手機銀行法律風險及應對

摘要 本文對手機銀行的風險各環節，包括客戶身份審查及認證，產品銷售及宣傳，客戶風險提示等環節可能存在的法律風險進行分析，并提出防范上述法律風險的幾點建議。

關鍵詞 手機銀行 法律風險

中圖分類號：D920 文獻標識碼：A

據艾瑞統計，截至今年二季度，中國智能手機用戶數已達到2.9億戶，3G用戶規模超過1.8億人 ，可以說智能手機上網的大環境已經形成，移動網絡產業鏈上的各類企業都在致力于更多服務的探索和研發，各類咨詢、社交、購物、生活類客戶端不斷推陳出新，中國的手機用戶越來越習慣于通過手機享受各類服務和生活。

手機銀行是商業銀行利用現代通訊技術，借助于移動網絡通信平臺將客戶的手機連接至銀行，向客戶提供信息和金融交易服務的新型金融服務方式。據統計，全國共有50家銀行推出了手機銀行客戶端，客戶總量和交易量均呈迅猛發展態勢 。

在這樣的背景下，如何實現手機銀行業務快速發展，搶占市場份額，同時又規避掉新型金融工具所帶來的風險，受到各銀行的普遍關注。本文主要對手機銀行的幾個區別于傳統銀行業務的風險進行闡述，并提出法律應對建議。

一、手機銀行主要法律風險

（一）客戶身份審核與認證。

1、身份認證選擇。

《電子支付指引》（中國人民銀行公告[2005]第23號）第十條規定，“銀行為客戶辦理電子支付業務，應根據客戶性質、電子支付類型、支付金額等，與客戶約定適當的認證方式，如密碼、密鑰、數字證書、電子簽名等”。由于手機銀行的高技術特性，各類安全認證手段日新月異，黑客破解手段也隨之變化，銀行如果為高風險的移動金融服務，配套安全級別較低的身份認證方式，一旦安全認證手段被攻破或冒用，客戶資金損失，出現民事訴訟，客戶可能將以銀行未能履行與客戶約定適宜的安全認證手段要求銀行承擔賠償責任。

與傳統網上銀行相比，手機銀行的突出優勢是可移動及便攜性。我國金融機構對外接或攜帶的硬件證書或動態口令卡的安全認證方式普遍持觀望態度，盡管安全級別高，但便攜性大打折扣。目前國內較為普遍的做法是綁定手機的MAC地址等機器設備碼，通過加密算法生成設備串號，作為銀行識別客戶身份的重要認證信息。而這種做法本身有其局限性，一是市面上手機型號及對應的操作系統繁多，并非都能照上述規則計算出對應的設備串號，返回信息可能不被銀行業務系統的容錯程序識別，一旦被黑客利用可以實現非法登錄；二是黑客一旦嗅探到客戶移動終端的MAC地址，也可偽造身份認證信息登錄該客戶的手機銀行。如果銀行方沒有采取很好的其他認證方式進行輔助認證，或者進行輔助認證的認證方式安全級別較低，同樣存在風險隱患。

2、非客戶授權的交易。

客戶輸入與銀行約定的交易安全認證方式，包括賬號、登錄密碼、交易密碼及動態密碼等安全認證方式，銀行收到上述信息后按與客戶約定對上述電子簽名信息進行核實無誤，識別客戶身份后，按客戶指令進行交易。

在實務中，客戶的電子簽名存在被冒用，銀行收到非客戶授權的交易的情況，出現這一情況，主要由于以下三個方面的原因：一是客戶保管個人賬戶信息和電子簽名不善，導致丟失或被他人冒用；二是客戶網絡及終端安全意識淡薄，受到黑客攻擊被盜取賬戶信息及電子簽名；三是客戶被不法分子欺騙，主動將賬戶信息及電子簽名泄露給第三方。

