论银行网络安全的民事责任_银行论文

论银行网络安全的民事责任_银行论文

对银行网络安全民事责任的探讨,本文主要内容关键词为:民事责任论文,网络安全论文,银行论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。

网络银行是随着人类社会进入信息网络时代而产生的金融创新。与网络银行方便快捷的服务业务相伴而来的是网络银行的安全问题。在一项调查中发现:1998年在全球50家最大规模的银行中一半的电脑网络曾经受过一次以上电脑黑客的侵袭。电脑黑客侵袭银行电脑网络的目的主要有以下三种:第一,勒索银行的巨额赎金;第二,转移客户资金;第三,破坏电脑网络。① 黑客的非法入侵是网络银行安全问题的主要表现之一,此外安全问题还表现为网络系统本身的安全系数不够、内部系统作案以及网络系统本身不稳定等。

网络银行安全问题所带来的银行与客户间权利义务的变化,以及损害发生时法律关系的认定、黑客侵害的是谁的利益、责任的分担、以及举证责任法律问题都对以传统银行业务为基础的现行法律制度提出了挑战。法理上认识的分歧、法律的滞后性在立法和司法上已突显尴尬并造成一定的不良后果。本文就银行网络安全问题进行探讨,并提出自己的立法建议。

一、制度层面的分析

(一)从法理上分析

对银行及客户间法律关系认识上的分歧是立法和司法中存在问题的原因之一。

在黑客侵袭银行电脑网络,转移客户资金的情形中,涉及两个不同的法律关系:一是银行与黑客之间的侵权的法律关系;二是银行与客户之间的法律关系。

从银行与客户之间的关系来分析,英国法官在判决中说,存入银行的钱已成为银行的钱。英国学理和判例认为银行与客户之间的关系不是信托项下的关系。因为如果是信托项下的关系,银行将是客户资金的受托人,他必须把利润交给客户。寄存关系亦不能说明客户把金钱寄存在客户的贷记余额账户上的法律性质。第一,金钱不适宜作为寄存物。第二,如果把一笔硬币放在袋中交给银行保管,银行应该保管特定的硬币。如果银行作为他自己的钱使用,寄存者有权要求他交出利润。但是这样的安排不能起到存放资金应起到的主要作用。银行与客户之间的合同具有这样的特征,即银行有权为自己的目的使用客户存入的钱。他向客户承担的义务是,根据客户要求或者在规定的时间带利息或不带利息返还与存入的款项相等的金额。②

既然存入银行的钱已成为银行的钱,那么窃贼从银行偷走一袋硬币,即使这袋硬币是某人刚存入银行的,那也不能认为是该存款人的钱被偷了,而应认为是银行的钱被偷了,受损失的是银行而不是存款人一方。

在传统银行业务中,这个问题很容易确定,因为银行对存款人的贷记余额账户与实物钱币是要账款分别记录保存的,窃贼进入银行偷现金,一般不会去修改存款人贷记余额账目上的数字。但在银行使用电子网络技术的创新业务条件下情况有所不同。存款人的钱在银行表现为网络上的数字符号,而黑客通过网络盗取金钱的方式是通过进入银行网络系统修改其账上的数据,将存款人账目上的金钱转移走。不再是以盗取现金的形式,而是直接从银行账上将钱划走。因而其后果必然是存款人账户上显示款项减少,似乎是存款人受到了损失。因而有人主张,黑客入侵直接侵害了客户的利益,应由受损害的客户向黑客主张权利,提起侵权之诉。笔者认为,受损失的应是银行而非客户。

由于在理论上的模糊认识容易使人认为黑客窃走的钱是客户的钱,而非银行的钱,而将黑客与存款人置于同一法律关系中,这在立法和司法实践中会导致将银行置之事外的后果,即在能确定黑客时,由黑客直接向存款人承担赔偿责任,否则这个损失就被认定为客户的损失,而与银行无关。

综上所述,黑客入侵是银行网络安全问题的一种情形。在此情形下,从法理的角度分析客户不应该对这种损失负责,这实质上也不是客户的损失。从应然的角度得出的此结论,其实然状态却并非如此。银行网络安全除黑客入侵情形外,还有其他几种情形,在损失发生时客户难以区分是哪种情形,在立法和司法实践中客户的利益往往得不到有效保护。

总之,在法理上的模糊认识已从根本上颠倒了银行与客户之间的利益关系,是对客户利益的最根本的损害,应及时澄清。只有这样,才能在立法和司法中切实贯彻保护客户合法利益的银行法立法宗旨。

