对网上银行而言,自然也要遵循该《办法》的规定,披露上述内容。同时,由于网上银行自身固有的一些特点,其信息披露的内容亦应当相应地作出一些强调。比如在操作风险方面,由于TCP/IP协议的开放性降低了它的安全性,使得依托于网络技术的网上银行系统的操作风险大大增加。例如,用户无意中点击电子邮件内的超链接,或浏览已受感染而附有突现式广告的网站,其电脑便可能被植入特洛伊程序。当用户进入某些网站时,这个程序便会被启动,从而记录用户在电脑键盘上输入的资料,借此可盗取用户的用户名称及密码等敏感个人资料。因此监管当局有必要要求网上银行在其登陆页面披露这一风险,提示银行客户切勿使用电邮内的超链接、可疑的突现式视窗或网上搜寻器登入网上银行账户,尤其要尽量避免在公共计算机上登陆网上银行系统。此外,用户在进入网上银行系统后,应当在网页显著位置提示用户“使用网上银行服务后,请点击‘登出’”。同时要求网上银行在客户停止对页面操作一定时问后,自动为客户登出。
同时,网上银行的发展也为信息披露提供了平台和载体。监管机构可以要求银行在其指定或许可的网站上进行信息披露,从而令网上披露信息的及时、便捷、低成本的优势得以发挥。
(四)网上银行的禁止行为
网上银行的运作和管理,属于其自主经营权的范畴,应当得到尊重。但是,对于某些可能构成安全漏洞、损害消费者权益和社会公共利益的行为,应当以立法的形式明确禁止。实际上,某些不安全行为是正规网上银行经营中不会施行的,但不法分子往往利用消费者不明所以,从而轻易取得重要信息而对消费者和网上银行的利益造成威胁。比如2003年6月初,有人盗用中国工行网上银行网管员信箱,给网上银行客户发送电子邮件,索要网上银行注册客户的用户名(登陆卡号)和密码。幸好该行及时发现,在自己网站的显著位置发布“重要提示”,才未造成损失。[6]而正规的网上银行,不会以电子邮件的形式向客户索要信息,而是要求客户在其正式网站上进行相关操作。然而,这些网上银行内部运作规程和制度,往往不为消费者所知,从而可能使双方都有受损之虞;个别银行对其客户所作的说明,常常也不具有普遍的意义。对于此类行为,如果可以立法加以禁止,再通过普法宣传使之为公众知晓,则可极大的提高网上银行运行的安全性,不给违法分子以可乘之机。
三、网上银行业务纠纷的归责原则和民事责任
网上银行业务的正常开展对系统稳定性的依赖极强,由网络事故和故障所引发之问题的法律责任是银行和客户均十分关注的。现行立法仅《电子银行业务管理办法》第89条规定:“金融机构在提供电子银行服务时,因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的,金融机构应当承担相应责任。”这一规定相对于网上银行运营的复杂性而言显然过于单薄和笼统,需要针对具体情况进行细化和完善。
(一)网上交易的硬件存在的问题所导致的交易错误或交易不能。网上银行业务的开展有赖于计算机等硬件设施的正常运行。这些硬件发生事故可能带来银行与客户的损失。由于银行有义务保障对当事人服务的及时和准确,因此由服务硬件所导致的错误或不能,只要银行不能证明自己无过错,就要承担相应的责任,即对银行实行过错推定责任之归责原则。当然,如果硬件所引发的事故是由于硬件设备本身的质量不合格所致,则银行在对客户承担法律责任后,可向设备提供者、生产者追究法律责任。
(二)软件或具体操作程序问题导致服务上的迟延、不当或不能。由于网上银行业务所需的软件技术的条件如何,直接关系到网上银行服务的质量高低,诸如加密技术、数字签名技术、报文摘要技术、安全认证技术等都是网上银行业务顺利开展的前提。银行的准确、安全的服务承诺,也是对这些技术条件准备的承诺。如果银行的有关技术条件不足,则自然应承担相关的法律责任。但是,由于电子计算机技术的发展日新月异,立法上对网上银行技术条件的要求无法用明确的量化指标来明确,银行在此时的责任承担就成为一个值得探讨的问题。倘若基于过错责任原则,对消费者显然不利,因为信息的不对称性,要消费者证明银行的过错是很困难的;若基于过错推定责任原则,则银行仍有可能基于专业知识和私人信息提出令非专业的消费者无可辩驳的免责事由而规避责任;若基于严格责任原则,则有助于维护消费者权益,也有助于促进网上银行技术的改进和完善,当取法若此。
