第十一节 网上银行
案例12:网上银行储户信息被盗,银行未尽安全保障义务应担责
摘要:银行网站被不法分子使用“木马”程序入侵,致客户信息被盗及存款被冒领,银行未尽储户资金安全的保障义务,应承担相应的民事责任。
2002年9月,福州市民姚某到中国建设银行福州广安支行办理人民币活期储蓄业务,建行广安支行向姚某出具了通存通兑的活期储蓄存折和龙卡储蓄卡各一张。至2006年6月11日,原告的账户存款余额为6.7万元。
2006年6月底,姚某发现其账户存款金额仅剩400元。他到建行广安支行查询后发现,其存款于2006年6月12日在建行福州市连江支行及其凤城分理处被他人取走。
经公安机关调查,犯罪嫌疑人是使用“木马”程序入侵互联网的网站服务器,窃取了包括姚某在内的一些网上银行客户的身份证号码、银行账号及密码,利用这些信息伪造了受害者身份证和一张磁条已被损坏的龙卡储蓄卡,并持假的身份证和龙卡储蓄卡到建行连江支行支取姚某的存款。
针对已损坏的龙卡储蓄卡,建行连江支行的工作人员在犯罪嫌疑人填写了请求换卡的“特殊业务申请书”后,为其换了一张真卡。犯罪嫌疑人持卡支取了姚某活期储蓄账户上的存款6.7万元。姚某遂向法院提起诉讼,要求银行赔偿其存款被冒领的损失。
◎裁判要旨
福州市中级法院终审判决认为,建行广安支行未尽保障储户资金安全、银行结算账户信息保密以及及时兑付存款等相关义务,造成姚某储蓄存款被他人冒取的后果,应当根据储蓄合同的约定继续履行相应的支付义务,判决建行广安支行向姚某偿付人民币6.7万元及相应的利息。[51]
◎法条链接
1.《电子银行业务管理办法》第四十一条 金融机构应当建立相应的机制,搜索、监测和处理假冒或有意设置类似于金融机构的电话、网站、短信号码等信息骗取客户资料的活动。
金融机构发现假冒电子银行的非法活动后,应向公安部门报案,并向中国银监会报告。同时,金融机构应及时在其网站、电话语音提示系统或短信平台上,提醒客户注意。
第四十三条 金融机构应建立电子银行入侵侦测与入侵保护系统,实时监控电子银行的运行情况,定期对电子银行系统进行漏洞扫描,并建立对非法入侵的甄别、处理和报告机制。
2.中国银行业监督管理委员会《关于做好网上银行风险管理和服务的通知》
加强用户身份验证管理。各商业银行最迟于2007年12月31日前应对所有网上银行高风险账户操作统一使用双重身份认证。双重身份认证由基本身份认证和附加身份认证组成。基本身份认证是指网上银行用户知晓并使用,预先注册在银行的本人用户名及口令/密码;附加身份认证是指网上银行用户持有、保管并使用可实现其他身份认证方式的信息(物理介质或电子设备等)。附加身份认证信息应不易被复制、修改和破解。
高风险账户操作应至少包括:向非本人(不含与本行签订业务合作等法律协议和客户预先约定的指定账户,如:代收费、第三方支付、贷款还款账户等)账户转移资金单笔超过1000元或日累计超过5000元。
3.《电子支付指引(第一号)》第二十五条 银行应根据审慎性原则并针对不同客户,在电子支付类型、单笔支付金额和每日累计支付金额等方面做出合理限制。
银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币。
银行为客户办理电子支付业务,单位客户从其银行结算账户支付给个人银行结算账户的款项,其单笔金额不得超过5万元人民币,但银行与客户通过协议约定,能够事先提供有效付款依据的除外。
银行应在客户的信用卡授信额度内,设定用于网上支付交易的额度供客户选择,但该额度不得超过信用卡的预借现金额度。
4.中国人民银行、中国银行业监督管理委员会、公安部、国家工商行政管理局《关于加强银行卡安全管理预防和打击银行卡犯罪的通知》
严格自助转账业务的处理。未经持卡人主动申请并书面确认,发卡机构不得为持卡人开通电话转账、ATM转账、网上银行转账等自助转账类业务;为持卡人开通自助转账业务时,要向持卡人充分提示开通有关业务的风险,并要对持卡人进行更为严格的真实身份核查,确保实名开户;未履行职责,产生资金风险的,要依法承担责任。
◎重要提示
目前导致网上银行业务产生民事纠纷的类型主要有:客户资金被窃取;交易资料被删除或修改;电子资金被延迟或错误拨划;因故无法为客户提供网银服务等。上述类型主要由以下原因引起:一、银行业务网络遭黑客攻击;二、操作系统自身不完善;三、未经储户同意擅自开通网银业务的;四、因客户原因密码泄露;五、客户自身操作失误。在提起的诉讼类型中,有侵权纠纷、损害赔偿纠纷、储蓄存款合同纠纷、违约赔偿纠纷及网络服务合同纠纷等。
