论文部分内容阅读
摘要 本文对手机银行的风险各环节,包括客户身份审查及认证,产品销售及宣传,客户风险提示等环节可能存在的法律风险进行分析,并提出防范上述法律风险的几点建议。
关键词 手机银行 法律风险
中图分类号:D920 文献标识码:A
据艾瑞统计,截至今年二季度,中国智能手机用户数已达到2.9亿户,3G用户规模超过1.8亿人 ,可以说智能手机上网的大环境已经形成,移動网络产业链上的各类企业都在致力于更多服务的探索和研发,各类咨询、社交、购物、生活类客户端不断推陈出新,中国的手机用户越来越习惯于通过手机享受各类服务和生活。
手机银行是商业银行利用现代通讯技术,借助于移动网络通信平台将客户的手机连接至银行,向客户提供信息和金融交易服务的新型金融服务方式。据统计,全国共有50家银行推出了手机银行客户端,客户总量和交易量均呈迅猛发展态势 。
在这样的背景下,如何实现手机银行业务快速发展,抢占市场份额,同时又规避掉新型金融工具所带来的风险,受到各银行的普遍关注。本文主要对手机银行的几个区别于传统银行业务的风险进行阐述,并提出法律应对建议。
一、手机银行主要法律风险
(一)客户身份审核与认证。
1、身份认证选择。
《电子支付指引》(中国人民银行公告[2005]第23号)第十条规定,“银行为客户办理电子支付业务,应根据客户性质、电子支付类型、支付金额等,与客户约定适当的认证方式,如密码、密钥、数字证书、电子签名等”。由于手机银行的高技术特性,各类安全认证手段日新月异,黑客破解手段也随之变化,银行如果为高风险的移动金融服务,配套安全级别较低的身份认证方式,一旦安全认证手段被攻破或冒用,客户资金损失,出现民事诉讼,客户可能将以银行未能履行与客户约定适宜的安全认证手段要求银行承担赔偿责任。
与传统网上银行相比,手机银行的突出优势是可移动及便携性。我国金融机构对外接或携带的硬件证书或动态口令卡的安全认证方式普遍持观望态度,尽管安全级别高,但便携性大打折扣。目前国内较为普遍的做法是绑定手机的MAC地址等机器设备码,通过加密算法生成设备串号,作为银行识别客户身份的重要认证信息。而这种做法本身有其局限性,一是市面上手机型号及对应的操作系统繁多,并非都能照上述规则计算出对应的设备串号,返回信息可能不被银行业务系统的容错程序识别,一旦被黑客利用可以实现非法登录;二是黑客一旦嗅探到客户移动终端的MAC地址,也可伪造身份认证信息登录该客户的手机银行。如果银行方没有采取很好的其他认证方式进行辅助认证,或者进行辅助认证的认证方式安全级别较低,同样存在风险隐患。
2、非客户授权的交易。
客户输入与银行约定的交易安全认证方式,包括账号、登录密码、交易密码及动态密码等安全认证方式,银行收到上述信息后按与客户约定对上述电子签名信息进行核实无误,识别客户身份后,按客户指令进行交易。
在实务中,客户的电子签名存在被冒用,银行收到非客户授权的交易的情况,出现这一情况,主要由于以下三个方面的原因:一是客户保管个人账户信息和电子签名不善,导致丢失或被他人冒用;二是客户网络及终端安全意识淡薄,受到黑客攻击被盗取账户信息及电子签名;三是客户被不法分子欺骗,主动将账户信息及电子签名泄露给第三方。