(三)由于网络经营商的过失所致的事故或障碍,应由网上银行承担法律责任,网上银行对受害方作出赔偿后,获得向第三方追偿的权利。即网上银行是最初的责任承担者,但网络经营商才是最终的责任承担者。因为从网络商、网上银行、消费者三方关系的角度来看,网上银行在利用网络建立银行服务项目时,网络商对其服务的安全性给予了相应的承诺,而网上银行又与其客户之间存在服务安全的承诺关系。相反,银行客户则未与网络商建立直接的法律关系。根据合同的相对性原理,应当由网上银行对消费者进行赔偿。另外,从保护消费者角度来看,也应由网上银行先行承担责任。
(四)因不可抗力导致的事故或障碍引发的责任,应归入免责的范围。在各国,不可抗力通常都是民事责任全部免除或部分免除的根据之一。但是,不可抗力的具体界定则是实践中的重要问题。因为网上银行交易不同于传统的民商交易,影响电子交易而属于不能预见、不能避免、不能克服的事件可能有新的表现。传统立法所包括的战争、自然灾害等事件当然应该纳入不可抗力事件的范围之中,而供电系统停电、通讯系统故障等事故是否可纳入不可抗力事件,则应具体分析。应当说,网上银行能够预见到停电等事故是可能会发生的,但具体何时何地发生,则不能预见。因此网上银行应当针对这些事故在网络银行软硬件系统方面采取必要的防范措施。如在此前提下,因事故发生而不能执行客户指令,应当属于不可抗力免责或部分免责范畴。但如因银行疏忽,没有采取相应的防范措施而因事故发生导致客户资料丢失等,则不能主张免责。
(五)网上堡行系统遭遇黑客攻击造成损害,应由银行承担严格责任,此点学界已有研究,此处不赘。感染病毒造成损害,也应参照执行。
我国《民法通则》在“民事责任”一章关于“承担民事责任的方式”一节中,规定了10种民事责任方式,其中可以用于网上银行的民事责任承担方式为:返还财产,恢复原状,赔偿损失,支付违约金以及第111条规定的“要求履行或者采取补救措施”。具体说,银行承担责任的形式通常有四种:
1.返还资金,支付利息。如果资金划拨未能及时完成,或者资金到位而未能及时通知网络交易客户,从而给客户造成损失,银行有义务返还客户资金,并支付从原定支付日到返还当目的利息,以弥补客户期限利益的损失。
2.偿还汇率波动导致的损失。对于在国际贸易中,由于银行的过错造成的汇率孥失,网络交易客户有权就此向银行提出索赔,而且可以在本应进行汇兑之目和实际汇兑之日之间选择对自己有利的汇率。
3.赔偿其他损失?对由于银行的过错而造成客户的其他损失,应当在彼时可预见的范围内予以赔偿。
4.继续提供服务。应网上银行客户的要求,网上银行应在可能的情况下,及时执行客户的后续指令,继续为客户提供服务。
四、网上银行犯罪的法律规制
(一)网上银行犯罪的种类
网上银行由于其营业内容的特殊性,极易成为网络犯罪分子的攻击目标。常见的针对与网上银行犯罪类型主要有以下几个方面:
1.非法进入银行计算机网络系统,盗取银行资金。这是一种比较常见,同时也是危害非常大的一种计算机犯罪。由于网络存在的一些固有缺陷和管理疏漏,犯罪分子可以侵入系统内部,通过篡改数据等方式将银行的资金据为己有。
2.截获银行与客户之间交流的信息,牟取其他不当利益。银行和客户之间在网上交流的过程中,可能传递一些秘密的信息,如客户的信用卡账号和密码。银行通常需要采用加密的方式来保证传输内容不被破译。但是,由于对称性的密钥是由一种伪随机数字发生器,根据计算机的时钟,根据一种确定的程序产生出来的,因此,只要知道其产生的机制,就可以破译密码,从而截获信息,再利用该信息进行其他非法活动。
3.利用放置逻辑炸弹、病毒等对银行的计算机系统造成损害或对银行进行敲诈。黑客闯入银行的计算机系统之后,可能向系统中安置所谓的逻辑炸弹,或病毒等,这些逻辑炸弹或病毒潜伏在计算机系统中,等到一定条件满足的时候,比如到了一定时间,或等到黑客发出指令,才会发作,对银行计算机系统造成巨大的破坏,威胁网上银行业务的正常开展。
