電子銀行業務中的銀行風險提示義務及責任分擔

胡建媛

上海市浦東新區人民法院，上海 200000

根據銀監會《電子銀行業務管理辦法》第二條的定義，電子銀行業務應符合以下三方面特征：第一，電子銀行業務提供的主體是商業銀行等銀行業金融機構。第二，電子銀行業務系銀行等金融機構提供的服務。第三，電子銀行業務開展依托的平臺包括開放的通訊通道、網絡銀行或銀行建立的專用網絡。隨著新科技的日益發展，電子銀行業務不斷推陳出新，總體而言，區別于傳統面對面交易的柜臺服務模式，網上銀行、電話銀行、手機銀行等依托特定電子媒介、由客戶自助可以完成的金融交易均屬于電子銀行業務的范疇。

一、電子銀行業務的交易風險

與傳統的銀行業務相比，涉電子銀行業務的交易存在以下幾個方面帶來的風險：

（一）對技術依賴帶來的系統風險。電子銀行業務的發展很大程度上取決于計算機和網絡技術，程序代碼不可避免地存在漏洞，很多安全漏洞就是由于程序本身的代碼漏洞所產生的，并且針對該技術的攻擊方法會在網絡中傳播。由于商業利益的驅使，通過各種技術性的犯罪手段盜取諸如客戶身份信息、密碼等，進而導致客戶財產損失的犯罪層出不窮。因此，固然新技術的發展不斷促進電子銀行業務的革新，但新技術也成為電子銀行不可避免的風險來源。

（二）業務創新帶來新的挑戰。電子銀行業務依托網絡等新技術推陳出新，導致業務類型日益多元化、復雜化，對于新的業務，作為金融消費者的一般客戶難以判斷電子銀行業務的風險，甚至于銀行的柜員、工作人員都不能完全了解新業務的風險，更無法為客戶提供準確、全面的咨詢和服務。

（三）第三方支付進一步導致風險擴大化、分散化。隨著第三方支付業務的興起，電子銀行業務也不再局限于商業銀行網銀系統，網銀系統與第三方支付機構系統的接入，客觀上造成網絡銀行的信息安全風險邊界的擴大，例如客戶在進行電子交易時，系通過第三方支付平臺完成，則網銀系統需要與第三方支付系統對接，由于銀行無法控制整個交易過程，無疑對增加了交易的風險。第三方支付興起進一步促進了電子銀行交易便捷性的同時，第三方支付也存在由于一些第三方機構本身對信息安全的保障能力較為薄弱、容易被不法分子盜取客戶信息等問題，從而使電子銀行業務交易風險分散化、擴大化。

二、電子銀行業務中的銀行風險提示義務

電子銀行業務中，客戶通過手機、互聯網等終端可以隨時隨地通過網絡發送交易指令，在提高交易效率和增加服務便捷性的同時，也大大增加了客戶的資金風險。電子銀行業務服務合同多為銀行單方制作的格式合同，其中條款多強調銀行權利，對于銀行義務往往規定的籠統、模糊，導致電子銀行業務發生爭議時，客戶很難通過合同條款找到銀行違約的依據，更無法依據合同要求銀行承擔相應的責任。盡管如此，《合同法》第六十條第二款概括地確認了合同當事人應當根據誠實信用原則，履行通知、協助、保密等相應的附隨義務。因此，即使電子銀行服務合同沒有明確列舉交易過程中銀行的義務，銀行仍然不能免除相關附隨義務。電子銀行交易中銀行的風險提示義務具體應從以下三方面考量：

（一）風險提示的內容應當全面、明確、合理且方式適當。電子銀行業務的風險提示應當在業務開通、業務變更以及業務取消等各環節進行，明確提示該業務開通的風險及相應操作可能發生的后果。一般來說，客戶在申領銀行卡時會與銀行確認電子銀行身份認證的要素和程序并簽署已經知曉相關業務及風險的回執，在具體交易的過程中進行交易提示并及時將交易結果告知客戶，即可認為銀行已經履行了其風險提示義務。