在上述第一、第二和第三种原因下,法院一般认定银行具有过错,承担民事责任。其理由有认为银行未尽安全保障义务的,也有以银行管理不善为由判其承担责任的。林某诉某银行储蓄存款合同纠纷案:2013年10月14日,原告林某在被告银行某支行开户办理银行卡一张,并预留尾号为11的手机号,同时注册了网上、手机和电话银行功能。次日,林某便将其注销,另开户办理一张银行卡,并预留尾号为63的手机号,也注册开通了相同功能。当时其转款并扣除按揭房贷后,账户余额为32019元。次年3月,其发现账户余额仅为9元,遂向公安机关报案。而在2014年2月中旬,罪犯王某从网上获取了包括原告的姓名、身份证号码、银行卡号、手机号在内的个人信息资料,后通过使用特别定制的软件对大量数据进行对比碰撞,非法获取了原告在被告处开立的账户的网上银行密码等信息。之后王某先冒用原告的名义开通银行“e支付”业务,短信提示是新开户账户,但绑定了原告已注销账户预留尾号为11的手机号。其后,王某通过网上操作,将该账户绑定的手机号进行了三次更改,并通过更改后的手机以接收动态密码的形式共转账11笔,金额共计32010元。林某以银行未尽到储蓄资金安全保障义务为由向法院提起民事赔偿诉讼。法院认为:银行作为金融机构,在开通其“e支付”业务的安全交易技术上存在不完善之处,且未能告知林某,以使林某个人能够针对该情况采取一定的防范手段,故被告银行并未尽到严格的安全保障注意义务。而林某将其个人信息存储于网络,致使王某从网络获取了包括其姓名、身份证号码、银行卡号、手机号等信息在内的个人资料。林某在履行储蓄存款合同时,也未尽到妥善保管好个人信息的一般注意义务,双方均有一定责任,并酌定银行、林某分别担责70%、30%。[52]
第四和第五种原因造成的客户损失,银行一般不承担责任。但密码由客户泄露的举证责任一般分配给银行。法院一般认为,银行较之储户来讲,有着更大的信息优势和资源优势,从而也更有能力和条件来完善操作程序和更新安全设施,进而保证储户的财产安全。而相对于银行来讲,储户处于明显的弱势地位,让其举证银行存在过错,显然有违公平原则。依据《最高人民法院〈关于天津市邮政局与焦长年存单纠纷一案中如何分配举证责任问题的函复〉的通知》的精神,存款人只需证明自己的存折或银行卡没有丢失即已完成举证责任。
因网银不能提供或不能及时提供网络服务引起的网络服务合同纠纷。造成网银不能提供服务的原因大致有计算机病毒、电磁波辐射泄露、网络拥塞、网络崩溃、断电等。尽管各家网上银行业务客户服务协议书中几乎无一例外地写有免责条款:“如遇到自然灾害等不可抗力事件,或其他不可预见的非常情况发生,从而导致影响客户办理网上银行有关业务时,银行方不承担任何责任。”而客户服务协议书属于格式合同,该免责条款是否有效,上述哪些事由属于不可抗力可予免责,哪些属于银行自身技术问题而不能免责,尚需在司法审判实践中予以明确。
◎风险规避
一、加强对网上交易数据的保存和管理
由于原始交易数据由银行而非客户掌握,因此,发生纠纷后,银行极有可能被法院分配更多的或主要的举证责任。如因银行管理上的原因而举证不能,极有可能承担不利的法律后果。通过举证责任的分配而使当事人的诉讼地位实质上平等是司法正义的诉求,这一诉求在司法判例和司法解释中已有很多的体现。如最高人民法院《关于审理存单纠纷案件的若干规定》中对存单持有人与金融机构之间举证责任的分配。
二、采取银行风险安全提示
未尽风险提示义务,因该风险造成客户损失的,银行可能被认定有过错。开办网上银行的机构应向客户提供书面或电子风险预警及安全提示,并依据网上犯罪的特点及时变更及增加提示内容并向客户发布。如密码安全、交易记录的记载、银行网址的核实等。
三、严格遵守支付限额的管理规定
严格遵守支付限额的管理规定。银行如违反支付限额的有关规定,超过限额支付,造成储户的损失扩大,应就扩大的部分承担赔偿责任。刘某诉中国建设银行股份有限公司佛山永安支行财产损害赔偿纠纷案:法院审理认为,依照中国人民银行颁布的《电子支付指引(第一号)》的规定,银行通过互联网为个人客户办理电子支付业务,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币。而被告在办理原告账户电子支付业务时,未执行上述规定,致使他人能够一次性转账33200元,造成原告损失扩大,故被告应对超出支付限额部分承担一定的赔偿责任。法院遂根据被告的过错程度判令被告承担超出支付限额部分的40%。[53]
四、诉讼对策
客户只起诉开户银行的,如接受转款的银行违反支付限额规定,开户银行应申请追加其为第三人参与诉讼;
客户不起诉,而是通过其他方式向开户银行主张权利的,如被盗资金尚在接受转款的银行,开户银行应以自己的名义直接向接受转款的银行主张返还,或通过刑事追赃程序予以追回;
不法分子已经从其他银行支取款项的,因接受转款的银行使用虚假身份资料为其开立账户,客观上为不法分子盗取客户存款提供了方便,客户存款损失与银行的开户审查过错之间具有因果关系,应承担过错赔偿责任;
客户发现存款被盗后未及时通知银行主张权利或报警的,银行对客户未及时采取措施而致损失扩大的部分不承担责任。