上述三方面原因容易导致客户资金损失而引发民事诉讼。对这一类型民事纠纷责任划分,我国相关法律、规章规定存在矛盾。按照《中华人民共和国电子签名法》规定银行只要按“发件人认可的方法对数据电文进行验证后结果相符的”,视为发件人发送,银行不是过错方,不承担违约责任。而《电子银行业务管理办法》(中国银行业监督管理委员会[2006]第5号令,以下简称《办法》)中明确:“金融机构在提供电子银行服务时,因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的,金融机构应当承担相应责任。因客户有意泄漏交易密码,或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的,金融机构可以根据服务协议的约定免于承担相应责任,但法律法规另有规定的除外。”也就是说,只有银行能证明客户存在有意泄漏交易密码,或者未按照服务协议尽到应尽的安全防范与保密义务时才推定银行没有过错,不承担责任,否则将推定银行有过错,应承担责任,由此可见该办法所规定的责任分担机制过分加重了银行责任。虽然《办法》属于规章,法律效力层级较低,应当按照《中华人民共和国电子签名法》进行责任划分,但在实务中,法院常以客户属于弱势群体,应加强银行责任为由,适用《办法》划分客户与银行的责任,加大了银行的风险。
(二)产品销售与宣传。
1、可向其销售的客户类型。
根据《民法通则》、《合同法》以及《最高人民法院关于贯彻执行<中华人民共和国民法通则>若干问题的意见(试行)》的有关规定,无民事行为能力人不能独立进行民事活动,其进行民事活动时应由其法定代理人代理,否则该行为可能无效;限制民事行为能力人,只能进行与他的年龄、智力相适应的民事活动,其他民事活动由他的法定代理人代理或经法定代理人追认后,该行为才有效,但接受奖励、赠与、报酬等纯获利益的行为除外。通过手机银行进行基金、黄金、保险、外汇等理财产品投资的,投资者应具备一定的认知水平和辨别能力,能够认识到投资收益与风险并存,并愿意自行承担投资的风险和损失。笔者认为,限制民事行为能力人、无民事行为能力人并不具备上述投资行为所需的判断力,如银行向上述客户销售此类产品,一旦该类客户出现资金损失产生法律诉讼时,法院可能按照相关法律法规,推定该交易行为无效,由银行承担相应责任。
2、产品宣传方式及内容。
根据最新的调研报告,除了查询转账等传统的银行金融服务外,银行推出的各类特色服务也颇受欢迎,这其中就包括和各类第三方公司合作推出的手机银行商城服务。在对此类产品进行宣传时,要注意选择合适的宣传方式。根据《中华人民共和国广告法》和《广告管理条例实施细则(2004年)》(中华人民共和国国家工商行政管理总局第18号令)的有关规定,为他人发布广告的需首先办理广告经营等级并领取《广告经营许可证》,如果违反上述规定,可能受到工商行政管理机构的相应处罚。 同时通过手机银行、短信等方式向客户推荐产品时,应注意保证银行对用于宣传的图片、视频、文字、图形享有合法的知识产品或使用权。如果向客户提供的上述宣传材料收到其他第三方的合法质疑时,可能导致银行遭受损失,承担相应法律责任。
(三)客户风险提示。
手机银行是通过移动互联网渠道为客户提供各类金融产品和服务,如果银行未能在手机银行业务开通或使用环节,对手机银行电子签名方式及各类功能进行充分的解释和风险提示,客户在其资金被盗的情况下将可能以银行未履行应尽的提示和告知义务要求银行承担赔偿责任。
二、防范手机银行法律风险的建议
(一)完善合同文本,约定适当的免责条款。