上述三方面原因容易導致客戶資金損失而引發民事訴訟。對這一類型民事糾紛責任劃分，我國相關法律、規章規定存在矛盾。按照《中華人民共和國電子簽名法》規定銀行只要按“發件人認可的方法對數據電文進行驗證后結果相符的”，視為發件人發送，銀行不是過錯方，不承擔違約責任。而《電子銀行業務管理辦法》（中國銀行業監督管理委員會[2006]第5號令，以下簡稱《辦法》）中明確：“金融機構在提供電子銀行服務時，因電子銀行系統存在安全隱患、金融機構內部違規操作和其他非客戶原因等造成損失的，金融機構應當承擔相應責任。因客戶有意泄漏交易密碼，或者未按照服務協議盡到應盡的安全防范與保密義務造成損失的，金融機構可以根據服務協議的約定免于承擔相應責任，但法律法規另有規定的除外。”也就是說，只有銀行能證明客戶存在有意泄漏交易密碼，或者未按照服務協議盡到應盡的安全防范與保密義務時才推定銀行沒有過錯，不承擔責任，否則將推定銀行有過錯，應承擔責任，由此可見該辦法所規定的責任分擔機制過分加重了銀行責任。雖然《辦法》屬于規章，法律效力層級較低，應當按照《中華人民共和國電子簽名法》進行責任劃分，但在實務中，法院常以客戶屬于弱勢群體，應加強銀行責任為由，適用《辦法》劃分客戶與銀行的責任，加大了銀行的風險。

（二）產品銷售與宣傳。

1、可向其銷售的客戶類型。

根據《民法通則》、《合同法》以及《最高人民法院關于貫徹執行<中華人民共和國民法通則>若干問題的意見（試行）》的有關規定，無民事行為能力人不能獨立進行民事活動，其進行民事活動時應由其法定代理人代理，否則該行為可能無效；限制民事行為能力人，只能進行與他的年齡、智力相適應的民事活動，其他民事活動由他的法定代理人代理或經法定代理人追認后，該行為才有效，但接受獎勵、贈與、報酬等純獲利益的行為除外。通過手機銀行進行基金、黃金、保險、外匯等理財產品投資的，投資者應具備一定的認知水平和辨別能力，能夠認識到投資收益與風險并存，并愿意自行承擔投資的風險和損失。筆者認為，限制民事行為能力人、無民事行為能力人并不具備上述投資行為所需的判斷力，如銀行向上述客戶銷售此類產品，一旦該類客戶出現資金損失產生法律訴訟時，法院可能按照相關法律法規，推定該交易行為無效，由銀行承擔相應責任。

2、產品宣傳方式及內容。

根據最新的調研報告，除了查詢轉賬等傳統的銀行金融服務外，銀行推出的各類特色服務也頗受歡迎，這其中就包括和各類第三方公司合作推出的手機銀行商城服務。在對此類產品進行宣傳時，要注意選擇合適的宣傳方式。根據《中華人民共和國廣告法》和《廣告管理條例實施細則（2004年）》（中華人民共和國國家工商行政管理總局第18號令）的有關規定，為他人發布廣告的需首先辦理廣告經營等級并領取《廣告經營許可證》，如果違反上述規定，可能受到工商行政管理機構的相應處罰。

同時通過手機銀行、短信等方式向客戶推薦產品時，應注意保證銀行對用于宣傳的圖片、視頻、文字、圖形享有合法的知識產品或使用權。如果向客戶提供的上述宣傳材料收到其他第三方的合法質疑時，可能導致銀行遭受損失，承擔相應法律責任。

（三）客戶風險提示。

手機銀行是通過移動互聯網渠道為客戶提供各類金融產品和服務，如果銀行未能在手機銀行業務開通或使用環節，對手機銀行電子簽名方式及各類功能進行充分的解釋和風險提示，客戶在其資金被盜的情況下將可能以銀行未履行應盡的提示和告知義務要求銀行承擔賠償責任。

