网上银行业务若干法律问题研究,本文主要内容关键词为:法律问题论文,银行业务论文,网上论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、未经客户授权网上银行交易的法律责任问题
网上银行交易主要通过如下程序完成:客户(发件人)以开放的因特网为传输媒介,通过电脑终端向银行发出电子交易指令,银行安全认证系统对电子交易指令的发件人身份进行识别后,业务处理系统按照电子交易指令的内容自动完成交易。在网上银行交易中,银行(或认证机构)向客户颁发电子签名认证证书(客户证书)或电子签名制作数据,客户通过电子签名认证证书(客户证书)或电子签名制作数据进入网上银行系统,网上银行安全认证系统确认签名认证证书(客户证书)或电子签名制作数据后,才能进入交易程序。因此,网上银行身份确认是网上银行交易的首要问题。如果不解决这一问题,网上银行的安全和信用都无从建立。然而,据以确认客户身份的客户证书和电子签名制作数据很可能被他人冒用。这主要有以下三个原因:第一,因客户丢失客户证书或电子签名制作数据;第二,恶意程序通过捕获键盘输入字符而获取客户电子签名制作数据或通过暴力方式获取客户电子签名制作数据;[1](P374)第三,客户登录假冒网上银行的网站被网络钓鱼者窃取电子签名制作数据。因此,未经客户授权,冒用客户的客户证书或电子签名制作数据发出网上交易指令,窃取客户资金,成了网上银行交易最常见的民事纠纷案。
如果发生未经他人授权,冒用他人客户证书或电子签名制作数据进行网上银行交易,造成客户资金损失,是由客户还是银行来承担?对此,中国人民银行于2005年10月26日发布实施的《电子支付指引》(第一号)第四十五条规定:非资金所有人盗取他人存取工具发出电子支付令,并且其身份认证和交易授权通过发起行的安全程序的,发起行应积极配合客户查找原因,尽量减少客户损失。《中华人民共和国电子签名法》也有类似的规定。该法第九条规定,收件人按照发件人认可的方法对数据电文进行验证后结果相符的,视为发件人发送。按照这两个法律法规的规定,只要身份认证和交易授权通过银行的安全程序,不论客户证书和电子签名制作数据(即存取工具)是否被他人冒用,也不论网上银行客户有没有过错,造成客户资金损失的,都由客户自己承担。《中华人民共和国电子签名法》和《电子支付指引》(第一号)的这一规定对个人客户来说,有失公平。该规定过于注重了对银行的保护,忽视了消费者的利益。事实上,不同的客户在网上银行交易中的地位是不同的。个人消费者在网上银行交易中处于弱势的地位,银行处于强势的地位。因为网上银行交易安全防范需要一定信息技术专业知识,大多数个人消费者缺乏这方面的知识。银行具有强大的资金实力和高端的技术人才,在网上银行交易安全方面应当负主要责任。如果个人客户证书和电子签名制作数据被他人冒用造成客户资金损失,客户没有过错的,应当由银行承担。这样才能体现法律的公平。相反,在网上银行交易中,法人客户和银行处于同等的地位。因为法人客户完全有能力雇佣具有一定信息技术知识的人来从事网上银行交易。双方在网上银行交易安全方面应当负同样的责任。另外,网上银行业务除了便捷快速以外,另外一个特点就是服务价格便宜。由于法人客户网上汇划资金额度往往很大,因此造成损失也非常大。但是银行收取的佣金却非常少。银行收取少量佣金而承担如此巨大的风险,显失公平。因此,如果法人客户的客户证书和电子签名制作数据被他人冒用,只要身份认证和交易授权通过银行的安全程序,银行没有过错,造成的资金损失的就应当由客户承担。这样才能体现合同的权利义务对等原则和公平原则。《中华人民共和国电子签名法》和《电子支付指引》(第一号)的规定,在网上银行服务合同对方当事人为个人客户情况下,有失公平。偏重于对银行的保护,忽视了个人客户的利益。在合同对方当事人为法人客户的情况下,较为公平、合理。