在客户开通手机银行业务时,在合同文本中明确约定客户应尽的安全防范和保密义务。详细约定客户对于与电子银行业务相关的身份信息、账户信息和电子签名等负有严格的安全防范和保密义务,如因客户泄露账户信息、电子签名或被诈骗等而导致的资金损失,银行不承担责任。同时考虑到《办法》所规定的责任分担机制过分加重了银行责任,可考虑在合同文本中增加相应的免责条款,约定对于非银行原因(例如不可抗力以及网络故障、通讯故障、电力故障等事故而导致的客户损失免责。
(二)根据业务类型设定不同的认证手段,并持续更新。
为确保手机银行上产品与认证手段的安全性能够匹配,应该根据不同业务类型的安全要求,匹配相应的客户身份认证方式。并建立持续评估机制,对最新推出的产品和认证方式进行安全性评估,根据安全性及客户体验的需要,随时调整匹配规则。
(三)履行客户身份审查义务,加强对银行权益的保护。
原则上银行不得向限制民事行为能力人、无民事行为能力人提供投资理财类的手机银行服务,但考虑到客户的实际需要,应由法定代理人代理,严格履行身份审查义务,建议要求法定代理人陪同开通并由其负责保管相关登录凭证及密码凭证,并在合同文本中载明法定代理人有义务保管上述密碼,对通过密码完成的交易,是同由法定代理人完成,法定代理人不得否认有此对被代理人造成的一切后果。因客户自己或监护人未尽到相关保管义务,致使密码泄露或盗取款项或被诈骗等,由客户和法定代理人自行承担责任。同时,在高风险业务的交易页面或手机银行自助注册该业务的页面,可增加相应提示,即在客户选择已年满十八岁后才进入下一个交易环节,以表明银行已尽到识别客户是否具备相应行为能力的义务。
(四)选择合适的产品宣传角度和方式。
在通过手机银行进行产品宣传环节,为避免银行为第三方合作公司的服务和产品进行推介宣传被认定为网络广告,银行应注意选择合适的宣传角度和方式,尽量从银行所提供的手机银行服务角度对合作第三方的服务和产品进行推介宣传,而不是直接推介宣传合作方的服务和产品。同时应获得客户明确同意,可考虑在合同文本中列明银行有权利用客户提供的联络方式向客户介绍银行的最新产品及服务等。同时对于第三方合作方提供的宣传材料,应在合作协议中约定,合作方应保证其有权授权银行使用宣传材料,且该等授权不会受到任何第三方的合法质疑。如因合作方提供的宣传材料的权利瑕疵导致银行遭受损失的,合作方应承担一切责任。
(五)建立统一的手机银行交易监控平台。
按照监管要求,银行方要切实做好电子渠道的交易监控工作。银行方应建设统一的手机银行交易监控平台,收集客户交易行为及风险事件特征,制定对应的监控规则,并进行风险估值,确定对应的监控策略,并采取包括自动/人工触发短信、电话及人工干预等不同方式进行处理,以实现“实时监控,线上处理”的最终目标。所谓“实时监控”是指监控平台数据来自实时交互的手机银行各类交易数据,而最终要实现的“线上处理”一般是指当监控平台发现可疑交易时,监控人员可以对此交易进行及时阻断,并选择电话渠道与客户进行交易真实意愿核实后,确定该交易是否放行。
(六)加强对客户的安全教育,强化客户风险防范意识。
银行方对内要加强对各级关键岗位人员的操作风险和道德风险安全教育工作,提高风险防范意识;对外建立与同业、证书或安全设备提供商、公安部门的互动交流机制,沟通了解最新的电子银行业务及技术发展方向、新案件的风险特点等内容,优化自身安全策略;对客户采取形式多样的安全教育工作,通过折页、网站、手机银行、短信等多种渠道加强对客户的风险提示,提高客户的风险防范能力。
(作者单位:中国政法大学法硕学院)
注释:
《2012年手机银行客户端评测报告.(网易财经2012年11月20日发布).