二、防范手機銀行法律風險的建議

（一）完善合同文本，約定適當的免責條款。

在客戶開通手機銀行業務時，在合同文本中明確約定客戶應盡的安全防范和保密義務。詳細約定客戶對于與電子銀行業務相關的身份信息、賬戶信息和電子簽名等負有嚴格的安全防范和保密義務，如因客戶泄露賬戶信息、電子簽名或被詐騙等而導致的資金損失，銀行不承擔責任。同時考慮到《辦法》所規定的責任分擔機制過分加重了銀行責任，可考慮在合同文本中增加相應的免責條款，約定對于非銀行原因（例如不可抗力以及網絡故障、通訊故障、電力故障等事故而導致的客戶損失免責。

（二）根據業務類型設定不同的認證手段，并持續更新。

為確保手機銀行上產品與認證手段的安全性能夠匹配，應該根據不同業務類型的安全要求，匹配相應的客戶身份認證方式。并建立持續評估機制，對最新推出的產品和認證方式進行安全性評估，根據安全性及客戶體驗的需要，隨時調整匹配規則。

（三）履行客戶身份審查義務，加強對銀行權益的保護。

原則上銀行不得向限制民事行為能力人、無民事行為能力人提供投資理財類的手機銀行服務，但考慮到客戶的實際需要，應由法定代理人代理，嚴格履行身份審查義務，建議要求法定代理人陪同開通并由其負責保管相關登錄憑證及密碼憑證，并在合同文本中載明法定代理人有義務保管上述密碼，對通過密碼完成的交易，是同由法定代理人完成，法定代理人不得否認有此對被代理人造成的一切后果。因客戶自己或監護人未盡到相關保管義務，致使密碼泄露或盜取款項或被詐騙等，由客戶和法定代理人自行承擔責任。同時，在高風險業務的交易頁面或手機銀行自助注冊該業務的頁面，可增加相應提示，即在客戶選擇已年滿十八歲后才進入下一個交易環節，以表明銀行已盡到識別客戶是否具備相應行為能力的義務。

（四）選擇合適的產品宣傳角度和方式。

在通過手機銀行進行產品宣傳環節，為避免銀行為第三方合作公司的服務和產品進行推介宣傳被認定為網絡廣告，銀行應注意選擇合適的宣傳角度和方式，盡量從銀行所提供的手機銀行服務角度對合作第三方的服務和產品進行推介宣傳，而不是直接推介宣傳合作方的服務和產品。同時應獲得客戶明確同意，可考慮在合同文本中列明銀行有權利用客戶提供的聯絡方式向客戶介紹銀行的最新產品及服務等。同時對于第三方合作方提供的宣傳材料，應在合作協議中約定，合作方應保證其有權授權銀行使用宣傳材料，且該等授權不會受到任何第三方的合法質疑。如因合作方提供的宣傳材料的權利瑕疵導致銀行遭受損失的，合作方應承擔一切責任。

（五）建立統一的手機銀行交易監控平臺。

按照監管要求，銀行方要切實做好電子渠道的交易監控工作。銀行方應建設統一的手機銀行交易監控平臺，收集客戶交易行為及風險事件特征，制定對應的監控規則，并進行風險估值，確定對應的監控策略，并采取包括自動/人工觸發短信、電話及人工干預等不同方式進行處理，以實現“實時監控，線上處理”的最終目標。所謂“實時監控”是指監控平臺數據來自實時交互的手機銀行各類交易數據，而最終要實現的“線上處理”一般是指當監控平臺發現可疑交易時，監控人員可以對此交易進行及時阻斷，并選擇電話渠道與客戶進行交易真實意愿核實后，確定該交易是否放行。

（六）加強對客戶的安全教育，強化客戶風險防范意識。

銀行方對內要加強對各級關鍵崗位人員的操作風險和道德風險安全教育工作，提高風險防范意識；對外建立與同業、證書或安全設備提供商、公安部門的互動交流機制，溝通了解最新的電子銀行業務及技術發展方向、新案件的風險特點等內容，優化自身安全策略；對客戶采取形式多樣的安全教育工作，通過折頁、網站、手機銀行、短信等多種渠道加強對客戶的風險提示，提高客戶的風險防范能力。

（作者單位：中國政法大學法碩學院）

注釋：

《2012年手機銀行客戶端評測報告.（網易財經2012年11月20日發布）.