第十一節　網上銀行

案例12：網上銀行儲戶信息被盜，銀行未盡安全保障義務應擔責

摘要：銀行網站被不法分子使用“木馬”程序入侵，致客戶信息被盜及存款被冒領，銀行未盡儲戶資金安全的保障義務，應承擔相應的民事責任。

2002年9月，福州市民姚某到中國建設銀行福州廣安支行辦理人民幣活期儲蓄業務，建行廣安支行向姚某出具了通存通兌的活期儲蓄存折和龍卡儲蓄卡各一張。至2006年6月11日，原告的賬戶存款余額為6.7萬元。

2006年6月底，姚某發現其賬戶存款金額僅剩400元。他到建行廣安支行查詢后發現，其存款于2006年6月12日在建行福州市連江支行及其鳳城分理處被他人取走。

經公安機關調查，犯罪嫌疑人是使用“木馬”程序入侵互聯網的網站服務器，竊取了包括姚某在內的一些網上銀行客戶的身份證號碼、銀行賬號及密碼，利用這些信息偽造了受害者身份證和一張磁條已被損壞的龍卡儲蓄卡，并持假的身份證和龍卡儲蓄卡到建行連江支行支取姚某的存款。

針對已損壞的龍卡儲蓄卡，建行連江支行的工作人員在犯罪嫌疑人填寫了請求換卡的“特殊業務申請書”后，為其換了一張真卡。犯罪嫌疑人持卡支取了姚某活期儲蓄賬戶上的存款6.7萬元。姚某遂向法院提起訴訟，要求銀行賠償其存款被冒領的損失。

◎裁判要旨

福州市中級法院終審判決認為，建行廣安支行未盡保障儲戶資金安全、銀行結算賬戶信息保密以及及時兌付存款等相關義務，造成姚某儲蓄存款被他人冒取的后果，應當根據儲蓄合同的約定繼續履行相應的支付義務，判決建行廣安支行向姚某償付人民幣6.7萬元及相應的利息。[51]

◎法條鏈接

1.《電子銀行業務管理辦法》第四十一條　金融機構應當建立相應的機制，搜索、監測和處理假冒或有意設置類似于金融機構的電話、網站、短信號碼等信息騙取客戶資料的活動。

金融機構發現假冒電子銀行的非法活動后，應向公安部門報案，并向中國銀監會報告。同時，金融機構應及時在其網站、電話語音提示系統或短信平臺上，提醒客戶注意。

第四十三條　金融機構應建立電子銀行入侵偵測與入侵保護系統，實時監控電子銀行的運行情況，定期對電子銀行系統進行漏洞掃描，并建立對非法入侵的甄別、處理和報告機制。

2.中國銀行業監督管理委員會《關于做好網上銀行風險管理和服務的通知》

加強用戶身份驗證管理。各商業銀行最遲于2007年12月31日前應對所有網上銀行高風險賬戶操作統一使用雙重身份認證。雙重身份認證由基本身份認證和附加身份認證組成。基本身份認證是指網上銀行用戶知曉并使用，預先注冊在銀行的本人用戶名及口令/密碼；附加身份認證是指網上銀行用戶持有、保管并使用可實現其他身份認證方式的信息（物理介質或電子設備等）。附加身份認證信息應不易被復制、修改和破解。

高風險賬戶操作應至少包括：向非本人（不含與本行簽訂業務合作等法律協議和客戶預先約定的指定賬戶，如：代收費、第三方支付、貸款還款賬戶等）賬戶轉移資金單筆超過1000元或日累計超過5000元。

3.《電子支付指引（第一號）》第二十五條　銀行應根據審慎性原則并針對不同客戶，在電子支付類型、單筆支付金額和每日累計支付金額等方面做出合理限制。

銀行通過互聯網為個人客戶辦理電子支付業務，除采用數字證書、電子簽名等安全認證方式外，單筆金額不應超過1000元人民幣，每日累計金額不應超過5000元人民幣。

銀行為客戶辦理電子支付業務，單位客戶從其銀行結算賬戶支付給個人銀行結算賬戶的款項，其單筆金額不得超過5萬元人民幣，但銀行與客戶通過協議約定，能夠事先提供有效付款依據的除外。