关键词 手机银行 法律风险
中图分类号:D920 文献标识码:A
据艾瑞统计,截至今年二季度,中国智能手机用户数已达到2.9亿户,3G用户规模超过1.8亿人 ,可以说智能手机上网的大环境已经形成,移動网络产业链上的各类企业都在致力于更多服务的探索和研发,各类咨询、社交、购物、生活类客户端不断推陈出新,中国的手机用户越来越习惯于通过手机享受各类服务和生活。
手机银行是商业银行利用现代通讯技术,借助于移动网络通信平台将客户的手机连接至银行,向客户提供信息和金融交易服务的新型金融服务方式。据统计,全国共有50家银行推出了手机银行客户端,客户总量和交易量均呈迅猛发展态势 。
在这样的背景下,如何实现手机银行业务快速发展,抢占市场份额,同时又规避掉新型金融工具所带来的风险,受到各银行的普遍关注。本文主要对手机银行的几个区别于传统银行业务的风险进行阐述,并提出法律应对建议。
一、手机银行主要法律风险
(一)客户身份审核与认证。
1、身份认证选择。
《电子支付指引》(中国人民银行公告[2005]第23号)第十条规定,“银行为客户办理电子支付业务,应根据客户性质、电子支付类型、支付金额等,与客户约定适当的认证方式,如密码、密钥、数字证书、电子签名等”。由于手机银行的高技术特性,各类安全认证手段日新月异,黑客破解手段也随之变化,银行如果为高风险的移动金融服务,配套安全级别较低的身份认证方式,一旦安全认证手段被攻破或冒用,客户资金损失,出现民事诉讼,客户可能将以银行未能履行与客户约定适宜的安全认证手段要求银行承担赔偿责任。
与传统网上银行相比,手机银行的突出优势是可移动及便携性。我国金融机构对外接或携带的硬件证书或动态口令卡的安全认证方式普遍持观望态度,尽管安全级别高,但便携性大打折扣。目前国内较为普遍的做法是绑定手机的MAC地址等机器设备码,通过加密算法生成设备串号,作为银行识别客户身份的重要认证信息。而这种做法本身有其局限性,一是市面上手机型号及对应的操作系统繁多,并非都能照上述规则计算出对应的设备串号,返回信息可能不被银行业务系统的容错程序识别,一旦被黑客利用可以实现非法登录;二是黑客一旦嗅探到客户移动终端的MAC地址,也可伪造身份认证信息登录该客户的手机银行。如果银行方没有采取很好的其他认证方式进行辅助认证,或者进行辅助认证的认证方式安全级别较低,同样存在风险隐患。
2、非客户授权的交易。
客户输入与银行约定的交易安全认证方式,包括账号、登录密码、交易密码及动态密码等安全认证方式,银行收到上述信息后按与客户约定对上述电子签名信息进行核实无误,识别客户身份后,按客户指令进行交易。
在实务中,客户的电子签名存在被冒用,银行收到非客户授权的交易的情况,出现这一情况,主要由于以下三个方面的原因:一是客户保管个人账户信息和电子签名不善,导致丢失或被他人冒用;二是客户网络及终端安全意识淡薄,受到黑客攻击被盗取账户信息及电子签名;三是客户被不法分子欺骗,主动将账户信息及电子签名泄露给第三方。
上述三方面原因容易导致客户资金损失而引发民事诉讼。对这一类型民事纠纷责任划分,我国相关法律、规章规定存在矛盾。按照《中华人民共和国电子签名法》规定银行只要按“发件人认可的方法对数据电文进行验证后结果相符的”,视为发件人发送,银行不是过错方,不承担违约责任。而《电子银行业务管理办法》(中国银行业监督管理委员会[2006]第5号令,以下简称《办法》)中明确:“金融机构在提供电子银行服务时,因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的,金融机构应当承担相应责任。因客户有意泄漏交易密码,或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的,金融机构可以根据服务协议的约定免于承担相应责任,但法律法规另有规定的除外。”也就是说,只有银行能证明客户存在有意泄漏交易密码,或者未按照服务协议尽到应尽的安全防范与保密义务时才推定银行没有过错,不承担责任,否则将推定银行有过错,应承担责任,由此可见该办法所规定的责任分担机制过分加重了银行责任。虽然《办法》属于规章,法律效力层级较低,应当按照《中华人民共和国电子签名法》进行责任划分,但在实务中,法院常以客户属于弱势群体,应加强银行责任为由,适用《办法》划分客户与银行的责任,加大了银行的风险。
