【摘要】随着自助交易、网上银行等新交易平台的普及,新类型犯罪或侵权案件层出不穷,银行对金融消费者承担安全保障义务的范围正不断拓展延伸。本文通过枚举实践中的案例,试图归纳出司法裁判中银行承担新运营平台安全保障义务界限的具体标准,即一定范围的人身安全保障和止损义务、对自助设备内的所有标识负责,对网银系统的安全性能负责,承担不可抗力导致的资金损失等,并对案件的举证责任分配中的注意事项加以论述,供参考。
金融活动逐渐成为人们日常生活不可或缺的一部分,由于银行是货币的聚散地,高风险的聚集区,其交易场所对金融消费者的安保义务备受社会关注。同时随着自助交易、网上银行等新交易平台的普及,银行承担安全保障义务的范围正不断拓展延伸,新类型案件也层出不穷。对于银行新运营平台的安全问题所产生法律纠纷,实践操作中对该类案件的处理还存在较大分歧。本文立足当前司法裁判中涉及银行新运营平台之相关难点问题展开探讨,通过对实践中相关典型案件的梳理与评析,力求为统一裁量标准作有益的总结,为破解难题开辟新的思路。
一、扩张解释银行承担安全保障义务的“场所范围”
传统的银行安全保障义务与其他公共场所中经营者承担的安保义务并无太大差别,只是由于货币集散所增加的风险使得银行安全保障的级别与要求相对提高,银行应当尽到的注意义务也相应较高。传统的安保义务的场所范围是实体性质的,即银行及其分支机构、储蓄所等的门店或网点。在上述场所范围内,银行对进入该场所的客户或潜在客户的人身、财产安全承担保障义务。
与传统的银行业务不同,现代银行业通过对交易模式“无人化”、“自助化”、“网络化”的巨大变革,高效便捷的运营平台大大节约了交易成本,提高了资金融通的效率,但也给交易各方带来了新的安全问题。在银行交易平台不断拓展的过程中,涉及资金安全的民事纠纷不断增多。银行承担安全保障义务的“场所范围”能否扩张解释到这些新运营平台上呢?
首先,关于自助银行。《商业银行设立同城营业网点管理办法》中规定
其次,关于网上银行。网上银行又称网络银行
另外,持卡交易的其他平台。银行卡交易便捷与效率使得围绕“卡”展开的各类金融服务大大增多,例如,银行特约商户使用
二、合理界定新运营平台下银行承担安全保障义务的“限度”
下文将通过枚举实践中常见的案例来分析、归纳各类新运营平台下银行承担安全保障义务的界限。
:“自助银行是指商业银行在营业场所以外设立的自动取款机(ATM)、自动存款机(CDM)等通过计算机、通信等科技手段提供存款、贷款、取款、转账、货币兑换和查询等金融服务的自助设施。”由于其“无人化”的特点,自助银行逐渐成为犯罪分子盗窃、诈骗的首选场所。目前涉及银行卡内资金遗失的案件中,80%以上涉及自助银行作案。自助服务作为柜台服务业务的延伸,提供简单的以银行卡为媒介的存取款、转账、查询交易,持卡人从某种意义上说便是与商业银行签订储蓄合同的“存款人”,其合法权益应由银行保障。但是,自助银行因其本身具有各种特殊的性质,其承担安全保障义务的内容、层级与实体门店有所不同。另外,自助银行也因其形式的不同而在安保义务的承担上有所差异。(Internet Banking)、电子银行(E- Banking),是指商业银行等银行业金融机构利用面向公众开放的通讯通道或开放型公共网络,以及银行以特定服务设施或为客户建立的专用网络,向客户提供的银行服务。1我国《网上银行业务管理暂行办法》中对网上银行的安全提出了不少要求,如第十六条规定,银行应制定并实施充分的物理安全措施,能有效防范外部或内部非授权人员对关键设备的非法接触。如第十八条, 银行应实施有效的措施,防止网上银行业务交易系统不受计算机病毒侵袭,等等。因此,客户通过网上银行这一新型平台进行金融交易,银行应承担相应的安全保障义务。只不过,由于其虚拟性的特点,对人身安全保障的内容自然不在其列,对资产安全的保障也有了新的内容。POS机刷卡消费、信用卡担保业务等等。客户使用这些平台进行交易,银行应根据各种平台的特点承担相应的安全保障义务。
