证责任如何分配等方面。一些法院出于保护弱势群体角度考虑，往往判决银行先行向储户赔付存款再向犯罪分子追偿，这将使银行方承担了自身本不应承担的责任。如本案中，王步辉在办理手机银行业务时将他人的手机号码与自己的账户绑定，银行工作人员虽经提示，但储户预留号码是否真正为其本人使用，银行无从查证，而正是这一绑定行为造成其账户被案外人控制，同时交易密码作为交易识别的另一安全保证，同样被王步辉主动泄露，此背景下资金损失在所难免，因此判决驳回其诉讼请求是有理有据的。

此案虽然一审胜诉，但是本案中蕴藏的丰富内容应引起商业银行的高度关注。随着信息产业与电子技术的迅速发展，电子银行业务必将成为各大商业银行不可或缺的业务之一。然而，电子银行业务作为新生事物，必将面临立法滞后性的考验，其在发展过程中也将因缺乏相关法律的规范和指导而存在诸多问题，故而电子银行业务的规范化、法治化是立法机构和金融管理机构亟待解决的问题。从商业银行角度来看，如何全面、适当地履行合同义务，保证储户交易安全，是摆在开办电子银行业务的商业银行面前的一个重要课题。

（本文中所涉及人名均为化名）