(二)从立法角度分析

现行法律显现滞后性。银行网络安全所涉及的黑客入侵及其他几种情形在现实中的复杂性,决定了对这几种情形应统一进行规定,而不是区别对待,不论银行有过错还是无过错。

第一,银行无过错情形的出现及客户取得证据的障碍使得过错责任原则脱离现实。

我国《商业银行法》第6 条规定:商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。由于没有明文规定过错推定原则或无过错责任,因而,在现行法律中,银行承担侵权责任的归责原则是过错责任原则。

在传统的银行业务中,由于当事人行为联系必须现实接触的局限性,使得当事人的接触一般只是银行与客户双方。因而在相应的传统的法律关系中,银行与客户之间的过错认定就相当简单明了,一般是“非此即彼”的模式。抛开不可抗力因素,在交易中发生损害后果时,一般逻辑的推理就是要么是银行有过错,要么是客户有过错,至少是有双方中某一方的过错造成了损害结果的发生。此外,传统的银行现实接触的业务方式及纸张书面记载交易者意思和交易内容的方式,即银行与客户双方在获取相关证据时处于平等的地位,而且证据的占有和取得都比较容易。因此在传统的银行法律关系中,适用过错责任原则来处理民事赔偿问题是有积极作用的,起到了对客户合法利益的保护以及对银行合法利益保护的作用。

在网络银行业务中,由于计算机网络在业务中的应用,使得交易具有了无纸化、虚拟化、开放性的特征。黑客的非法入侵等各类安全因素对银行造成损失已成为网络银行的严重问题。因而新出现的问题是:交易中有损害后果出现时,可能既不是银行有过错也不是客户有过错,即交易双方都没过错,那么损失如何分担?按现行法律所采用的过错责任原则,银行有过错才承担民事赔偿责任,所以在网络银行没有过错情形下不承担赔偿责任,相应地必然的结果是由同样无过错的客户承担全部的损失,这种损失承担的后果严重背离了公平原则。

从另一个角度看,在网络银行业务无纸化、虚拟化、开放性条件下,客户对证据的占有和获取都与传统银行业务条件下发生了根本改变,客户几乎没有可能掌握相关证据,而这些证据都在银行一方控制。并且由于电子信息易被删除、修改而不着痕迹,由银行单方占有控制并提交的证据如果要得到客户的认可和法院的采信也有一些值得考虑的问题。由此,即使在客观事实上银行存在过错的情况下,客户因客观条件所限也无法举证将该客观事实上的过错证明为法律层面的过错。简而言之,即使银行有过错,客户也无法举证证明银行有过错,银行因而不承担过错责任,银行的过错要由客户来承担损失的后果。

因而从立法上看,当前的银行法律制度不能对网络银行及客户的关系进行有效的法律调整,其民事责任的归责原则和举证责任已明显滞后,已不能对客户的合法利益进行有效的保护,在严重违背了公平原则的同时,也从根本上动摇了商业银行信用的基础。从长远利益看,银行在信用上的损害是后果更为严重和根本性的,不利于网络银行的发展。对银行和客户双方的利益来说是两败俱伤。

第二,客户借助于行政责任和刑事责任法律制度取得证据,但其作用范围非常有限。

在行政责任方面,《网上银行业务管理暂行办法》规定了银行的责任。因而,对银行的行政处罚决定书,客户可在民事诉讼中作为银行有过错的证据来使用。由于银行的监管部门并不是以每一位客户损失事故作为其调查启动的依据,所以客户提起民事诉讼与银行行政处罚决定书二者所涉银行过错恰好是同一事实行为的情况不多见,因而受损失的客户从这一途径获得民事诉讼证据的情况只是极个别现象。

从刑事责任角度看,客户以刑事判决书作为民事诉讼证据,应是获取证据的一种途径。但同样是只有个别情形下,存款人才能获得这类证据。例如,存款人发现银行卡上的钱被盗后,向公安机关报案。公安机关是否立案有数额上的标准。

依《最高人民检察院公安部关于经济犯罪案件追诉标准的规定》,如果信用卡被盗金额在5000元以下,不予追诉,更谈不上刑事判决书的问题了。而且,由于网络犯罪的高科技性,即使公安机关立案侦查的案件也不是能全部侦破的。再者,刑事责任适用无罪推定的原则,对责任认定要比民事责任严格得多,即使构成民事上的过错,也不一定构成犯罪。因而,以刑事判决书作为受损失客户在民事诉讼中的证据,虽然不失为一种取证途径,但实践中意义不大。