(
一)涉自助银行案件中银行承担安保义务的界限
1
自助交易最大特点是无人交易、人机交易,相应的权利义务也应当围绕这一特性做出调整。一方面隔离式自助银行的安保配备显然低于营业大厅,如它无须配备安保人员;另一方面客户自身的安保注意意识应当有所提高。具体来说,自助银行应当具备的安保内容是:①提供必要的警示。如不少
、银行对自助设备内客户的人身安全承担何种保障义务ATM机具有的“进门请上锁”等安保语音提示,机器醒目位置粘贴的提示。②配备隔离窗或防护门。目前不少大型自助银行都设置了防护门,为了给客户提供一个相对封闭安全的交易环境。防护门的设置是银行对客户人身安全已尽必要保障义务重要抗辩理由。对于街头一些简单的查询、取款功能的ATM机,配备防护门不是必要条件,但是对于相对复杂的存取款一体机,由于客户操作中涉及金额可能较大,操作过程也较为复杂,我们认为应当向客户提供相对密闭的空间。③安装监控摄像头。摄像头能够起到及时提供救援、一定程度威慑犯罪分子、帮助受害人搜集证据等作用。摄像头的位置、清晰度等应当符合相关规定。同时,银行应当定期检查、维护,以保障摄像头的正常监控。
2
涉自助银行安全问题的纠纷实践中非常多,且大多为第三人
、第三人侵权造成客户资金损失,银行须履行何种安保义务(一般为犯罪分子)实施侵权行为造成客户资金损失,客户以银行未尽安保义务为由,要求银行承担赔偿责任的案件。在这类纠纷中,原被告双方都是受害者,只是法官必须根据金融交易的操作惯例、社会生活的一般情理和法律的基本原则来识别各方的权利义务,从而找到解决纠纷的平衡点,适当分担所遭受的损失。自助银行作为一种特殊的交易平台,银行在开设这一平台时需要从技术上、性能上、配套设备上和软件上均达到一定的标准,并尽到相应的注意义务。同时,根据自助服务的基本特性,银行在某些方面可以获得责任豁免,而客户需要在操作过程中尽到小心谨慎、自我防护的注意义务。具体而言:
(1)
【例
银行对自助设备内的交易装置负责1】马某在建行所属的ATM机上取款1.2万元后,卡上的现金余额为91334.72元。次日,马某从银行的短信提示上得知其银行卡上的现金被盗。马某立即向县公案局报案,经查监控录像确认系他人在马某取款前,在ATM机插卡处安装盗码器,在ATM机上方安装针孔摄像头,盗去了原告银行卡上的信息及密码。罪犯离开该县后制作了伪卡,于同日在建行其他分行营业部ATM机上分两次转账盗取共计91150元。为此马某以建行未尽安全保障义务为由向法院起诉。2
自助银行内的交易装置是银行柜台服务的延伸交易平台,客户有理由相信它是由银行提供、并负责监控、修理、保障,以完成与柜台业务等同效果的操作平台。
ATM机内被犯罪嫌疑人安装有窃取密码的微型摄像装置,从技术能力上只有银行能够察觉并判断,从过错的角度说,等于是银行向客户提供了带有明显瑕疵并极具危险性的交易设备。客户基于对机器提供者的信赖实施正常操作,没有能力且法律也不会强求其需要识别设备的安全性能。因此,本案中银行没有及时清除自助平台上的窃取装置导致客户遭受损失,在赃款无法追回的情况下,银行应当对客户承担全部责任。
