论文部分内容阅读
银行在电子支付业务中常见的风险主要包括:银行自身运行系统不完善、业务处理人员操作不规范;客户自身安全意识薄弱、防范技能不足;身份认证风险;网络传输中的安全保密风险;银行与第三方服务提供商合作时,银行内部网络与第三方服务提供商网络接口耦合不足、安全保护措施不到位;相关法律法规不完善,相对滞后于电子支付业务发展。这些风险因素一旦实际发生都可能导致银行未能按照合同约定向客户提供服务,甚至造成客户金钱上的损失。为了有效地防控这些风险,银行有必要注意以下事项。
完善合同、服务章程等法律文件
在实际操作中,电子支付业务很多还是依据内部规章、格式合同、契约性文件进行。这些文件对银行和客户、银行和第三方在电子支付业务中可能产生的一系列权利义务进行事先约定和明确,在目前法律未有明确规定的情况下,是银行与当事人之间的重要权责依据,成为调整银行与当事人之间的重要约束规范。在银行与当事人之间的契约性文件中,一方面,应尽可能详尽地约定双方权利义务;另一方面,对于立法滞后给银行在从事电子支付业务时带来的潜在法律风险,银行可以通过与当事人之间的约定将其分摊出去。
首先,银行与客户之间的协议要健全。电子支付业务是技术性较强的业务,客户对一些环节和规则并不十分了解,因此协议中应对电子支付的内容和类型、电子交易记录的确认和领取方式、错误操作的纠正方法、交易规则、认证方式等内容进行清晰地描述和界定。协议应加强对客户安全防范义务的约定,并约定因客户违反该义务导致的损失银行免于承担责任,从而一定程度降低客户方风险,而且银行面对此类索赔时也有了更大的抗辩空间。对此,《电子银行业务管理办法》第八十九条第二款规定“因客户有意泄漏交易密码,或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的,金融机构可以根据协议的约定免于承担责任,但法律另有规定的除外。”《电子支付指引(第一号)》也有类似规定,“客户应妥善保管、使用电子支付交易存取工具。有关电子支付业务资料、存取工具被盗或遗失,应按约定方式和程序及时通知银行。”协议还应重视对银行与客户之间有关责任分担、免责的约定。如在协议中明确约定因供电、通讯、网络系统故障,或因交易指令传递出现错误等情况导致的损失,双方如何承担责任、银行是否可以免责的问题。从而银行可能面临的难以预测和控制的风险有望被部分或全部分摊出去。为避免在发生纠纷之后双方纠缠不清,为促成纠纷的迅速解决,减少损失,协议中还应明确约定合同成立地、生效时间、争议解决方式和管辖权等等。
其次,银行与第三方服务机构之间的协议要适当转移银行可能面临的风险。第三方服务机构主要包括为银行的电子支付业务提供电力、通讯、网络支持的运营商,以及作为银行软硬件供应商的第三方机构。银行在与第三方服务机构签订合作协议时尤其应注意:就责任承担和免责的约定,银行与第三方之间的约定同银行与客户之间的权责划分是否衔接的问题。防止出现银行根据相关规定对客户进行了赔付之后,银行向第三方机构的追偿却由于第三方享有约定免责而落空的情况。《电子支付指引(第一号)》第四十二条第二款规定:“因第三方服务机构的原因造成客户损失的,银行应予赔偿,再根据与第三方服务机构的协议进行追偿。”由于该条款对“第三方服务机构的原因”是否由过错引起未作规定,那么似乎无论是何种原因,即使不是由于第三方服务机构的过错而只要是由于它的原因造成的损失,银行都应当向客户承担赔偿责任。这种情况下,如果银行与第三方服务机构签订的免责条款免除了第三方服务机构由于不可控的原因造成的损失的赔偿责任,那么最终只能是银行为此埋单。所以在与第三方服务机构的协议中银行应争取将第三方服务机构的原因导致的损失全部纳入第三方服务机构的责任范围,另外不再约定免责事由。
认真履行法定和约定的义务
