網上購物：銀行卡透支案例點評

隨著電子商務的迅速發展和電腦擁有率不斷提高，網上購物趨于普遍和頻繁。只要開通網上銀行，就能快速輕松地購物。然而，信用卡密碼被盜的案件屢屢發生，因此，要防止電子犯罪的發生生或危機擴大就必須建立一個完善預警與快處理問題的機制。

案情簡介

李某于1997年申領了某銀行信用卡，該卡自2005年5月4日后發生多筆連續透支，并且超過兩個月未還。然而，在銀行催收過程中，持卡人李某對網上銀行進行網上購物所產生的9000余元透支不予承認，稱其從未注冊過網上銀行，也未進行過網上購物。銀行通過調閱系統數據發現，李某所持信用卡是通過網上自助注冊方式開通網上購物功能的，注冊過程中輸入了持卡人的開戶地、信用卡卡號、密碼、信用卡有效期、身份證號碼等信息。注冊時間為2005年5月12日凌晨1點17分，電腦IP地址顯示注冊地在成都（經進一步了解為成都一網吧）。注冊成功后，從2005年5月12日到2005年5月13日，該卡在同一電腦上連續進行了七筆網上購物，所購物品為電腦游戲中的武器裝備，購買人是網絡中的虛擬主體，實際購買人無法查明。

庭審情況

為追索透支款，銀行將持卡人訴至法院。審理過程中銀行向法院提供了三組證據材料：（1）被告簽名的信用卡申請表（含信用卡領用協議）和信用卡章程，用于證明被告為持卡人，信用卡的透支期限不應超過兩個月，透支后的日利率為0.5‰；（2）《信用卡交易歷史明細》，用于證明被告透支額度；（3）網上銀行注冊須知、網上銀行客戶服務協議、自助注冊操作提示和網上銀行交易明細，用于證明持卡人已通過密碼注冊網上銀行，并通過密碼進行了網上購物，導致透支。

被告李某提供了兩份證據材料：（1）單位證明，證明被告在5月12日到13日在單位正常上班，無外出；（2）公安機關出具的《受理案件回執憑證》，證明被告曾向公安機關報案反映其信用卡被人作為詐騙銀行的工具，被告本人不存在惡意透支的可能。

庭審過程中，被告代理人針對原告訴請提出以下抗辯：（1）由于被告本人并不認可通過網上購物方式發生的9000多元透支，銀行應對其主張的網上購物透支進行舉證，而銀行提供的第二組證據和第三組證據均由銀行單方面提供，且為打印件，來源不明確，即使能夠證明上述打印件的內容源于銀行的內部電腦記錄，但上述記錄也只是銀行方面的單方記錄，不排除銀行電腦記錄有誤或被人為修改的可能性，銀行以源自于自己內部電腦的數據不足以證明被告有透支行為；（2）銀行主張信用卡透支不應超過兩個月，透支利息按日0.5‰計算的依據是銀行的信用卡章程，但銀行的章程經常變動，并且不需要書面或單獨通知持卡人，只進行公告，原告提供的章程未必就是被告1997年辦卡時的章程，原告主張信用卡透支不能超過兩個月，透支利息按日0.5‰計算依據不足；（3）網上銀行自助注冊功能的安全性直接關系到客戶和銀行資金的安全性，銀行需對網上注冊平臺的安全性進行舉證，以便排除他人能夠對銀行系統安全進行類似黑客行為的可能性。

根據上述情況，考慮到法院一審結果可能以銀行證據不足為由駁回訴訟請求，銀行撤訴。

分析點評

結合本案例可以看出，作為商業銀行的新興業務，電子銀行業務遇到了一些新的法律問題。根據中國銀行業監督管理委員會2006年3月1日施行的《電子銀行業務管理辦法》（以下簡稱《管理辦法》）的規定，電子銀行業務是指銀行業金融機構利用面向社會公眾開放的通訊通道或開放型公眾網絡，以及銀行為特定的自助服務設施或客戶建立的專用網絡，向客戶提供的銀行服務。如何確認電子銀行交易形成的法律關系，明確交易當事人的權利義務，保護客戶和銀行的合法權益，防范電子銀行業務風險，較傳統銀行業務更為復雜。這里僅就該案涉及的一些問題進行分析研究。