在网络银行的民事责任法律规范出现问题时,相关的刑事责任、行政责任规定都不能有效地弥补民事责任规定的不足,在证据的提供方面作用甚微。要解决民事责任的问题,只有对相关法律进行修改和完善。

(三)从司法实践角度分析

由于法理上认识的分歧,人们往往并不认为黑客盗取的是银行的钱,而认为客户是直接受害者。这在司法实践中会使客户一方当事人处于不利地位。

从合同关系看,银行往往要通过协议中的免责条款达到事前免除银行责任的目的。某银行在《网上银行服务协议》中对电子(客户)证书和密码作出了服务协议规定:“无论客户实际上是否将电子证书和密码提供给他人使用,均须对该电子证书和密码下完成的一切金融交易负责。如果客户已将电子证书和密码提供给他人使用,客户保证不因银行接收并执行了该他人的交易指令而对银行提起任何赔偿请求。”该格式条款将黑客入侵而给银行造成的损失转嫁给了客户,对客户是极不公平的。

从侵权法角度分析,适用过错责任来规范网络银行法律关系,尽管根据以上分析可以认为,这会严重地损害客户的合法利益。但在司法实践中,法官们还不得不依据这种严重滞后性的规则来审理相关案件。法官不可直接适用公平原则、诚实信用原则等民法的基本原则来判案,尽管我国最高人民法院以公报形式赞许直接引用民法基本原则条款单独作为各案裁判依据的实践,但学界认为这种做法值得商榷。③ 现行法律中的过错责任和举证责任是问题的关键,在法无明文规定的情况下,不能采用过错推定责任或无过错责任,所以法官在审判该类案件时无法避开“过错责任”的规定。客户作为原告在侵权之诉中如果不能证明银行有过错,且是这种过错造成了自己的损失,客户往往是败诉。

下面从具体案例看过错责任在适用于网络安全纠纷时的情形:

2003年8月4日梁某用自己的银行卡在某储蓄所存款后,发现一笔异常交易:当年7月20日,该卡在广州“异地ATM取款2000元,存取手续费10元”。梁某当即向银行人员声明:他2003年根本没去过广州,该卡也从未离开过自己,更没有将密码告诉过任何人;他认为上述交易中的2000元钱是被人在广州盗取了,银行回复称:经调查,该交易密码正确,属正常交易。2003年11月,梁某向北京市西城区法院起诉,要求该行赔偿2010元。一审原告梁某败诉。一审判决书说,梁某诉称未在广州使用涉案银行卡取款,也未告知他人该卡密码,但因未能提供相应证据,“故法院无法采信”。梁某不服一审判决,提起了上诉。2004年8月, 北京市第一中级法院驳回了梁的上诉,维持原判。“举证不能”成为一个法律怪圈。梁某要求银行赔偿损失,就暗含“银行有过错,且是这种过错造成了自己的损失”的判断。那么他也就有责任证明银行有过错。④ 在涉及网络银行交易安全的民事赔偿案件中,原告不能证明自己所主张的银行监守自盗或其电脑交易系统不安全,属于“证据不足”。这样的法律已经严重脱离了现实。事实上作为普通客户的原告没有任何途径得知网络银行在业务中使用的电脑系统是否达到安全要求,或者其内部职员是否可能获悉客户密码,这一切证据材料都掌握在银行一方,客户明显处于劣势。

司法实践中,在网络银行交易安全责任问题上,客户的合法权益受到侵害后往往很难得到补偿,网络银行安全风险由客户一方全部承担。银行虽然从网络业务中获得了利益,并且风险是由银行所进行的业务带来的,但银行却对此风险造成的损失不承担任何责任,甚至在有的情形下,由于黑客作案难以被发觉和侦破,银行的损失往往被转嫁给客户。更重要的是银行“合法地”依法院判决“不承担赔偿责任”。在法官不得不依据传统银行法律的过错责任来审理新出现的网络银行交易安全案件时,肯定是“削足适履”了,“痛”的是受到损害而得不到救济的客户。由于在法理上的认识分歧及法律滞后,不但没有达到保护存款人客户的目的,反而严重损害存款人的利益,因而应及时予以修改相关法律规定。