与此相反,中国银行业监督管理委员会于2005年颁布并于2006年3月1日开始实施的《电子银行业务管理办法》的规定则不同。该办法第八十九条规定:金融机构在提供电子银行服务时,因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的,金融机构应当承担相应的责任。因客户有意泄漏交易密码,或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的,金融机构可以根据服务协议的约定免于承担相应责任,但法律另有规定的除外。由此可见,按照《电子银行业务管理办法》的规定,在客户无过错的情况下,如果客户证书和电子签名制作数据被他人冒用,即使通过安全程序,造成客户资金损失也由银行承担。如前所述,不同的客户在网上银行交易中的地位是不同的。个人消费者在网上银行交易中处于弱势的地位。银行处于强势的地位,在网上银行交易安全方面应当负主要责任。相反,法人客户和银行处于同等的地位。因此,在网上银行服务合同对方当事人为个人客户情况下,《电子银行业务管理办法》的这一规定较为公平、合理。在合同对方当事人为法人客户的情况下,有失公平。主要是对银行不公平,忽视了银行的利益。《电子银行业务管理办法》之所以这样规定,主要原因是该办法作为金融监管当局制定的一部监管法规,侧重于加大银行的责任,防范金融风险,但是忽视了合同法的公平原则和权利义务对等原则。《中华人民共和国电子签名法》是全国人大常委会于2004年8月28日公布,2005年4月1日开始实施的规范性文件。从法律渊源上来说,属于法律的范畴,其法律效力高于属于部门规章的《电子银行业务管理办法》。因此,当发生冒用他人客户证书或电子签名制作数据进行网上银行交易,造成客户资金损失时,只要身份认证和交易授权通过发起行的安全程序的,就应当适用《中华人民共和国电子签名法》和《电子支付指引》(第一号)的规定,损失由客户承担。
在实务上,我国商业银行的做法是:当被冒用的客户证书或电子签名制作数据源于客户被盗或遗失,则无论客户有无过失,风险损失由客户承担;甚至银行安全认证系统遭黑客攻击,密码被破解而产生的损失,也由客户承担。如《中国建设银行网上银行服务协议》明确规定:“无论客户实际上是否将电子证书和密码提供他人使用,均须对电子证书和密码下完成的一切金融交易负责。”《中国农业银行网上银行业务章程》第七条规定:“客户证书和密码是注册客户进入中国农业银行网上银行系统的惟一身份标识,凡是凭客户证书和密码进行的操作均视同客户本人所为。”这实际上要求客户承担所有客户身份识别风险。我国银行业的规定虽然符合《中华人民共和国电子签名法》和《电子支付指引》(第一号)的规定,但却显失公平,属于典型的“霸王条款”。
对于这个问题,电子银行业务发展迅速的美国的做法相对较为合理,在其立法中体现了保护消费者利益的原则。美国1980年《电子资金转移法》中规定,银行与客户之间发生无权限交易时,即使银行能够证明消费者有过失,只要消费者在发现信用卡、软盘等电子工具被盗、丢失后,在两个营业日终了前将情况通知银行,消费者的承担限额在50美元之内;在两个营业日终了后通知的情况下,消费者对损失的承担额限定在500美元之内。由于《电子资金转移法》是以个人消费者为服务对象的零售银行领域的立法,对于银行之间、银行与企业之间的大额资金支付则不能适用。美国1989年对《统一商法典》修订时,在第4A章中规定,当发生无权限交易时,只要银行对支付指令的确认已经使用了交易上合理的安全手段,客户对该无权限交易的损失额承担责任。可见美国法律关于包括网上银行在内的电子银行业务身份识别失败的责任分担问题,对个人客户的保护是严格的,银行的责任比较重;对法人客户的保护体现公平原则,只要银行尽到足够注意的义务便可以免责。[2](P98)