電子簽名的效力

在傳統商業銀行業務中，客戶身份的識別與確認一般通過簽字、蓋章、有效證件確認等方式進行。而在電子銀行業務中，銀行與客戶不進行面對面的接觸和紙質文件的傳輸確認，而是通過互聯網或其他信息通訊設備進行數據信息傳遞，以數據信息進行身份識別和確認。這種客戶身份識別與確認方式能否得到法律的認可，怎樣的數據信息才能得到法律的充分保護，成為開展電子銀行業務的一個首要問題。

2004年8月28日，《中華人民共和國電子簽名法》（以下簡稱《電子簽名法》）獲通過，并自2005年4月1日實施。這部法律的頒布，為我國商業銀行開展電子銀行業務提供了法律支持和保護，特別是為電子銀行業務中客戶身份的識別和確認提供了法律依據。電子簽名是數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。《電子簽名法》規定“可靠的電子簽名與手寫簽名或者簽章具有同等的法律效力”，這表明銀行可以通過私人密碼、客戶證書信息對客戶身份進行識別和確認。目前電子銀行業務普遍使用的私人密碼、客戶證書中包含的數據信息均屬于電子簽名的一種。在辦理電子銀行業務時，客戶通過計算機和互聯網、電話聲訊設施等電子交易平臺進行業務操作，其頁面操作、輸入密碼等行為表明客戶認可電子簽名這種方式，銀行受理電子銀行業務亦表明其同意使用電子簽名辦理銀行業務的意愿，雙方使用電子簽名、數據電文進行交易的意思表示真實明確。因此，商業銀行通過電子簽名識別和確認客戶身份受法律保護。

電子合同的效力

電子銀行業務的發展為客戶提供了方便迅捷的業務辦理模式，客戶可以直接在網上或其他電子交易平臺上辦理賬務查詢、轉賬匯款、繳費、理財以及質押貸款等業務。在電子銀行交易中，銀行與客戶通過數據電文進行信息和文件的傳遞，電子合同成為雙方進行交易的主要依據。1999年頒布的《合同法》肯定了通過數據電文簽訂的合同可以作為書面合同，《電子簽名法》則進一步明確，只要銀行與客戶簽訂的電子合同遵循法律有關數據電文的規定，電子合同的合法有效性受法律保護。

私人密碼的基本功能

在電子銀行交易的客戶識別與確認問題上，私人密碼是一個關鍵問題。這里所說的私人密碼包括使用客戶證書情況下，客戶證書中包含的數據信息。一般而言，私人密碼具有以下三個基本功能：（1）私人密碼是最基本的一種電子簽名方式，是交易者身份的表明及對交易內容的確認。在通過計算機網絡等電子交易平臺進行的電子銀行業務中，電子簽名的功能等同于柜面交易的書面簽字，對交易者身份及對交易內容予以確認。（2）私人密碼的使用表明客戶本人進行了交易行為。在電子交易中，信息發送者和接收者都不能對此予以否認，凡是使用私人密碼從事的交易即視為本人進行了交易行為，銀行在接收到客戶通過私人密碼發出的查詢指令或交易指令后，即視其為客戶本人操作，應按照客戶指令辦理銀行業務。（3）私人密碼的使用表明交易是在保密狀態下進行的，任何第三人都不知曉交易內容。就客戶方面而言，私人密碼由本人設置并持有，只有本人知道，除非本人告知或因過失泄密，他人不會知曉。就銀行方面而言，私人密碼生成后直接進入計算機網絡系統，電子交易平臺的顯示設備是以星號的形式將私人密碼隱去的，所以銀行業務操作人員并不知曉私人密碼。因此，可以理解私人密碼的使用效力規則，即只要客觀上在交易中使用了私人密碼，如果沒有相反的證明或免責事由，則視為交易者本人使用私人密碼從事了交易行為，本人對此交易應承擔相應的法律效果。

電子記錄的證據效力

電子銀行交易涉及的另一個重要問題是電子記錄的證據效力。根據我國《民事訴訟法》的有關規定，在發生糾紛提起訴訟或仲裁時，“書證”只有原件才能直接作為證據使用。但是在電子銀行交易中，數據電文原件都記錄在銀行的計算機存儲系統內，如果銀行的電子記錄不能在訴訟中被法院采納為證據，則銀行與客戶通過電子數據進行的交易無法得到法律的充分保護。