作为银行业务运行的平台,电子银行的安全性和可靠性的要求较高,其风险超出了传统意义上金融风险的概念,电子银行的风险不仅包括传统意义上的金融风险,还包括技术风险等;同时,银行风险已不仅来源于银行与客户之间的互动关系,很大程度与第三方行为有关。针对电子银行的特殊性,我国近年来出台了若干相关法规、规章,旨在加强对电子银行业务的规范、风险的防范和有效的监管。
保证电子支付业务处理系统的安全性。《电子支付指引(第一号)》第二十六条、第二十九条、第三十条都要求银行应加强电子支付的安全保障,其中重点强调了安全的网络系统是电子支付安全保障的基础。
依法进行电子银行安全评估。《电子银行业务管理办法》和《电子银行安全评估指引》规定电子银行安全评估是金融机构开办或持续经营电子银行业务的必要条件,也是金融机构电子银行业务风险管理与监管的重要手段。根据有关规定,银行应至少每两年进行一次全面的评估,评估机构优先选择经银监会资质认定的外部专业安全评估机构。
加强用户身份验证管理。《关于做好网上银行风险管理和服务的通知》规定各商业银行最迟于2007年12月31日前应对所有网上银行高风险账户操作统一使用由基本身份认证和附加身份认证组成的双重身份认证,同时对“高风险账户操作”进行了限制性界定。
加强公众网上银行安全教育。《关于做好网上银行风险管理和服务的通知》规定银行应切实承担起对网上银行客户的安全教育责任,并分四个方面明确了安全教育的最低要求,如在本行网站首页显著位置开设电子银行安全教育栏目,印制并向客户配发安全宣传折页或手册,在网上银行使用过程中应在电脑屏幕上向用户醒目提示相关的安全注意事项等。
履行电子支付风险的公开披露义务。根据《电子支付指引(第一号)》第八条的规定,办理电子支付业务的银行应向客户公开披露如下内容:电子支付交易品种可能存在的全部风险,客户使用电子支付交易品种可能产生的风险,提醒客户妥善保管、使用或授权他人使用电子支付交易存取工具的警示性信息。商业银行可以考虑通过在营业网点及电子银行界面的醒目位置,或在与客户的申请书、合同中进行信息披露以落实此规定内容。
关注免责事由
从我国有关法律规定及司法实践来看,银行为了免责必须举证存在免责事由,为此,银行应重点关注以下免责事由。
不可抗力。根据我国法律其构成三要件为:(1)不能预见,即一般人以现有的常规技术水平无法预见到此种情况的发生;(2)不能避免,即当事人已经尽到自己的最大努力仍然没有办法避免此种情况的发生;(3)不能克服,即当事人在此种情形发生以后,已经尽了自己的最大努力,但无法克服此种情形所造成的损害后果。但“因不可抗力造成电子支付指令未执行、未适当执行、延迟执行的,银行应当采取积极措施防止损失扩大。”否则就扩大损失部分,银行无权主张免责。
客户自身过错。客户损失的发生完全是由于客户自身过错或者客户与银行都有过错的情况下,根据客户的过错程度银行可以主张免除或减轻责任。在适用无过错归责原则情况下,因客户自身故意或重大过失导致的损失银行通常可以成功主张减免责任,如客户有意泄漏交易密码,或者客户对自己的财产毫不顾忌、极不注意,或者未尽到应尽的安全防范与保密义务等。根据《电子签名法》的规定,电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,或者有其他过错,给电子签名依赖方(如银行)造成损失的,承担赔偿责任。电子客户仅有一般过失时,银行主张免除责任或者根据过失相抵原则主张减轻责任的,难度较大,但在法律对此无明确规定情况下不失为银行的一种抗辩事由。
第三方过错。虽然我国相关法规、规章将与银行合作为银行电子支付业务提供电子、通讯等网络服务的网络服务商的过错排除在银行可以向客户主张免责的事由之外,但是对于诸如电子认证服务机构以及安全评估机构的过错导致客户遭受损失的,银行仍可以主张减免责任。《电子签名法》第二十八条规定电子签名人以及电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。《电子支付指引》第三十四条也有类似规定,“如客户因依据该认证服务进行交易遭受损失,认证服务机构不能证明自己无过错,应依法承担相应责任。”《电子银行业务管理办法》以及《电子银行安全评估指引》规定电子银行安全评估机构是金融机构开办或持续经营电子银行业务的必要条件,金融机构应定期对电子银行系统进行安全评估。如果安全评估机构对银行电子支付系统评估有误,而银行基于对评估机构作出的评估结果的信赖而进行的电子支付行为导致客户损失,评估机构应该负责赔偿,银行有权主张免责。