我国可以借鉴美国的做法,尽快修改《中华人民共和国电子签名法》、《电子支付指引》和《电子银行业务管理办法》,一方面使这些法律法规的规定协调一致;另外一方面分别对法人客户和个人客户采取不同的责任分担方式。对个人客户,应当加大银行的责任,在客户无过错的情况下,如果客户证书和电子签名制作数据被他人冒用,即使通过银行安全程序,客户资金损失也应当由银行承担。对于法人客户,应当适当减轻银行责任,如果客户证书和电子签名制作数据(即存取工具)被他人冒用,只要身份认证和交易授权通过银行的安全程序,不论包括网上银行在内的电子银行客户有没有过错,造成的客户资金损失,都由客户自己承担。
二、网上支付的法律问题
网上支付的法律问题主要涉及到网上支付指令未经客户授权、网上支付指令未执行、未适当执行、延迟执行和网上支付指令错误的法律责任问题。在网上支付法律关系中有以下当事人:发件人(委托发起行发出网上支付指令的客户);发起行,即接受客户委托发出网上支付指令的银行,一般是发件人的开户银行;接收行,是指网上支付指令接受人的开户行,接受人未在银行开立账户的,指网上支付令确定的资金汇入银行;接受人,即发件人指定的网上支付指令接受人,一般是受益人。由于我国商业银行的网上银行业务目前没有实现跨行交易,因此发起行和接收行是同一银行。我国网上银行支付关系主要由《电子支付指引》(第一号)进行调整。但是相关规定过于原则,导致银行在其《网上银行服务协议》和《网上银行业务章程》等格式合同中对自己的义务和责任约定过轻,对客户义务和责任约定过重,形成了“霸王条款”。网上支付指令未经客户授权问题前面已经阐述,以下主要分析网上支付指令未执行、未适当执行、延迟执行和网上支付指令错误的法律责任。
(一)网上支付指令未执行的法律责任。《电子支付指引》(第一号)第四十三条、第四十五条对支付指令未执行的法律责任作了原则规定。第四十三条规定:接收行由于自身系统或内控制度等原因对电子支付指令未执行、未适当执行或延迟执行致使客户款项未准确入账的,应及时纠正。第四十五条规定:客户发现自身未按规定操作,或由于自身其他原因造成电子支付指令未执行、未适当执行或延迟执行的,应在协议约定的时间内,按照约定程序和方式通知银行。银行应积极调查并告知客户调查结果。上述规定虽然明确了在支付指令未执行、未适当执行和延迟执行的情况下客户和银行应当承担责任,但是承担何种责任不明确。
笔者认为,在网上支付指令是由客户发出或经客户授权的情况下,客户由于自身未按规定操作,由于自身其他原因导致电子支付指令未执行的,造成的损失,由客户自己承担。由于银行自身系统、内部控制或为其提供服务的第三方服务机构的原因,造成网上支付指令未执行的,银行要承担继续履行的责任,如果造成客户资金损失,要承担赔偿责任。主要原因在于:由于网上银行交易是基于网上服务合同而进行的,双方当事人的法律关系属于合同关系。因此,当网上支付指令是由客户发出或经客户授权时,适用过错责任原则,谁有过错,由谁承担责任,才符合合同法的公平原则。但是损失金额是否包含间接损失?对此《电子支付指引》没有规定。笔者认为,应当包括间接损失,但以银行预见到或应当预见到的损失为限。因为根据我国合同法第113条的规定,当事人一方不履行合同义务或者履行合同义务不符合约定,给对方造成损失的,损失赔偿额应当相当于因违约所造成的损失,包括合同履行后可以获得的利益,但不得超过违反合同一方订立合同时预见到或者应当预见到的因违反合同可能造成的损失。因此,在此情况下,应当适用合同法第113条的规定,若由于银行自身系统、内部控制的原因,造成网上支付指令未执行或未适当履行,银行应当赔偿由此所造成的损失,包括支付指令确定的金额及利息,以及支付指令完全履行的情况下发件人可以获得的收益,但以银行预见到或应当预见到的损失为限。
(二)网上支付指令延迟执行的法律责任。如上所述,网上银行交易是基于网上服务合同而进行的,双方当事人的法律关系属于合同关系。根据合同法的公平原则,当网上支付指令是由客户发出或经客户授权时,适用过错责任原则,谁有过错,就由谁承担责任。因此,若由于银行自身系统、内部控制的原因,造成网上支付指令延迟执行的,经客户要求,银行应当承担继续履行的责任,但服务费用由银行承担。造成客户损失的,应当承担赔偿责任。赔偿金额包括间接损失,但以银行预见到或应当预见到的损失为限。客户由于自身未按规定操作,由于自身其他原因造成电子支付指令未执行的,造成的损失,由客户自己承担。