另外,持卡人在非本卡银行的自助服务机上交易,如果该机器被安装了窃取装置导致持卡人密码等信息被窃取造成损失的,由提供自助服务的银行与持卡行承担连带责任。中国工商银行股份有限公司博爱支行与李立象储蓄合同纠纷上诉案中,
3工行作为开户行是与李某有直接合同关系的银行,而肇事的自助服务机却是属于中国邮政储蓄银行,由于银行之间的协议,客户可以在其他协议银行的自助服务设备内进行交易,这不仅方便了持卡者,也使银行业务更为广泛便捷。提供瑕疵设备的银行虽然不是合同相对人,但因其未尽安全保障义务导致客户损失,承担共同侵权的连带责任。
(2)
【例
银行对自助设备内的所有标识负责2】朱某到工行某储蓄所的自动取款机上取款,发现机器出现“故障”,无法取出现金。朱某按照张贴在自动取款机右上角张贴的银行电话取得联系后,按照指示进行操作仍无法取出现金。后朱某发现卡内的50000元存款被他人划走,遂向公安机关报案,经公安机关侦查得知,朱某卡内存款已于当日被犯罪嫌疑人转至犯罪嫌疑人所持的卡内并被取出。后查明,粘贴在取款机右上角电话提示是犯罪分子所为,朱某起诉工行要求其承担未尽安全保障义务的责任。4
自助银行设备的所有标识是银行提供给持卡客户的提示服务,它带有引导性与辅助性,不仅起到了促成交易的作用,还提供给客户操作失败后的解决途径。因此,自助银行内的标识是十分关键的。实践中,犯罪分子利用客户操作机器时出现错误、故障的机会,在自助银行内粘贴虚假的信息提示,为诈骗钱财做准备。上述案件中,银行没有及时发现和制止、清理在
ATM机上粘贴的诈骗“告示”,给予犯罪分子实施诈骗提供了犯罪条件。客户在ATM机确实出现故障时,以机器上所粘贴的提示为指引寻求帮助的行为主观上没有过错。更何况情急之下的操作者及时求助于机内告示,采取补救措施也为人之常情,客户没有理由怀疑自助银行内部告示的真实性。因此,未清除诈骗告示时银行在安全管理上的重大过失,直接导致了客户资金的被骗和流失,银行需要承担全部法律责任。
(3)
【例
银行对造成的“扩大损失”负责3】2008年1月,闪某取款时发现卡内存款只剩72余元,其余一万多元不翼而飞,随即向银行反映并向当地公安机关报案。后经工行协助查明,闪某卡上的款项在江西某自动柜员机上先后六次被取款12800元。公安机关至今未侦破此案。闪某诉之法院。闪某认为《中国工商银行牡丹灵通卡章程》第四条规定“持卡人也可凭卡和密码在指定自动柜员机上取款,每天最多可取5次,累计金额不超过5000元人民币或等值外币”。而2007年11月起新实施的《中国工商银行牡丹灵通卡章程》中删除了该项规定,从而导致储户的交易风险加大,银行应当对客户履行告知义务。5
银行安全保障义务除了进行必要的安全提示、排除瑕疵的设备、提供安全交易环境等之外,还有重要的一点便是采取补救措施、防止损失扩大。本案中银行未经告知便擅自扩大自动柜员机上的取款权限,包括每天的次数和限额,加大了储户的交易风险。因此,尽管本案中难以查明银行在闪某卡内资金被盗的事件中有何设备上、技术上、安全保障上的过错,但对于扩大取款权限而导致的损失扩大,银行需要承担责任。
另外,银行避免损失扩大的义务还包括:如及时受理客户的挂失,积极配合客户查询资金流向、及时调取监控摄像等等。金林昌诉中国农业银行上海市宝山区罗店支行等财产损害赔偿案中,