目前为止,世界上已经出现了很多网上银行犯罪的事件,比如在1994年,俄罗斯的列文在圣彼得堡只通过一台286计算机就从美国花旗银行窃取了l000万美元。又如l997年,一群德国汉堡的黑客在国家电视台表演如何使用“ActiveX”控制器在无需提供身份识别号码的情况下,把钱从一个银行账户移至另一个账户。2004年1月,黑龙江省哈尔滨市3名在校大学生通过中国工商银行网上银行,将他人账户资金转到自己的牡丹灵通卡账户内,偷支银行资金5 3万余元。可见,网上银行犯罪是许多国家面临的严峻问题之一。
(二)惩治网上银行犯罪的法律对策
1.银行和执法机构合作,共同打击金融犯罪。像所有的智能型、高科技犯罪一样,计算机犯罪由于具有一定的新技术含量,对于银行,对于执法机构来讲都是一件很陌生的事情,具备专业技术的执法人才很少,成为打击网上银行犯罪的一大障碍。目前,一些金融机构已经开始和技术厂商、执法机构一起举办一些活动,主要目的是使执法机构了解计算机系统的运作和潜在的风险。同时,执法机构本身也向专业化方向发展。美国联邦调查局已经拨出资金,在纽约、旧金山、华盛顿等地的分局不仅配备更多的特工负责调查计算机案件,同时在分局设有专门的小组,每个小组除了特工之外,还配备若干个非特工专家,成立所谓的“计算机分析和行动小组”,以适应越来越多的计算机和网络犯罪的需要。
2.加强与世界各国金融司法部门和业务主管部门的联系和磋商,共同打击电子金融犯罪。由于国际互联网无地域、时间限制,利用互联网实施网上银行犯罪的犯罪分子可能来自全世界各个角落。2003年12月5日,一个假冒的汇丰银行网站惊现于世,而该网站服务器登记在美国。[1]类似这种网上银行犯罪的犯罪行为人在国外,犯罪地也在国外,虽然该犯罪侵害了本国刑法所保护的社会关系,但本国刑法的适用却会受到他国主权的限制,引发国家之间的刑法冲突。因此,打击网上银行犯罪,不能单纯依靠某个国家的力量,而应当完善有关网上银行的国际法规范,通过各国在打击网上银行犯罪领域的亲密合作,维护全球金融安全。
2001年11月23曰,欧洲理事会在匈牙利布达佩斯召开的网络犯罪大会上举行了《关于网络犯罪的公约》(Convention on Cyber_crirne)的开放签署仪式。2004年3月18日立陶宛国正式批准,满足了其生效要件,由欧洲理事会(Council of Europe,COE)主导的网络犯罪公约于2004年7月1日正式生效,成为全球第一个针对网络犯罪而成立的国际公约。公约创建了一个全天候的“协作网络”,可以在缔约国问进行24小时不问断的情报交流及相关协助,这无疑将对有效打击网上银行犯罪提供信息支持和制度保障。
在区域经济合作方面,中国目前已经创立和加入了亚太经济合作组织(APEC)、上海合作组织(SOC)、中国—东盟自由贸易区等区域经济合作组织,并与香港、澳门签署了《内地与香港关于建立更紧密经贸安排》、《内地与澳门关于建立更紧密经贸安排》的合作协议。如果目前一部世界通行的打击网上银行犯罪的国际公约尚很遥远,那么对中国而言,借鉴欧盟的思路,首先在区域经济合作组织中制定共同打击网上银行犯罪的法律规范,再适时谋求国际层面的统一步调,将是一条现实可行的有效途径。
[参考文献]
[1]陈艳.网上银行的安全运行问题及其对策[J].经济与社会发展.2004(4),24-25.
[2]万国华、隋伟.国际金融法学[M].北京:中国民主法制出版社.2005,291.
[3]李国安.中国金融服务承诺透视[J].厦门大学学报(哲社版).2003(2),102.
[4]杨小红.我国网上银行发展存在的问题及建议[J].福建金融管理干部学院学报.2004(1),13.
[5]童文俊.网上银行监管:国际经验与中国实践[EB/OL].经济学家.
[6]何伟岗.浅议网上银行业务的风险与管理[J].经济问题探索.2004(4) ,49.
[7]张利先、李军红.网上银行业务纠纷中的损害赔偿责任[J].济南金融.2004(3),51-52.
[8]陈宝琨.“黑客”轻松偷支网上银行资金53万哈尔滨3名在校大学生涉嫌盗窃罪被批捕[EB/OL].
[9]张宗亮.全球化背景下的网络犯罪及其控制对策[J].中国人民公安大学学报.2003(4),97.