銀行應在客戶的信用卡授信額度內，設定用于網上支付交易的額度供客戶選擇，但該額度不得超過信用卡的預借現金額度。

4.中國人民銀行、中國銀行業監督管理委員會、公安部、國家工商行政管理局《關于加強銀行卡安全管理預防和打擊銀行卡犯罪的通知》

嚴格自助轉賬業務的處理。未經持卡人主動申請并書面確認，發卡機構不得為持卡人開通電話轉賬、ATM轉賬、網上銀行轉賬等自助轉賬類業務；為持卡人開通自助轉賬業務時，要向持卡人充分提示開通有關業務的風險，并要對持卡人進行更為嚴格的真實身份核查，確保實名開戶；未履行職責，產生資金風險的，要依法承擔責任。

◎重要提示

目前導致網上銀行業務產生民事糾紛的類型主要有：客戶資金被竊取；交易資料被刪除或修改；電子資金被延遲或錯誤撥劃；因故無法為客戶提供網銀服務等。上述類型主要由以下原因引起：一、銀行業務網絡遭黑客攻擊；二、操作系統自身不完善；三、未經儲戶同意擅自開通網銀業務的；四、因客戶原因密碼泄露；五、客戶自身操作失誤。在提起的訴訟類型中，有侵權糾紛、損害賠償糾紛、儲蓄存款合同糾紛、違約賠償糾紛及網絡服務合同糾紛等。

在上述第一、第二和第三種原因下，法院一般認定銀行具有過錯，承擔民事責任。其理由有認為銀行未盡安全保障義務的，也有以銀行管理不善為由判其承擔責任的。林某訴某銀行儲蓄存款合同糾紛案：2013年10月14日，原告林某在被告銀行某支行開戶辦理銀行卡一張，并預留尾號為11的手機號，同時注冊了網上、手機和電話銀行功能。次日，林某便將其注銷，另開戶辦理一張銀行卡，并預留尾號為63的手機號，也注冊開通了相同功能。當時其轉款并扣除按揭房貸后，賬戶余額為32019元。次年3月，其發現賬戶余額僅為9元，遂向公安機關報案。而在2014年2月中旬，罪犯王某從網上獲取了包括原告的姓名、身份證號碼、銀行卡號、手機號在內的個人信息資料，后通過使用特別定制的軟件對大量數據進行對比碰撞，非法獲取了原告在被告處開立的賬戶的網上銀行密碼等信息。之后王某先冒用原告的名義開通銀行“e支付”業務，短信提示是新開戶賬戶，但綁定了原告已注銷賬戶預留尾號為11的手機號。其后，王某通過網上操作，將該賬戶綁定的手機號進行了三次更改，并通過更改后的手機以接收動態密碼的形式共轉賬11筆，金額共計32010元。林某以銀行未盡到儲蓄資金安全保障義務為由向法院提起民事賠償訴訟。法院認為：銀行作為金融機構，在開通其“e支付”業務的安全交易技術上存在不完善之處，且未能告知林某，以使林某個人能夠針對該情況采取一定的防范手段，故被告銀行并未盡到嚴格的安全保障注意義務。而林某將其個人信息存儲于網絡，致使王某從網絡獲取了包括其姓名、身份證號碼、銀行卡號、手機號等信息在內的個人資料。林某在履行儲蓄存款合同時，也未盡到妥善保管好個人信息的一般注意義務，雙方均有一定責任，并酌定銀行、林某分別擔責70％、30％。[52]

