两起网上银行服务 纠纷判例及其启示

基本案情

案例一：2005年5月,杨某在北京某银行开立个人银行结算账户存折及借记卡,并设置个人密码。同日,杨某申请银行开通了该借记卡的网上银行对外转账功能，并签署《网上银行使用协议书》,其中约定:“用户必须妥善保管本人网上银行登录密码和支付密码,所有使用上述密码进行的操作均视为用户本人所为,依据密码等电子信息办理的各类结算交易所发生的电子信息记录均为该项交易的有效凭证。”此后，因该借记卡账户共发生30笔网上汇款交易并导致存款减少60000元。2006年3月，杨某遂以某银行网上银行不安全，有关交易并非本人操作为由，要求某银行就其存款损失承担全部赔偿责任。

法院审理认为，某银行的网上银行转账交易方式以及交易流程是否存在瑕疵，是判断某银行是否承担法律责任的焦点。某银行网上银行申请开通及操作流程如下:首先,客户需在银行开立具有结算账户功能的存款账户及借记卡,由客户本人持有效身份证件到银行柜台填写开通网上银行的申请书,选择是否开通网上银行对外转账功能。本案中杨某选择了该功能,并在签字确认遵守某银行《网上银行使用协议书》后,在柜台设置了只有客户本人知道的网上银行初始登录密码（初始登录密码只在客户首次登录网上银行时使用）。其次,客户开通网上银行对外转账功能后，须以其账号和初始登录密码在某银行网站“个人网上银行登录”进行登录并进行密码修改，设置新的登录密码和支付密码；然后客户须使用新的登录密码重新登录，选择同意《某银行个人客户服务协议》、《网上银行交易规则》等协议，之后可选择“某银行机构间转账汇款”进入转账汇款操作页面,由客户自己输入汇款卡号、收款人姓名、收款人账号、金额、选择款项用途等，点击“提交”并由客户对相关汇款信息再次核对后,客户须输入支付密码，然后完成汇款交易成功。

法院认为，某银行上述交易方式以及交易流程表明，该银行在为客户办理网上银行业务时，已尽到了相关审查核实义务和提示义务；在客户准确输入登录密码以及交易密码的前提下,银行根据客户发出的汇款指令提供了相关汇款服务并收取相应手续费，应当认为银行已适当、完全履行了合同义务；在原告杨某不能提供充分证据证明银行存在过错的情况下,银行不应对其存款损失承担法律责任。根据上述理由，法院最终判决驳回杨某要求某银行向其赔偿60000元存款的诉讼请求。一审判决后，杨某未提出上诉。

案例二：2005年5月，储户庄某到福建泉州某银行柜台办理存款业务时，发现账户内的777万元存款不翼而飞。庄某当即向该银行领导报告并向警方报案。经警方立案侦查，发现犯罪嫌疑人曾持伪造的庄某的身份证在某银行开通网上银行业务，随后通过网上银行转账方式将庄某账户内存款划转到犯罪嫌疑人账户中，并领取现金后逃逸。案发后，警方抓获部分犯罪嫌疑人并追回赃款229万元，但剩余548万元无法追回。庄某认为，犯罪嫌疑人在开通网上银行业务时，某银行因未审查出伪造的身份证件存在过错，且该过错导致其777万元存款被犯罪嫌疑人通过网上银行转账转走，因而于2006年3月向泉州市某区法院要求某银行赔偿其548万元存款损失。

法院经审理认为，根据泉州某银行办理网上银行业务的操作规程，储户必须持有真实的身份证才可以开通网上银行业务；在银行不具备相应的证件鉴别设备的前提下，虽然不应苛求银行对身份证件的材质真伪进行鉴别，但这不能排除或减轻银行对取款人的身份和所提供的有关证件进行审查把关的义务。因此，某银行错误地接受虚假资料为他人开通庄某名下账户的网上银行业务，致使讼争存款被冒领，应承担相应的违约责任。法院判决被告某银行赔偿原告庄某经济损失548万元。泉州某银行未提起上诉。该案是近年来因网上银行纠纷法院判决银行赔付金额最大的一讼。

分析与点评

近年来，极少数客户因个人资料和密码被泄漏等原因，导致不法分子利用网上银行盗窃客户资金，个别客户将有关银行到法院要求赔偿资金损失。一些媒体也乘机炒作，质疑网上银行安全性，使得网上银行纠纷案成为2006年法院和大众关注的热点。