受害人同意。在不违反法律、公共道德的前提下,受害人事前明确做出自愿承担某种损害结果的意思表示时,银行可以免责。其特点为:意思表示明确、自愿承担、不违反法律和公德,损害发生以前做出、受害人单方意思表示即可成立。
约定免责事由。银行可以以合同约定排除或限制其未来责任。一方面,可以在合同中对“不可抗力”作扩张性解释,扩大其外延,从而扩大银行免责事由的范围;另一方面,根据过往经验教训以及业务情况,拟制其他免责事由。如建行龙卡通领用协议、信用卡领用协议等卡类协议均将“供电、通讯等客观原因”以及“暂时的网络通讯故障”约定为银行的免责事由。但应注意,为防止一方当事人滥用交易优势订立不合理的合同,《合同法》规定:因故意或重大过失造成对方财产损失的,免则条款无效;提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的,该条款无效。所以银行在拟制免责条款时既要分摊风险,又要注意内容公平、合法。
注意保存证据资料
随着《电子签名法》的出台,数据电文被明确地认定为是符合法律、法规要求的书面形式。因此,针对电子支付业务,银行在注意保存传统意义上的证据资料的同时,更应注意保存数据电文。银行对电子支付指令的发起行应建立必要的安全程序,对客户身份和电子支付指令进行确认,并形成日志文件等记录;银行还应妥善保管电子支付业务的交易记录,对电子支付业务的差错应详细备案登记,记录内容应包括差错时间、差错内容与处理部门及人员姓名、客户资料、差错影响或损失、差错原因、处理结果等;银行还应采取必要措施保护电子支付交易数据的完整性和可靠性:按照会计档案管理的要求,对电子支付交易数据,以纸介质或磁性介质的方式进行妥善保存(保存期限为5年),并方便调阅。
(作者单位:中国建设银行总行法律部)
完善合同、服务章程等法律文件
在实际操作中,电子支付业务很多还是依据内部规章、格式合同、契约性文件进行。这些文件对银行和客户、银行和第三方在电子支付业务中可能产生的一系列权利义务进行事先约定和明确,在目前法律未有明确规定的情况下,是银行与当事人之间的重要权责依据,成为调整银行与当事人之间的重要约束规范。在银行与当事人之间的契约性文件中,一方面,应尽可能详尽地约定双方权利义务;另一方面,对于立法滞后给银行在从事电子支付业务时带来的潜在法律风险,银行可以通过与当事人之间的约定将其分摊出去。
首先,银行与客户之间的协议要健全。电子支付业务是技术性较强的业务,客户对一些环节和规则并不十分了解,因此协议中应对电子支付的内容和类型、电子交易记录的确认和领取方式、错误操作的纠正方法、交易规则、认证方式等内容进行清晰地描述和界定。协议应加强对客户安全防范义务的约定,并约定因客户违反该义务导致的损失银行免于承担责任,从而一定程度降低客户方风险,而且银行面对此类索赔时也有了更大的抗辩空间。对此,《电子银行业务管理办法》第八十九条第二款规定“因客户有意泄漏交易密码,或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的,金融机构可以根据协议的约定免于承担责任,但法律另有规定的除外。”《电子支付指引(第一号)》也有类似规定,“客户应妥善保管、使用电子支付交易存取工具。有关电子支付业务资料、存取工具被盗或遗失,应按约定方式和程序及时通知银行。”协议还应重视对银行与客户之间有关责任分担、免责的约定。如在协议中明确约定因供电、通讯、网络系统故障,或因交易指令传递出现错误等情况导致的损失,双方如何承担责任、银行是否可以免责的问题。从而银行可能面临的难以预测和控制的风险有望被部分或全部分摊出去。为避免在发生纠纷之后双方纠缠不清,为促成纠纷的迅速解决,减少损失,协议中还应明确约定合同成立地、生效时间、争议解决方式和管辖权等等。