第四和第五種原因造成的客戶損失，銀行一般不承擔責任。但密碼由客戶泄露的舉證責任一般分配給銀行。法院一般認為，銀行較之儲戶來講，有著更大的信息優勢和資源優勢，從而也更有能力和條件來完善操作程序和更新安全設施，進而保證儲戶的財產安全。而相對于銀行來講，儲戶處于明顯的弱勢地位，讓其舉證銀行存在過錯，顯然有違公平原則。依據《最高人民法院〈關于天津市郵政局與焦長年存單糾紛一案中如何分配舉證責任問題的函復〉的通知》的精神，存款人只需證明自己的存折或銀行卡沒有丟失即已完成舉證責任。

因網銀不能提供或不能及時提供網絡服務引起的網絡服務合同糾紛。造成網銀不能提供服務的原因大致有計算機病毒、電磁波輻射泄露、網絡擁塞、網絡崩潰、斷電等。盡管各家網上銀行業務客戶服務協議書中幾乎無一例外地寫有免責條款：“如遇到自然災害等不可抗力事件，或其他不可預見的非常情況發生，從而導致影響客戶辦理網上銀行有關業務時，銀行方不承擔任何責任。”而客戶服務協議書屬于格式合同，該免責條款是否有效，上述哪些事由屬于不可抗力可予免責，哪些屬于銀行自身技術問題而不能免責，尚需在司法審判實踐中予以明確。

◎風險規避

一、加強對網上交易數據的保存和管理

由于原始交易數據由銀行而非客戶掌握，因此，發生糾紛后，銀行極有可能被法院分配更多的或主要的舉證責任。如因銀行管理上的原因而舉證不能，極有可能承擔不利的法律后果。通過舉證責任的分配而使當事人的訴訟地位實質上平等是司法正義的訴求，這一訴求在司法判例和司法解釋中已有很多的體現。如最高人民法院《關于審理存單糾紛案件的若干規定》中對存單持有人與金融機構之間舉證責任的分配。

二、采取銀行風險安全提示

未盡風險提示義務，因該風險造成客戶損失的，銀行可能被認定有過錯。開辦網上銀行的機構應向客戶提供書面或電子風險預警及安全提示，并依據網上犯罪的特點及時變更及增加提示內容并向客戶發布。如密碼安全、交易記錄的記載、銀行網址的核實等。

三、嚴格遵守支付限額的管理規定

嚴格遵守支付限額的管理規定。銀行如違反支付限額的有關規定，超過限額支付，造成儲戶的損失擴大，應就擴大的部分承擔賠償責任。劉某訴中國建設銀行股份有限公司佛山永安支行財產損害賠償糾紛案：法院審理認為，依照中國人民銀行頒布的《電子支付指引（第一號）》的規定，銀行通過互聯網為個人客戶辦理電子支付業務，單筆金額不應超過1000元人民幣，每日累計金額不應超過5000元人民幣。而被告在辦理原告賬戶電子支付業務時，未執行上述規定，致使他人能夠一次性轉賬33200元，造成原告損失擴大，故被告應對超出支付限額部分承擔一定的賠償責任。法院遂根據被告的過錯程度判令被告承擔超出支付限額部分的40％。[53]

四、訴訟對策

客戶只起訴開戶銀行的，如接受轉款的銀行違反支付限額規定，開戶銀行應申請追加其為第三人參與訴訟；

客戶不起訴，而是通過其他方式向開戶銀行主張權利的，如被盜資金尚在接受轉款的銀行，開戶銀行應以自己的名義直接向接受轉款的銀行主張返還，或通過刑事追贓程序予以追回；

不法分子已經從其他銀行支取款項的，因接受轉款的銀行使用虛假身份資料為其開立賬戶，客觀上為不法分子盜取客戶存款提供了方便，客戶存款損失與銀行的開戶審查過錯之間具有因果關系，應承擔過錯賠償責任；

客戶發現存款被盜后未及時通知銀行主張權利或報警的，銀行對客戶未及時采取措施而致損失擴大的部分不承擔責任。