以上是对网络银行安全的法律制度的分析,并得出了应及时修改该法律规范的结论,下面笔者将根据网络银行的特殊性提出修改的立法建议。

二、立法建议

首先看一下其他国家或地区的做法:

美国的网络银行——富国银行公开明确向客户保证凡因非客户原因而造成的损失由银行负责。花旗银行网上协议中规定,如果银行系统未能防范计算机犯罪,或银行人为及系统失误造成的客户资金错误划拨,或银行未能按指令操作造成客户损失等,均由银行向客户支付直接损失、利息和由延期支付造成的惩罚性利息。⑤

我国香港地区制定的《虚拟银行的认可》中明确规定:金融管理专员认为除非客户以欺诈手段行事或严重疏忽(如未能妥善保管其密码),否则客户不应就通过其账户进行的未授权交易而引致的直接损失负责。美国《统一商法典》规定,如果客户能证明:未经授权的指令经过安全认证程序是其不可控制的原因所致,则客户不对该支付令造成的损失负责。⑥

对我国网络银行侵权责任的设计,学者们有不同的观点:

第一种观点认为:应适用过错推定原则。

第二种观点认为:应采用过错责任和无过错责任二元归责原则,分别不同情形适用不同的归责原则。⑦ 采用过错责任的情形有:(1)因网络银行硬件系统出现问题对客户造成损失;(2)因网络银行的技术软件原因对客户造成损失;(3)网络银行内部业务人员的过错;(4)由于安全认证系统出现故障而给客户造成的损失。

该观点认为采用无过错责任的情形是:在“黑客”侵袭网络银行的情况下,虽然银行无过错,但根据民法有关无过错责任的归责原则,银行应对客户负责,以充分保护作为相对弱小一方当事人的客户的利益。

第三种观点:采用无过错责任原则。

笔者赞同第三种观点,即采用无过错责任原则。笔者认为第一种采用过错推定原则的观点不妥。因为过错推定仍是以过错为基础的,而网络银行业务中存在黑客入侵而银行无过错的情形,过错推定虽然减轻了客户作为原告的举证困难,但是忽略了一个更根本的问题——在银行根本就没有过错情形下的损失承担问题。

第二种多元的归责原则,笔者也不赞同。这种制度的设计从逻辑上看是清晰而完美的,但是,缺乏可操作性,只有客户的理论上的意义。这种以造成损害的原因作为责任适用分类的依据,在法律适用中有无法逾越的障碍:损害的原因由谁来证明?在该制度中采用过错责任有四种情形,在诉讼中客户作为原告起诉,银行仍然要证明银行存在硬件系统或技术软件等问题,举证责任仍在原告。而客户作为原告要以“黑客”侵袭网络银行为由主张由银行承担无过错责任,原告还必须要证明其损失是因为有“黑客”入侵造成的而不是其他原因造成的,才能归为“无过错责任”这一类。因而这种以原因划分责任的多元化制度设计在具体适用时仍旧是过错责任的翻版。从原因来分析归纳银行有无过错的各种情形是可行的,但以原因的不同来作为承担过错责任和无过错责任的区分依据则不妥。因为无过错责任并非指一定没有过错。⑧

采用无过错责任的归责原则来代替目前实行的过错责任是正确的选择。

既然探讨银行与客户间网络安全风险分担的归责原则,就应该从风险谈起,正是由于网络银行新的风险带来的改变使得相关的法律制度也要改变。网络银行除了面临传统银行通常所遇到的风险外,还会遇到一些独特的风险,即使是传统银行业务中的风险类别,在网络银行条件下也会有其自身的特点。网络银行所谓独特的风险主要是技术带来了新的风险形式。网络银行是建立在计算机、通信和信息技术等高科技产品基础上的,这些高新技术是一把“双刃剑”,在带给人们方便、快捷的同时,网络的安全性也受到严峻的考验。而且计算机、信息技术等都是日新月异地发展着,无论是硬件还是软件,都不可能是完善无缺的,都存在一定的不安全因素,在实际工作中,又存在各种管理漏洞,给黑客以可乘之机。⑨ 网络银行系统是一个开放式的庞大系统,攻击网络银行具有“成本低、收益高”的特点,共享系统中频繁的数据流动,也给作案者窃取和篡改数据提供了条件。1995年8月21日, 设防严密的美国某银行网络系统被黑客入侵,损失高达1160万美元。根据美国官方统计,全美银行每年在网络上被盗窃的资金达6000万美元。美国安全第一网上银行开始营业后的前6个月,遭到网络黑客1.5万次的攻击。网上银行不仅容易遭到攻击,而且难以及时发现。据美国联邦调查局推测,约有85%—95%的计算机网络入侵事件没有被发现。网络银行在技术层面上面临许多威胁,如身份鉴定问题。计算机对身份进行鉴定主要是对客户的账号和口令进行归类分析,因此,账号和口令如果被破解则整个系统的保密性将不复存在。事实上,对于IT界来讲,没有解不开的账号和口令,只是解开的时间有长短。⑩ 网络银行的管理风险也是涉及安全的重大风险,如银行内部职工的欺诈行为和破坏行为,此外,网络银行还有来源于系统可靠性、稳定性和安全性的重大缺陷而导致损失的操作风险等许多网络银行独特的风险,有时风险还来自于客户的错误操作。