其次,银行与第三方服务机构之间的协议要适当转移银行可能面临的风险。第三方服务机构主要包括为银行的电子支付业务提供电力、通讯、网络支持的运营商,以及作为银行软硬件供应商的第三方机构。银行在与第三方服务机构签订合作协议时尤其应注意:就责任承担和免责的约定,银行与第三方之间的约定同银行与客户之间的权责划分是否衔接的问题。防止出现银行根据相关规定对客户进行了赔付之后,银行向第三方机构的追偿却由于第三方享有约定免责而落空的情况。《电子支付指引(第一号)》第四十二条第二款规定:“因第三方服务机构的原因造成客户损失的,银行应予赔偿,再根据与第三方服务机构的协议进行追偿。”由于该条款对“第三方服务机构的原因”是否由过错引起未作规定,那么似乎无论是何种原因,即使不是由于第三方服务机构的过错而只要是由于它的原因造成的损失,银行都应当向客户承担赔偿责任。这种情况下,如果银行与第三方服务机构签订的免责条款免除了第三方服务机构由于不可控的原因造成的损失的赔偿责任,那么最终只能是银行为此埋单。所以在与第三方服务机构的协议中银行应争取将第三方服务机构的原因导致的损失全部纳入第三方服务机构的责任范围,另外不再约定免责事由。
认真履行法定和约定的义务
作为银行业务运行的平台,电子银行的安全性和可靠性的要求较高,其风险超出了传统意义上金融风险的概念,电子银行的风险不仅包括传统意义上的金融风险,还包括技术风险等;同时,银行风险已不仅来源于银行与客户之间的互动关系,很大程度与第三方行为有关。针对电子银行的特殊性,我国近年来出台了若干相关法规、规章,旨在加强对电子银行业务的规范、风险的防范和有效的监管。
保证电子支付业务处理系统的安全性。《电子支付指引(第一号)》第二十六条、第二十九条、第三十条都要求银行应加强电子支付的安全保障,其中重点强调了安全的网络系统是电子支付安全保障的基础。
依法进行电子银行安全评估。《电子银行业务管理办法》和《电子银行安全评估指引》规定电子银行安全评估是金融机构开办或持续经营电子银行业务的必要条件,也是金融机构电子银行业务风险管理与监管的重要手段。根据有关规定,银行应至少每两年进行一次全面的评估,评估机构优先选择经银监会资质认定的外部专业安全评估机构。
加强用户身份验证管理。《关于做好网上银行风险管理和服务的通知》规定各商业银行最迟于2007年12月31日前应对所有网上银行高风险账户操作统一使用由基本身份认证和附加身份认证组成的双重身份认证,同时对“高风险账户操作”进行了限制性界定。
加强公众网上银行安全教育。《关于做好网上银行风险管理和服务的通知》规定银行应切实承担起对网上银行客户的安全教育责任,并分四个方面明确了安全教育的最低要求,如在本行网站首页显著位置开设电子银行安全教育栏目,印制并向客户配发安全宣传折页或手册,在网上银行使用过程中应在电脑屏幕上向用户醒目提示相关的安全注意事项等。
履行电子支付风险的公开披露义务。根据《电子支付指引(第一号)》第八条的规定,办理电子支付业务的银行应向客户公开披露如下内容:电子支付交易品种可能存在的全部风险,客户使用电子支付交易品种可能产生的风险,提醒客户妥善保管、使用或授权他人使用电子支付交易存取工具的警示性信息。商业银行可以考虑通过在营业网点及电子银行界面的醒目位置,或在与客户的申请书、合同中进行信息披露以落实此规定内容。
关注免责事由
从我国有关法律规定及司法实践来看,银行为了免责必须举证存在免责事由,为此,银行应重点关注以下免责事由。