6银行在储户提供身份证、填写报失申请书后,没有及时为储户办理挂失手续,而是要求原告到外面复印好身份证后才予办理挂失止付手续,其迟延履行义务的行为,致使原告的存款遭受进一步的损失,导致原告最后一笔存款200元被他人窃取。因此说银行没有尽到一个善良管理人应有的注意义务,应当对原告的200元存款的损失承担赔偿责任。
(4)
【例
客户自身应具备一定的防范意识,银行无过错不承担责任4】唐某持建行银行卡在建行兴安县支行营业部柜员机取款时,被犯罪分子合伙用事先准备的卡与原告的银行卡调换。后犯罪分子将原告的银行卡密码修改后,连续两天在建行兴安营业部和北大街等处取款、刷卡消费22次,将唐某卡内钱款全部取走或挥霍。唐某诉至法院,认为被告发行、管理的银行卡和柜员机在卡退出柜员机前密码能被他人随意更改;二十来个小时内被犯罪分子取款多次时,被告没有尽到帐户资金异常变动的监测和通知义务,致使原告存储在卡中的款项被全部盗走,现已无法追回。故请求判令被告赔偿全部损失。7
与传统营业大厅内相比,客户在自助柜员机交易时需要承担更高的注意义务。本案中,唐某因其缺乏防范意识,疏忽大意,被在
ATM机旁伺机作案的犯罪分子分散注意力后,秘密将假银行卡置于ATM机出卡口处,唐某取款后将属于自已的龙卡通原卡留在ATM机上,使得犯罪分子能修改密码并持卡盗取资金。唐某储蓄卡资金的被盗完全是由于其对自已的龙卡通原卡保管不善,因此存在重大过错。对于犯罪分子的不法侵害行为,银行是无法即时发现和控制的,同时,银行卡在ATM机进行操作后,只要未点击退卡程序,卡仍在ATM机内的情况下,任何人点击“继续交易”或“更改密码”程序,ATM机均会根据指令完成工作,这是ATM机的操作原理和常识。因此,唐某要求用龙卡通卡片进行更改密码的技术鉴定无必要进行。唐某的储蓄卡被盗后,未能及时发现并向银行申请挂失,依照双方协议的约定,挂失有效期内被冒用储蓄卡盗取的资金损失,银行不承担赔偿责任。
(
网上银行业务系统主要由银行提供和控制,对于非因客户过失产生的任何安全漏洞或系统问题,客户均不应承担责任
二)涉网上银行案件中银行承担安保义务的界限;客户在对网上银行的使用和操作时而应当负有谨慎保管账号、密码等重要信息的义务。
1
、银行对网银系统的安全性能负责。从成本上看,银行也具有防范风险的技术和能力。根据可预见性理论,网上银行应当能够合理地预见其客户有可能遭受他人侵权或者犯罪行为的损害,而应当采取合理的措施预防该类行为的发生,如及时更新、升级其业务系统。另外,网上银行能够从其创立的危险源中取得丰厚的收益,“从危险中获取经济利益者也经常被视为具有制止危险义务的人”。
2
、客户自己负责客户端的原因造成的损失。在新型犯罪不断聚焦金融新平台的今天,对于客户疏忽大意所造成的严重后果,银行是无能为力的。网上银行中,客户端的原因主要有,如客户过失泄露了自己的账号、密码;客户使用的电脑遭遇黑客、病毒;客户疏忽大意登录钓鱼网站被骗取账号、密码等等。此类风险完全在客户的控制范围之内,因客户过失导致损害发生,银行对此不承担责任。
3
三、涉银行新运营平台安全保障义务案件中的举证责任分配
由于银行新运营平台具有“无人化”或“虚拟性”的特点,因人为或非人为原因导致的损害常常需要更高的技术手段来确定,其民事责任的认定也比人工柜台交易更为困难,审理中经常陷入证据的僵局。在双方证据不足的情形下,举证责任的分配便成为判决的关键。下文将通过典型案例说明该问题。