(三)网上支付指令未适当执行的法律责任。未适当执行支付指令,即支付执行错误,是指支付指令本身并无错误,银行在执行该指令的过程中出现了差错,如支付的金额超过或少于客户指令的金额,向错误的受益人支付了款项,重复发出支付指令等。根据过错责任原则,如果客户本身无过错,就不应承担责任;如果金融机构错误执行指令,存在过错,就应对由此造成的损失负责。所以,当出现超额或重复付款时,对超额部分,应根据不当得利原则要求受益人返还;当出现支付短款时,金融机构除应当补足短款外,还应就短款部分支付延迟付款的利息。
(四)网上支付指令错误的法律责任。网上支付指令错误是指支付指令内容存在错误,如受益人名称错误、受益人名称和账号不符、指令支付的金额多于或少于应支付的金额、发件人自己重复发送支付指令等。网上支付指令错误是由于发件人自己的过错造成的,因此造成的损失理应由发件人自己承担。
三、适用的归责原则问题
违约责任的归责原则,是指基于一定的归责事由确定违约责任承担的法律原则。我国《合同法》确立了以严格责任原则为主导,以过错责任原则为补充的归责原则体系。在具体的过错原则适用中,又根据特殊的实际需要规定了过错推定原则。这就构成了我国违约责任的归责体系。网上银行业务双方当事人的法律关系是合同关系,当事人承担的是违约责任。但是网上银行合同双方当事人所处的地位不同。因此,网上银行违约责任适用过错责任原则和过错推定原则更加符合合同法的公平原则。
(一)未经客户授权交易的责任归责原则。过错责任原则,是指一方当事人不履行或不适当履行合同义务时,应以该当事人的主观过错作为确定违约责任构成的依据。[3](P541)在网上银行服务合同中,不管支付指令是谁发出的,只要银行符合国家安全标准和技术标准的安全认证程序通过了电子支付指令,银行就没有过错。根据《电子支付指引》(第一号)和《中华人民共和国电子签名法》的规定,银行按照发件人认可的方法对数据电文进行验证后结果相符的,视为发件人发送,银行不承担违约责任。因此,可以说,《中华人民共和国电子签名法》和《电子支付指引》(第一号)确立了银行承担违约责任适用过错责任的归责原则。
按照过错推定原则,只有存在法定的抗辩事由时,才能免责,违约方没有过错并不能作为免责的依据。[3](P541)《电子银行业务管理办法》规定:金融机构在提供电子银行服务时,因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的,金融机构应当承担相应的责任。因客户有意泄漏交易密码,或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的,金融机构可以根据服务协议的约定免于承担相应责任,但法律另有规定的除外。也就是说,不论银行有没有过错,只要“非客户原因”造成损失的,银行就应当承担责任。只有存在法定的免责事由,即“客户有意泄漏交易密码,或者未按照服务协议尽到应尽的安全防范与保密义务”时,银行才可以免于承担责任。因此,《电子银行业务管理办法》确立了过错推定原则。
不同的法律法规规定了不同的归责原则,不能不说是我国网上银行业务立法上的失误。笔者认为,在确立身份识别失误违约责任的归责原则时,应当区别个人客户和法人客户采取不同的归责原则。对个人客户,银行承担违约责任应当采用过错推定原则。即使银行没有过错,也应当承担责任。只有存在个人客户有意泄漏交易密码,或者未按照服务协议尽到应尽的安全防范与保密义务等法定事由时,银行才可以免于承担责任。这样才能更好地保护个人消费者的权利,体现法律的公平原则。对法人客户,银行承担违约责任应当采用过错责任原则。在网上银行交易合同中,不论支付指令是由谁发出,只要银行的安全认证程序通过了电子支付指令,银行就没有过错,不承担违约责任。只有对法人客户采用过错责任原则,才能体现合同的权利义务对等原则。