針對電子記錄的證據效力問題，《電子簽名法》作出了比較明確的規定：（1）確認數據電文可以被作為證據使用。數據電文不得僅因為其是以電子、光學、磁或者類似手段生成、發送、接收或者儲存的而被拒絕作為證據使用。（2）符合法律規定的數據電文可以被視為合法有效的原件形式。即能夠有效地表現所載內容并可供隨時調取查用，能夠可靠地保證自最終形成時起，內容保持完整、未被更改。（3）審查數據電文作為證據的真實性，應當考慮以下因素：生成、儲存或者傳遞數據電文方法的可靠性；保持內容完整性方法的可靠性；用以鑒別發件人方法的可靠性；其他相關因素。

電子銀行交易的舉證問題

由于電子銀行交易為無紙化交易，銀行與客戶的交易全過程無法以紙面文件或其他形式的有形載體呈現出來，而只能記錄于銀行的計算機數據存儲設備中。這一交易過程包括客戶通過私人密碼表明客戶身份，銀行通過系統查驗進行客戶身份識別與確認、客戶交易指令的提交、銀行接受、執行客戶指令等，全部數據傳輸和確認的過程都是通過計算機網絡或其他電子銀行交易平臺進行的。因此，在關于電子銀行交易的爭議中，電子記錄必然成為確定交易雙方權利義務關系和責任承擔的關鍵證據。

首先，不能僅因為電子記錄存儲于銀行的數據存儲設備中，而認為電子數據僅是銀行單方面的內部記錄，以此減弱電子記錄的證據效力。事實上，完整、真實的電子記錄是電子銀行交易情況的客觀反映，是能夠用以界定爭議雙方的權利義務的。

其次，電子記錄能否作為有效證據重點在于其是否具有真實性、合法性和關聯性。關聯性是指提交的電子記錄與爭議事項具有的關聯程度。合法性主要指證據是否通過合法手段取得、是否存在侵犯他人合法權益的問題。與傳統證據相比，關聯性和合法性的審查沒有特殊之處，而電子記錄真實性的審查是與傳統證據的審查有所不同的。一般而言應重點審查以下兩個方面：一是審查電子證據的來源，包括電子證據形成的時間、地點、系統的安全性、內部管理制度，生成、儲存或傳遞數據信息的方法的可靠性，保護信息完整性的方法的可靠性。二是審查電子證據是否有偽造、篡改情形，電子文件上是否有電子簽名，該電子簽名是否完整。

第三，由于電子銀行業務的特殊性，司法程序的關鍵問題還會取決于法官對電子銀行業務的理解及對證據的采信。司法程序中一般采用“誰主張、誰舉證”的原則。在該銀行卡透支案件中，銀行作為原告的舉證責任比較重，主要涉及兩個方面：一是提供交易記錄，證明確實發生了交易并且是在客戶提供了正確的私人密碼，通過交易系統確認無誤后進行的；二是要證明電子交易平臺安全性能良好。前者在于證明交易記錄為原始記錄，是銀行交易系統內存儲的原始數據。關于后者，目前銀監會頒布了《電子銀行安全評估指引》，要求銀行對電子銀行的安全策略、內控制度、風險管理、系統安全、客戶保護等方面進行定期和不定期的安全測試和管控能力的考察與評價。監管規則的確認和力度的加大在一定程度上將有利于增強電子銀行安全性的公信力。

在新興業務的法律適用和證據采信方面，法官的認識和理解往往也往往起到重要作用?？上驳氖?，目前一些法官對于新興業務的態度是比較明朗的。例如，在張園訴工商銀行一案（注：劉云，南京市玄武區人民法院，《張園訴中國工商銀行江蘇省分行營業部儲蓄存款合同糾紛案》）中，法官就認為“如果金融機構的操作系統密級已經達到規定的標準，但仍然不能防止私人密碼被破譯，從而存款被詐騙的情形發生的，不應由金融機構承擔兌付或賠償責任，而應當適用公平責任原則，由雙方共同分擔損失”，因為“電子商務是現代社會帶來的文明成果，我們每個人既然都在享受現代文明的利益，理所當然應承擔一定的風險責任。如果有誰不愿為此承擔絲毫的風險，只能選擇不涉足電子商務?！倍ü佟霸诒Ｗo弱者權利與促進社會發展之間進行選擇時，應當善于尋找兩者之間的平衡點，斟酌何者在當前條件下更為重要。對于當前新興的電子交易領域，法官更應當注意結合我國的國情，考慮在保護儲戶利益的同時，如何保護電子交易技術的健康發展?！?/p>