、银行承担不可抗力导致的资金损失。在网银关系中,客户将其资金存入银行,其资金的风险已经由客户转移给银行。因而在遭受不可归咎于任何人的风险致损时,银行承担损失风险。传统立法所指的战争、自然灾害政治动乱等事件仍然应该纳入不可抗力事件的范围之中,对网上银行来说,更重要的不可抗力事件为黑客或病毒侵袭网络系统、供电系统停电、通讯系统故障等导致的事故。为防止银行利用自身优势地位侵害客户权益,格式合同中有关不可抗力的条文安排应当接受司法审查。
(
在大量有关自助服务的银行卡内金额被窃取的案件中,有相当一部分难以查找出卡内资金被盗的具体原因。客户往往对卡内金额的去向一无所知,而银行也因为自助服务所依赖的“卡与密码”组合而显得无辜。实践中的各个案例对于这种真伪不明的情况所采取的解决方法差别很大。如王晓与中国建设银行股份有限公司南阳分行储蓄存款合同纠纷上诉案,法院认为,被告应对原告的存款被盗承担主要责任。被告应承担
一)涉自助银行案件中的举证责任分配60%的比例赔偿原告的被盗存款损失。原告王某作为密码的保管人、使用人,其无证据证实自己对帐户密码尽到了妥善保管责任,亦应对损失承担40%的责任。8而盛苇伟与中国银行股份有限公司浙江省分行储蓄合同纠纷上诉案中,二审法院认为,ATM存在不能识别银行卡真伪的系统缺陷以及犯罪分子利用该系统缺陷的情形下,银行应当举证证明涉案取款行为发生时银行已经履行了审核银行卡的合同义务,中国银行浙江分行应当对案涉取款行为导致储户银行卡帐户上的全部损失及相应利息损失承担赔偿责任。9
在众多案例的筛选中,我们看了四六开、六四开、五五开等责任分配模式,大多是在真伪不明情形下,法院为平衡双方利益所作的自由裁量。我们认为,在举证责任的分配上,如果对银行的证明责任掌握过宽,会导致本身就占有技术上先天优势的银行更加有恃无恐,使得金融消费者权益难以得到保障,客观上也不利于银行业在自助服务领域系统安全性能的升级和技术水平的提高。但另一方面,如果对银行的证明要求掌握过严,处处要求银行单方面承担责任,也不利于银行卡自助服务的推广,还有可能被人非法利用,产生利用诉讼“诈取钱财”的道德风险。毕竟自助服务是开放式的,银行卡与密码掌握在客户手中,银行不可能监控到客户对卡与密码的使用与交付使用。因此,在此类案件举证责任的把握中,应当根据自助服务的特点、当事人的证据能力以及在交易中所负的安保义务,并结合交易习惯和社会生活的一般情理来综合判断。具体而言,有如下要点:
第一,客户应初步证明其对银行卡及密码的妥善保管。
第二,银行有义务提供由其掌握的相关证据。在卡内金额遗失的案件中,银行在技术上具有举证的优势。因而银行至少应当提供的证据有:系争银行卡的全部交易记录、卡内金额被取走的
第三,有初步证据表明金额遗失是因复制卡造成,银行不能证明取款为原卡的,承担不利后果。人机交易的特殊风险应当由银行承担,银行从中获取利益也应当承担该系统被他人非法利用的风险。复制卡能够得逞,只能说明
第四,善于利用社会生活常理进行判断。银行卡因其保管的私密性和交易的技术性,在证据的取得上有一定的难度。法官应当充分运用现有的相关证据,结合社会生活常理加以判断。
ATM机上的操作有赖于客户手中的银行卡和密码,这两样东西在银行的控制之外,但又是从自助服务系统上取得款项的关键。因而,客户应当举证证明银行卡未遗失和并未交付他人使用,密码未被泄漏。ATM机具体方位及时间、有关摄像监控资料、其他客户要求提供的证据材料等等。ATM机存在不能识别银行卡真伪的系统缺陷以及该系统缺陷被犯罪分子所利用,同时银行没有履行审核、辨别银行卡真伪的合同义务,理应承担客户造成的损失。