在网上银行客户和银行之间，实际上存在储蓄合同和网上银行服务合同两种法律关系。在储蓄合同法律关系中，银行负有妥善保管客户账户资金、按照客户需求办理存取款及挂失、为客户保密等义务，客户负有妥善保管存折、储蓄卡或信用卡及其密码等义务；在网上银行服务合同法律关系中，银行负有提供安全、快捷的网上银行交易环境、按照客户指令办理网上银行业务等义务，客户则负有按照服务协议有关规定进行操作并缴纳相应服务费用的义务。这两种法律关系具有密切的联系，储蓄资金是网上银行交易的对象，因而储蓄合同法律关系是建立网上银行服务合同关系的前提；网上银行服务合同法律关系实际上又是储蓄合同法律关系在网络环境中的延伸，银行或客户在其中任何一个法律关系中的违约行为都可能导致其在另一个法律关系中违约。

在网上银行纠纷案件中，争议的焦点问题往往集中在以下几个方面：银行开办的网上银行是否足够安全？银行是否应对客户身份证进行实质性审查？客户是否应当对通过密码办理的一切网上银行交易承担责任？

关于网上银行的安全性

网上银行的安全性问题是解决网上银行纠纷的基础问题，也是大部分网上银行案件中客户和法院最为关心的焦点问题。在诉讼过程中，客户往往会对银行开办的网上银行业务是否符合安全标准、是否存在瑕疵提出质疑，法院也需要在首先查明网上银行安全性问题的基础上才能对案件做出进一步审理。根据银监会2006年1月26日的《电子银行业务管理办法》（中国银行业监督管理委员会令2006年第5号）有关规定，银行开办网上银行业务实行审批制，即银行凡在中国境内开办网上银行业务，均应当按照《电子银行业务管理办法》的规定，满足相关安全性要求，并通过银监会的审批。这些要求包括：金融机构的经营活动正常，建立了较为完善的风险管理体系和内部控制制度，在申请开办电子银行业务的前一年内，金融机构的主要信息管理系统和业务处理系统没有发生过重大事故；制定了电子银行业务的总体发展战略、发展规划和电子银行安全策略，建立了电子银行业务风险管理的组织体系和制度体系；按照电子银行业务发展规划和安全策略，建立了电子银行业务运营的基础设施和系统，并对相关设施和系统进行了必要的安全检测和业务测试；对电子银行业务风险管理情况和业务运营设施与系统等进行了符合监管要求的安全评估；建立了明确的电子银行业务管理部门，配备了合格的管理人员和技术人员；电子银行基础设施设备能够保障电子银行的正常运行；电子银行系统具备必要的业务处理能力，能够满足客户适时业务处理的需要；建立了有效的外部攻击侦测机制等。

我们认为，由于银行开办网上银行业务必须经过银行业监管部门的审查批准，特别是对其安全性的评估和审核，因此，银行在诉讼中向法院提交其网上银行业务已经监管部门审批的有效证据，就应当推定其安全性符合监管部门的审批标准；如果客户认为银行的网上银行业务安全性存在漏洞或瑕疵，应由客户承担相应的举证责任。在前述两个案例中，原告在诉讼过程中都对网上银行的安全性问题提出了质疑，但由于北京某银行和泉州某银行的网上银行业务均通过银监会的审批，在原告未能提出证据证明被告网上银行存在安全漏洞或瑕疵的情况下，法院对原告就该银行网上银行不安全的主张均没有支持。

关于银行对客户身份证件的识别

关于银行对客户身份的审查义务问题，近年来在司法实践中一直存在较大的争议。根据人民银行1991年《对〈关于储蓄存款提前支取身份证及核对无误解释问题的请示〉的答复》、《关于〈储蓄存款章程〉有关问题的复函》、《关于定期存款提前支取核对证件内容问题的复函》、1993年《关于未到期定期储蓄存款提前支取应如何审查证件和处理业务问题的复函》和《关于执行储蓄管理条例的若干规定》，以及1997年《关于办理存单挂失手续有关问题的复函》的有关规定，银行对身份证件只进行形式审查，不负有鉴别证件真伪的责任。但在司法实践中，各地方法院对此问题的态度并不完全一致：有的地方法院强调银行必须对身份证件进行实质性审查；有的地方法院则认为银行只需作简单的形式审查即可。而最高人民法院《关于审理票据纠纷案件若干问题的规定》第六十九条规定：“如果付款人或者付款人未能识别出伪造、变造的票据或者身份证件而错误付款的，属于票据法第五十七条规定的‘重大过失’，给持票人造成损失的，应当承担民事责任”。虽然前述规定是最高人民法院针对票据纠纷所作的司法解释，但实际上一些地方法院已经将其扩大适用到储蓄存款合同纠纷领域。