電子銀行業務的風險防范

電子銀行業務為客戶提供了豐富便捷的服務產品，也為銀行拓寬了發展空間。與此同時，面對新業務帶來的新問題，銀行應加強電子銀行業務的風險防范，充分維護電子銀行交易當事人的合法權益。結合本案，需要對以下幾個問題予以重視。

加強電子銀行交易流程的風險控制

按照本案反映的情況，客戶在輸入了持卡人的開戶地、牡丹卡賬號、密碼、牡丹卡有效期、身份證號碼等信息后，經銀行系統確認無誤，即可進行自助注冊。一方面，可以說自助注冊為客戶提供了一種便捷的注冊方式，對于引導客戶使用電子銀行平臺，推廣電子銀行業務，進而拉動相關業務的發展起到了積極的作用。但另一方面，與柜面注冊相比，由于自助注冊沒有客戶簽字確認的程序，基于安全性考慮，銀行應當對客戶基于自助注冊所享受的服務予以限制。因此，在交易流程設計時，銀行應充分考慮不同的電子銀行業務具有的風險差異。比如，就自助注冊網上銀行而言，客戶可以享用的服務一般為查詢類服務，如賬戶余額查詢、交易明細查詢等。而對外轉賬功能和B to C網上購物功能的開通，應該以柜臺注冊的形式實現，并盡可能采用客戶證書等更為安全的客戶驗證方式辦理業務。因為實際上，從客戶角度來看，對外轉賬功能和B to C網上購物功能，無論是資金的轉出，還是直接消費，均是通過使用私人密碼在網上或其他電子交易平臺上完成資金的支出，客戶可能承受的的風險是相當大的。所以銀行在進行交易流程和結構設計時，應充分考慮不同類型交易的風險程度及對其進行風險控制的力度和方式。對于風險程度相類似的業務，應該采用較為一致的風險控制力度和方式。

切實履行銀行風險提示的責任

引導客戶充分了解、正確認識法律文件。為明確銀行和客戶的法律關系和交易規則，銀行一般會制定了內容全面的法律文件，如客戶服務協議和章程等。但是客戶在申辦業務時，是很少閱讀相關法律文件的，在客戶不了解交易規則的情況下，很容易違背其本意進行操作，引起糾紛。比如銀行卡透支未全額還款的罰息問題，多是由于客戶不了解交易規則造成的。因此，銀行應該利用營業網點、網絡平臺等渠道加大宣傳力度，讓客戶明確其權利義務、知曉交易規則和交易風險，充分理解銀行產品的特點，這樣一方面能減少由于客戶誤解造成的不必要的糾紛，另一方面也能增強客戶的自我保護意識、避免欺詐等惡性事件的發生，從而有效防范法律風險。

引導客戶使用客戶證書。以客戶證書的方式識別確認客戶身份要比私人密碼更加安全，有利于保障客戶和銀行的利益，明確雙方的權利義務關系。一是因為客戶證書在技術上更可靠、保密性上更強；二是因為用客戶證書進行電子銀行交易，更能貫徹本人行為和不可抵賴原則。通過客戶證書進行的電子銀行交易，除非有相反證明，否則應當視為本人進行的交易行為。因此，銀行在風險提示的同時，應引導客戶使用更安全、有效的交易介質，并適當的降低客戶的交易成本，這對于避免爭議或付出更高的交易成本是有益的。

加強電子銀行業務的內部控制

由于電子銀行業務特定的運作方式和網絡環境，銀行在電子銀行業務的內部控制方面也具有一定的特殊性。一是強化對系統安全風險的防范，主要是指數據傳輸風險、應用系統設計的缺陷、計算機病毒攻擊等，如果防范不嚴，可能造成銀行資料泄密、威脅用戶資金安全的嚴重后果，這就要求銀行建立有效的內部授權、技術開發與升級制度、有關標準化的管理規則，加強技術支持能力；二是加強電子交易文書及非交易文書的管理，針對不同類型的文書制定有關其制作、維護、保密及認證方面的規則；三是建立有效的信息保密制度，與傳統業務相比，電子銀行業務信息及客戶信息具有集中性的特點，而有關信息的保密性直接關系到整個金融系統安全、特定交易安全和客戶個人隱私保護等問題，所以銀行應對信息保密制度的完善及執行予以特別重視。因此，為有效防范風險，確保電子銀行業務運作的安全性，銀行在傳統業務內部控制的基礎上，應從制度、人員、技術、文件等多角度加強對電子銀行的管理，促進這一新興業務形式的健康發展。

(作者單位：中國人民大學法學院)