(
网上银行业务依赖于信息技术
【例
二)涉网上银行案件中的举证责任分配,自从其产生以来就具有浓厚的技术色彩。技术色彩所造成的未可知性成为解决网上银行安全问题中最让人头疼的环节。一个有秩序的社会不仅要有合理的利益分配制度,也应有合理的风险分配制度。网上银行纠纷中的举证责任分配实际上起着风险分配的效果。5】武某网上银行开通后不久,有人登录了武某的网上银行先后从其帐户中转走存款人民币14万元。武某以违约损害赔偿之诉要求建行上海分行返还已被划走之存款。法院认为,当事人对其主张有责任提供证据加以证明。原告称其存款被盗,系由被告的过错所致。首先,原告并未举证证明被告网银系统存在缺陷;其次,经司法鉴定也未确定被告网银系统存在缺陷;第三,原告的存款被转帐划走并非由被告的网银系统存在过错所致。因此,原告的诉请理由,法院难以支持。 10
在涉网上银行的案件中,法院判决网上银行是否承担责任的关键
在系统安全性能已被举证的前提下,其他关于密码使用、信息保护的证明责任便不再需要由银行提供。例
另外,网上银行在与客户的网上银行服务协议中
,就在于原告能否证明网上银行方存在过错。依据我国现行的民事诉讼法“谁主张,谁举证”的举证规则,对于银行是否具有过错,原告应当承担举证责任。然而,原告作为网上银行业务系统之外的非专业人员,掌握信息不对称,显然无法掌握网上银行的业务系统信息和安全性指标来证明网上银行存在安全隐患。尽管相关法规中如《电子银行业务管理办法》第八十九条明确规定“金融机构在提供电子银行服务时,因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的,金融机构应当承担相应责任”,但是由于举证规则的限制,用户往往会因举证不能导致败诉。因此,在对网上银行系统是否存在安全隐患的证明上,必须适用举证责任倒置规则,由网上银行方举证自己的系统和数据不存在安全问题,否则即应当承担责任。例5中原告的确无法证明其存款被转帐划走是由于建行上海分行的过错或建行的网银系统存在缺陷所致;但是建行上海分行已经申请对建行的网银系统进行司法鉴定,而司法鉴定的结论明确存款被转帐划走是在登录了武某申请的网上银行并输入了与其预先设置的用户名、密码、数字证书及交易密码一致的信息后才完成交易的,网银系统的安全性能本身不存在问题。这说明,虽然该案没有将举证责任分配到银行,但实际上银行已经提供证据证明系统的安全性,完成了举证。5中对于武某提出登录网上银行进行转帐操作并不是本人所为的论断,由于网上银行的转帐操作只要求所输入的信息与武某设置的一致,因此无论何人操作只要输入与武某设置的登录用户名、密码、数字证书、交易密码一致就应当认定是武某所为,所以在网银系统安全性能不存在问题的情况下,武某要求建行上海分行赔偿存款损失等诉讼请求无事实和法律依据,难以得到支持。,往往有网上银行的免责条款。例如,网上银行使用协议书上有关于“所有使用上述密码进行的操作均视为用户本人所为”的规定,就未区分他人利用银行系统的漏洞盗取客户密码所为操作的情形。此类免责条款实践中也广泛存在。从法律上讲,此类免责格式条款的效力值得商榷。银行的免责声明其前提应该是网上银行的系统是安全可靠的。如果仅仅以其网上银行的开办经过了银监会的批准为证据证明其系统的安全性的话,恐怕是难以成立的。银行作为提供金融服务的机构,有义务提供一个安全有效的系统平台来保障交易的安全性,并应在可控制的范围内承担相应的责任。