(二)网上支付违约责任的归责原则。笔者认为,当网上支付指令是由客户发出或经客户授权时,不论对个人客户还是法人客户,都应当适用过错责任原则。其主要原因在于:当网上支付指令由客户发出或经客户授权发出,并经银行的安全认证系统对客户身份进行确认后,网上银行业务就进入业务处理阶段。此时,银行的安全义务已经尽到。在业务处理阶段,各方当事人的地位完全平等。因此,应当适用过错责任原则,谁有过错,由谁承担责任,才符合合同法的公平原则。
四、不可抗力及第三方责任的法律问题
不可抗力是指不能预见、不能避免、不能克服的客观情况。在存在不可抗力的情况下,不履行义务的一方可以免于承担违约责任。在网上银行交易中,因不可抗力导致的事故或故障,相关当事人应予免责,这是毫无疑问的。但是,不可抗力的具体界定则是实践中的重要问题。传统立法所指的战争、自然灾害等事件仍然应该纳入不可抗力事件的范围之中。但是在实务中,银行往往把黑客侵袭网络系统、供电系统停电、通讯系统中断也作为不可抗力事件,显然扩大了不可抗力事件的范围。如《中国农业银行网上银行业务章程》第十三条规定:因不可抗力或银行无过错导致网上银行系统无法正常运行,中国农业银行不承担任何责任。《中国农业银行电子银行服务协议》规定:因战争、自然灾害等不可抗力原因,或通讯、供电故障等非乙方过错原因导致乙方不能履行本协议规定的义务,乙方不承担责任。通讯、供电故障显然属于第三方责任,而非不可抗力事件,以此免责,显失公平。
关于第三方的责任问题,我国相关法律规定也不一致。《电子银行业务管理办法》第九十一条规定,金融机构已经按照有关法律法规和行政规章的要求,尽到了电子银行风险管理和安全管理的相应职责,但因其他金融机构或者其他金融机构的外包服务商失职等原因,造成客户损失的,由其他金融机构承担相应责任,提供电子银行服务的金融机构有义务协助客户处理有关事宜。即第三方原因造成银行违约,银行不承担责任。而《电子支付指引》(第一号)第四十二条规定,因第三方服务机构的原因造成客户损失的,银行应予以赔偿,再根据与第三方服务机构的协议进行追偿。即银行与第三方承担连带责任。
笔者认为,因第三方的原因造成客户损失的,由银行进行赔偿更为公平、合理。因为客户是和银行发生合同关系,对银行较为熟悉,如果发生诉讼,成本较低。客户与第三方不熟悉,甚至不知第三方是谁,无从寻找第三方,无从起诉。如果起诉,成本也更高。使客户对网上银行交易失去信心,不利于网上银行业务的发展。不符合合同法的公平原则和有利于交易的原则。因此应当尽快修改《电子银行业务管理办法》,使之与《电子支付指引》和我国合同法的规定一致。
五、结论
虽然我国网上银行业务发展很快,但是网上银行交易量占银行全部业务量的比重仍然很小。网上银行业务发展空间依然很大。立法滞后问题是制约我国网上银行业务快速、健康发展的重要因素之一。虽然我国制定了《中华人民共和国电子签名法》、《电子支付指引》、《电子银行业务管理办法》等规范网上银行业务的法律法规。但是这些法律法规仍然较为粗糙,没有最大限度地公平调整当事人之间的权利义务关系。因此,应当尽快按照公平原则和权利义务对等原则来修改上述法律法规或制定专门的法律,进一步规范网上银行业务,公平地保护银行和客户的利益,确保银行和客户对网上银行业务的信心,促进我国网上银行业务快速健康发展。
标签:法律论文; 银行论文; 过错责任原则论文; 违约责任论文; 网上银行业务论文; 合同管理论文; 银行系统论文; 电子支付系统论文; 个人网上银行论文; 公平原则论文; 个人管理论文; 电子银行论文; 资金安全论文; 支付安全论文; 安全证书论文; 资金业务论文; 电子签名论文; 金融机构论文; 网上支付论文; 客户执行论文;