不可抗力。根据我国法律其构成三要件为:(1)不能预见,即一般人以现有的常规技术水平无法预见到此种情况的发生;(2)不能避免,即当事人已经尽到自己的最大努力仍然没有办法避免此种情况的发生;(3)不能克服,即当事人在此种情形发生以后,已经尽了自己的最大努力,但无法克服此种情形所造成的损害后果。但“因不可抗力造成电子支付指令未执行、未适当执行、延迟执行的,银行应当采取积极措施防止损失扩大。”否则就扩大损失部分,银行无权主张免责。
客户自身过错。客户损失的发生完全是由于客户自身过错或者客户与银行都有过错的情况下,根据客户的过错程度银行可以主张免除或减轻责任。在适用无过错归责原则情况下,因客户自身故意或重大过失导致的损失银行通常可以成功主张减免责任,如客户有意泄漏交易密码,或者客户对自己的财产毫不顾忌、极不注意,或者未尽到应尽的安全防范与保密义务等。根据《电子签名法》的规定,电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,或者有其他过错,给电子签名依赖方(如银行)造成损失的,承担赔偿责任。电子客户仅有一般过失时,银行主张免除责任或者根据过失相抵原则主张减轻责任的,难度较大,但在法律对此无明确规定情况下不失为银行的一种抗辩事由。
第三方过错。虽然我国相关法规、规章将与银行合作为银行电子支付业务提供电子、通讯等网络服务的网络服务商的过错排除在银行可以向客户主张免责的事由之外,但是对于诸如电子认证服务机构以及安全评估机构的过错导致客户遭受损失的,银行仍可以主张减免责任。《电子签名法》第二十八条规定电子签名人以及电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。《电子支付指引》第三十四条也有类似规定,“如客户因依据该认证服务进行交易遭受损失,认证服务机构不能证明自己无过错,应依法承担相应责任。”《电子银行业务管理办法》以及《电子银行安全评估指引》规定电子银行安全评估机构是金融机构开办或持续经营电子银行业务的必要条件,金融机构应定期对电子银行系统进行安全评估。如果安全评估机构对银行电子支付系统评估有误,而银行基于对评估机构作出的评估结果的信赖而进行的电子支付行为导致客户损失,评估机构应该负责赔偿,银行有权主张免责。
受害人同意。在不违反法律、公共道德的前提下,受害人事前明确做出自愿承担某种损害结果的意思表示时,银行可以免责。其特点为:意思表示明确、自愿承担、不违反法律和公德,损害发生以前做出、受害人单方意思表示即可成立。
约定免责事由。银行可以以合同约定排除或限制其未来责任。一方面,可以在合同中对“不可抗力”作扩张性解释,扩大其外延,从而扩大银行免责事由的范围;另一方面,根据过往经验教训以及业务情况,拟制其他免责事由。如建行龙卡通领用协议、信用卡领用协议等卡类协议均将“供电、通讯等客观原因”以及“暂时的网络通讯故障”约定为银行的免责事由。但应注意,为防止一方当事人滥用交易优势订立不合理的合同,《合同法》规定:因故意或重大过失造成对方财产损失的,免则条款无效;提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的,该条款无效。所以银行在拟制免责条款时既要分摊风险,又要注意内容公平、合法。
注意保存证据资料
随着《电子签名法》的出台,数据电文被明确地认定为是符合法律、法规要求的书面形式。因此,针对电子支付业务,银行在注意保存传统意义上的证据资料的同时,更应注意保存数据电文。银行对电子支付指令的发起行应建立必要的安全程序,对客户身份和电子支付指令进行确认,并形成日志文件等记录;银行还应妥善保管电子支付业务的交易记录,对电子支付业务的差错应详细备案登记,记录内容应包括差错时间、差错内容与处理部门及人员姓名、客户资料、差错影响或损失、差错原因、处理结果等;银行还应采取必要措施保护电子支付交易数据的完整性和可靠性:按照会计档案管理的要求,对电子支付交易数据,以纸介质或磁性介质的方式进行妥善保存(保存期限为5年),并方便调阅。
(作者单位:中国建设银行总行法律部)