综上可知,网络银行的独特风险与传统银行相比显现以下特点:(1)风险是网络银行本身所采用的高新技术之缺陷的结果,难以杜绝。虽然能在一定程度上防范,但因为技术迅速发展和更新,在当时是最安全的技术,瞬间就可能被更新的技术所淘汰。网络银行的风险尤其是黑客的入侵更是网络银行所难以控制的风险,因此很多情况下,很难归结为网络银行对风险带来的损失有过错。(2)网络银行各类风险在银行业务中同时存在,因此当客户受到损失的“事故”发生时,很难分辨是哪一种风险导致损失的发生,是黑客入侵还是银行职员内部欺诈行为还是系统稳定性有重大缺陷,从事实上也就不易分辨银行过错,作为客户就更难以证明银行是否在该“事故”中有过错。(3)网络银行虽然比传统银行产生更多的风险, 但它是社会发展或人民生活所需要的,是合法的,没有可受非难性,因而在很大程度上无过错可言。

网络银行风险的以上特点决定了损害负担的原则。笔者认为网络银行风险事故以上特点符合无过错责任归责原则中关于事故的特点即损害危险源的复杂化和多样化,同时,网络银行问题上采用过错原则和过错推定原则都不能完全解决问题。

对网络银行风险问题采用无过错责任制度,是因为无过错责任原则的基本思想在于对不幸损失的合理负担。一个健全的社会,不仅要有公平的利益分配制度,而且要有公平的损失分配制度。德国学者埃塞尔特别强调的所谓“分配正义”理论,认为事故所生的损害的归责原则不应同于行为所生的损害的归责原则,其决定不是根据“交换公平”的原则,而是根据“分配公平”原则。(11)

此外实行无过错责任由银行承担补偿责任并不会使银行的信誉受损。因为与一般侵权责任的惩罚性不同,无过错责任作为特殊侵权责任,其行为本身没有可受非难性,即道义上的应受谴责性。无过错责任有着很强的道德规范色彩,将其适用于网络银行风险的法律问题,与银行在经营中应以信誉作为基本原则的追求相一致。

采用无过错责任的归责原则取代过错责任原则,会解决现行法律规范滞后的问题,使网络银行与客户的法律关系得以有效的调整,实现保护存款人客户的合法权利,维护网络银行声誉的立法目的。

注释:

① 韩良主编:《银行法前沿问题案例研究》,中国经济出版社2001年版,第250页。

② 沈达明、郑淑君:《英法银行业务法》,中信出版社1992年版,第1页。

③ 龙卫球:《民法总论》,中国法制出版社2002年版,第64页。

④ 王小飞、谷福生、林淮、吴帆:“银行卡安全责任亟待立法调整”,《法制文萃报》2005年3月3日。

⑤ 张立先、李军红:“网上银行业务纠纷中的损害赔偿责任”,《济南金融》2004年第3期。

⑥ 李金泽:“网上银行业务的有关法律问题探讨”,《金融论坛》2001年第1期。

⑦ 刘军:《商业银行法律问题难点释疑》,中国金融出版社2001年版,第1页。

⑧ 王利明:《民法典·侵权责任法研究》,人民法院出版社2001年版,第265页。

⑨ 齐爱民等:《网络金融法原理与国际规则》,武汉大学出版社2004年版,第92页。

⑩ 齐爱民等,同注⑨,第100页。

(11) 江平:《民法学》,中国政法大学出版社2000年版,第748页。

标签:;  ;  ;  ;  ;  ;  ;  ;  

论银行网络安全的民事责任_银行论文
下载Doc文档

猜你喜欢