在案例二中，由于不法分子采用伪造的身份证件冒充储户庄某为其账户开通网上银行，并通过网上银行转走巨款，泉州某银行的身份审查义务与客户的资金损失之间具有法律上的因果关系，且没有证据显示庄某在本案中具有过错，因此法院判决银行承担全部资金损失责任。从客观的角度分析，我国第一代身份证的科技含量低，不仅非常容易伪造，而且极容易以假乱真，而银行既不是身份证的发证机关，也不是具有专业鉴定职能的鉴定部门，客观上并不具备判断身份证件真伪的专门技能和人员，在一些具有身份管理职能的国家机关或一些专门的身份证鉴别仪有时都无法对伪造身份证进行有效识别的情况下，要求银行对身份证进行实质性审查既不合理，也没有明确的法律依据。目前，我国第二代身份证的换发工作已经全面展开。第二代身份证采取了不少高新科学技术，不仅采用了数字防伪和印刷防伪技术，而且还具备视读和机读两种功能，其防伪功能得到显著增强。可以预期，第二代身份证全部换发完成之后，不仅储户身份证的防伪性可以获得更加安全的保障，而且银行也可通过联网机器识别身份证，最大限度避免出现审查过错。

关于密码在网上银行交易中的作用

在网上银行业务中，由于客户密码完全是由客户本人设置，且经过不可逆加密算法存放在银行交易数据库中，具有私密性和惟一性等特性，即便银行工作人员也不可能知悉；由于银行和客户之间不可能直接面对面办理业务，因而密码在法律上属于银行识别客户身份以及客户对交易内容进行确认的重要手段：只要客户输入正确的账号和密码，银行就应当为客户提供相应的网上银行服务；如果网上银行交易中输入的密码正确，就应当推定有关交易系客户本人或客户授权之人所为，并应当由客户本人对网上交易承担相应的法律后果。应当指出的是，在网上银行业务法律关系中，客户负有妥善保管密码的义务，如果客户不慎遗失密码导致其账户资金发生损失，客户应为其过失或过错承担相应的法律责任。在上述案例一中，由于北京某银行在提供网上银行义务过程中并无过错，因而法院推定根据密码在原告资金账户进行的转账交易属于其本人所为，这完全是合理的。

对银行的启示

正确认识网上银行安全漏洞和欺诈风险

网上银行安全漏洞和网上银行欺诈风险是有明显区别的两个概念，前者是指银行交易系统本身在安全性能上存在的缺陷，后者是指不法分子骗取客户账号及密码信息后冒用客户名义注册或登录网上银行后窃取客户账户资金的风险。对于银行而言，应当充分利用最新科技手段不断增强网上银行的安全性能，为客户提供安全可靠的网上银行交易环境。例如，中国工商银行为加强网上银行安全性，针对没有领用“U盾”（客户证书）的网上银行客户，于2006年推出电子银行口令卡作为新的身份确认工具，每次使用时输入的密码都不一样，防范不法分子通过假网站和木马程序等手段窃取客户静态密码和资金；此外，工行还采取了登录、支付双重密码控制、密码强度控制（字母+数字且至少8位）、密码输错次数控制、支付限额控制、预留信息验证、惟一ID登录设置、工行信使服务等多重安全防范措施。对于客户而言，应当着重注意防范网上银行欺诈风险，避免因为自身的疏忽大意或过失导致资金损失。

注意引导客户提高风险防范意识

为避免网上银行欺诈风险，银行应当注意引导客户提高风险防范意识，明确告知和要求客户严格遵循网上银行操作指引，下载所有安全保障程序，及时升级软件系统和防杀毒软件；提示和鼓励使用客户证书控制账户资金；采用字母、数字混合的方式设置不易猜测的密码，将网上银行登录密码和转账支付密码设置为不同的密码，提高密码破解难度；客户不得将账号或密码告知他人，避免在公用计算机上使用网上银行，避免浏览非法网站，通过正当渠道下载软件，不打开来路不明的邮件，登录网上银行时注意核对网址是否正确，做好网上银行交易记录，定期打印网上银行业务对账单，发现异常交易或账务差错时立即与银行联系。

积极做好网上银行安全认证工作

根据银监会2006年1月26日的《电子银行安全评估指引》中，监管部门已对包括网上银行在内的电子银行安全评估条件、程序等问题做出了规定。虽然外部安全评估并不是开办和经营网上银行的必要条件，但为提高网上银行业务安全性的公信力，在将来监管部门颁布符合规定的外部认证机构名单后，银行应根据实际情况尽快实施外部安全认证，确保网上银行业务健康发展。

不断提高对客户身份证件的识别能力

我国在2008年将基本完成第二代居民身份证的集中换发证工作，且目前所有大中城市的第二代身份证换发工作均已全面展开。由于第二代身份证采取了不少高新科学技术，特别是具有通过相关仪器设备现场识别真伪的功能，对有效提高银行识别伪造身份证件的能力提供了技术上的可能和便利，因此，有条件的银行应当尽快为基层营业网点配置第二代身份证识别设备，加强临柜工作人员对身份证件的鉴别能力，避免或减少因身份证识别问题引发的法律纠纷。

(作者单位：中国建设银行总行中国工商银行总行法律部)