（二）高風險行為重點提示。對于一般業務和高風險業務，應當適用不同的風險提示標準。締約環節未在告知書中明確加以羅列、但風險級別又大大高于一般的賬務查詢、轉賬匯款、投資理財等業務的新類型、高風險業務，銀行的風險提示義務則不能限于一般的新類型業務告知標準。第一，對于高風險的業務，不僅在締約環節的書面文件中應予以明確羅列，且應明確提示客戶開通該類業務可能存在風險，以及在開通后的交易驗證過程中再次進行風險提示并及時告知交易變動結果。第二，對于這類業務的交易過程，銀行應當隨時檢測可疑交易并及時提醒客戶。電子銀行業務的創新雖很大程度上提升了銀行金融服務的質量，但不可避免會給交易安全帶來更大的挑戰，因此，對于新型的電子銀行業務，銀行應當在客戶簽約之時就對可能存在的風險明確告知客戶，并在客戶進行具體授權操作及發現可疑操作時作進一步的風險提示。

（三）提供及時、準確、有效的咨詢服務。《合同法》不僅規定當事人應按照雙方合同條款約定履行義務，還應遵循誠實信用的原則履行相應的附隨義務。首先，銀行作為儲蓄存款合同的締約方向客戶提供及時、全面、可靠的咨詢是其法定的義務。其次，電子銀行服務合同一般都會載明銀行應向客戶提供咨詢服務或者意見的條款，故提供咨詢也是銀行應當履行的合同義務。審判實踐中，也存在銀行工作人員由于沒有為客戶提供準確、有效的咨詢導致客戶未能及時采取補救措施保障資金安全，法院認為銀行存在過錯判決承擔責任的案例。金融機構應當加強對業務人員尤其是柜臺工作人員、電話客服人員的專業能力培訓，其工作人員應當全面了解各類業務并熟悉業務大致流程，為客戶提供準確、有效的咨詢，協助客戶解決問題或者及時控制風險，防止損失。

三、電子銀行交易糾紛責任分擔之考量——以未授權電子支付糾紛為例

電子銀行交易存在諸多不同于傳統銀行業務的風險，故電子銀行業務中銀行也應當履行相當程度的風險提示義務，實踐中，未授權電子支付糾紛系電子銀行交易的典型糾紛類型，其交易過程通常包括以下步驟：一、第三方通過欺詐或其他不法手段獲取客戶信息、登錄密碼、動態驗證碼等；二、第三方以銀行與客戶簽約時約定的電子認證方式發出支付指令；三、銀行在按照約定的電子認證程序通過驗證后確認該指令系由客戶或客戶授權的人發出，執行電子支付指令，進而造成客戶資金損失。《電子銀行業務管理辦法》第八十九條對銀行與客戶之間就未經授權支付導致損失的責任承擔進行了規定，但未經授權支付往往是由于案外人的不法行為造成的，很多情況下限于現有偵查技術和網絡技術的制約，法院在審理過程中對于交易的具體過程并不能完全獲知。事實上，電子銀行交易依托網絡系統，通過電子支付指令進行交易，交易過程具有隱蔽性不容易還原，糾紛發生后銀行和客戶都處于舉證困難的境地。實踐中如何根據法律的規定以及雙方的約定，合理分配舉證責任，進而明確損失分擔仍然值得斟酌。

（一）客戶未妥善保管密碼的推定

在未授權支付糾紛案件中，客戶密碼被他人盜用通過電子簽名認證，成為客戶資金被他人盜取的主要途徑。在這一過程中，客戶對自身密碼被案外人獲悉是否具有過錯對于認定客戶與銀行的責任至關重要。由于未授權支付往往是案外人通過不法手段借由電子銀行平臺所為的盜取資金行為，故囿于現有技術手段的限制，在刑事案件未能偵破的情況下，法院在審理過程中并不能完全知悉未授權電子銀行交易的全部過程，進而無法對客戶是否在保管密碼上存在過錯進行判斷。這種情況下，我們認為，對于客戶是否妥善保管密碼應當適用推定。所謂推定，是指依照法律規定或者由法院按照經驗法則，從已知的基礎事實推斷未知的推定事實存在，并允許當事人提出反證予以推翻的一種證據法則。在適用推定規則時，應該把握以下幾方面：首先，需查明基礎事實。須查實的基礎事實包括：密碼的設置、修改、保管主體的事實，密碼被他人獲取、使用的事實。其次，基礎事實與推定事實之間的聯系必須符合民事證據的高度蓋然性標準。電子簽名認證在未經授權支付中至關重要，一般來說，交易對方按照事前約定的電子簽名認證程序，例如輸入登錄信息及相應交易驗證碼等方式通過身份認證，作為交易對方的銀行即可推定該交易指令系客戶本人或經客戶授權的他人所為。最后，由于推定事實有可能并不是客觀真實，因此，對推定事實承擔不利后果的當事人可以對推定事實提供證據加以反駁。

基于以上分析，我們認為，在密碼被盜原因的事實受條件局限無法通過已有證據查清的情況下，如果網上銀行交易密碼只為客戶本人所知悉、修改和保管、銀行及其工作人員不具有知悉、接觸客戶密碼的管理機制漏洞，在這一基礎事實確定的大前提下，密碼被未授權之人使用實際發生，可以推定是因為客戶保管疏忽所至，客戶應承擔相應的法律責任。

（二）銀行的電子證據保全義務

有觀點認為，在分配未經授權支付糾紛法律責任時，主要可以從風險預防、風險控制和風險轉移三個方面來確定銀行和客戶的責任。相較于客戶，銀行更有能力預防、控制和轉移風險，而且銀行從電子交易中獲得的利益更大，應該從承擔更多的責任。我們認為，電子銀行交易的虛擬性決定了其證據不同于傳統的銀行業務糾紛。在未經授權支付糾紛中，雖然無法獲知全部的交易過程，但是銀行作為電子交易的指令執行方、交易平臺及程序的提供者，必然掌握了更多交易信息，因而，銀行對于電子銀行交易證據負有保全義務。如銀行未能及時、有效地保全涉訴糾紛的證據，則應當承擔相應的后果。

（三）未授權電子銀行支付糾紛損失分擔的考量

在未授權支付糾紛中，電子交易由客戶發出交易指令，銀行驗證后執行交易指令即可完成，由于登錄方式、電子簽名的驗證方式以及動態驗證等都在客戶的控制之下，因而根據前述客戶未能妥善保管密碼的推定，客戶很難舉證泄露密碼的行為非本人或其授權的其他人實施，而在這個電子支付交易過程中，銀行對于風險控制顯然處于更加優勢地位，法院將更多舉證責任分配給銀行較為合理。但對于客戶來說，其舉證義務應當包括：首先，銀行與客戶法律關系成立的事實，即客戶在銀行處開立了電子銀行賬戶，且盡到對相關身份認證介質的妥善保存義務；其次，損失發生的事實，即發生了未經客戶授權實施的電子支付交易，客戶產生資金等損失；第三，及時采取了補救措施。即客戶在知道或應當知道損失發生后的合理時間內采取通知銀行對涉案銀行卡掛失支付、報警等避免損失擴大的措施。而銀行要免除自身責任，其舉證的內容應當包括：一、銀行在執行電子交易指令的過程中不存在過錯。即銀行在接受客戶的交易指令過程中，按照雙方約定的方式進行電子簽名認證，通過交易驗證碼等方式確認客戶身份后執行電子交易指令，且及時將交易變動的結果按照事先約定的方式通知了原告，據此推斷該交易系客戶本人或其授權的其他人實施；二、在交易全程已經盡到風險提示和通知義務。銀行應當證明在電子交易過程中，其在交易開通、交易過程以及其他存在風險的環節都進行了全面、清晰且與業務本身的風險程度相當、合理的風險提示，并將交易變動按照事先約定的途徑通知了客戶。綜上，在電子銀行交易糾紛中，銀行只有提供證據證明其執行的電子交易指令系經客戶授權，或雖非客戶本人授權，但系客戶存在泄露自身身份信息、登錄密碼、驗證密碼等嚴重的違約行為，而銀行在提供服務的過程中也盡到了相應的風險提示等義務即已盡到依約提供電子銀行服務、提供合理的安全保障、作出風險提示、準確處理電子交易指令、及時提示可疑交易或提供專業咨詢等義務，那么應由客戶自擔全部損失。反之，則需根據雙方過錯比例分擔損失。法院在綜合分析各方對既有損失原因力大小的前提下，確定損失的責任分擔。