(二)产品销售与宣传。
1、可向其销售的客户类型。
根据《民法通则》、《合同法》以及《最高人民法院关于贯彻执行<中华人民共和国民法通则>若干问题的意见(试行)》的有关规定,无民事行为能力人不能独立进行民事活动,其进行民事活动时应由其法定代理人代理,否则该行为可能无效;限制民事行为能力人,只能进行与他的年龄、智力相适应的民事活动,其他民事活动由他的法定代理人代理或经法定代理人追认后,该行为才有效,但接受奖励、赠与、报酬等纯获利益的行为除外。通过手机银行进行基金、黄金、保险、外汇等理财产品投资的,投资者应具备一定的认知水平和辨别能力,能够认识到投资收益与风险并存,并愿意自行承担投资的风险和损失。笔者认为,限制民事行为能力人、无民事行为能力人并不具备上述投资行为所需的判断力,如银行向上述客户销售此类产品,一旦该类客户出现资金损失产生法律诉讼时,法院可能按照相关法律法规,推定该交易行为无效,由银行承担相应责任。
2、产品宣传方式及内容。
根据最新的调研报告,除了查询转账等传统的银行金融服务外,银行推出的各类特色服务也颇受欢迎,这其中就包括和各类第三方公司合作推出的手机银行商城服务。在对此类产品进行宣传时,要注意选择合适的宣传方式。根据《中华人民共和国广告法》和《广告管理条例实施细则(2004年)》(中华人民共和国国家工商行政管理总局第18号令)的有关规定,为他人发布广告的需首先办理广告经营等级并领取《广告经营许可证》,如果违反上述规定,可能受到工商行政管理机构的相应处罚。 同时通过手机银行、短信等方式向客户推荐产品时,应注意保证银行对用于宣传的图片、视频、文字、图形享有合法的知识产品或使用权。如果向客户提供的上述宣传材料收到其他第三方的合法质疑时,可能导致银行遭受损失,承担相应法律责任。
(三)客户风险提示。
手机银行是通过移动互联网渠道为客户提供各类金融产品和服务,如果银行未能在手机银行业务开通或使用环节,对手机银行电子签名方式及各类功能进行充分的解释和风险提示,客户在其资金被盗的情况下将可能以银行未履行应尽的提示和告知义务要求银行承担赔偿责任。
二、防范手机银行法律风险的建议
(一)完善合同文本,约定适当的免责条款。
在客户开通手机银行业务时,在合同文本中明确约定客户应尽的安全防范和保密义务。详细约定客户对于与电子银行业务相关的身份信息、账户信息和电子签名等负有严格的安全防范和保密义务,如因客户泄露账户信息、电子签名或被诈骗等而导致的资金损失,银行不承担责任。同时考虑到《办法》所规定的责任分担机制过分加重了银行责任,可考虑在合同文本中增加相应的免责条款,约定对于非银行原因(例如不可抗力以及网络故障、通讯故障、电力故障等事故而导致的客户损失免责。
(二)根据业务类型设定不同的认证手段,并持续更新。
为确保手机银行上产品与认证手段的安全性能够匹配,应该根据不同业务类型的安全要求,匹配相应的客户身份认证方式。并建立持续评估机制,对最新推出的产品和认证方式进行安全性评估,根据安全性及客户体验的需要,随时调整匹配规则。
(三)履行客户身份审查义务,加强对银行权益的保护。
原则上银行不得向限制民事行为能力人、无民事行为能力人提供投资理财类的手机银行服务,但考虑到客户的实际需要,应由法定代理人代理,严格履行身份审查义务,建议要求法定代理人陪同开通并由其负责保管相关登录凭证及密码凭证,并在合同文本中载明法定代理人有义务保管上述密碼,对通过密码完成的交易,是同由法定代理人完成,法定代理人不得否认有此对被代理人造成的一切后果。因客户自己或监护人未尽到相关保管义务,致使密码泄露或盗取款项或被诈骗等,由客户和法定代理人自行承担责任。同时,在高风险业务的交易页面或手机银行自助注册该业务的页面,可增加相应提示,即在客户选择已年满十八岁后才进入下一个交易环节,以表明银行已尽到识别客户是否具备相应行为能力的义务。
(四)选择合适的产品宣传角度和方式。
在通过手机银行进行产品宣传环节,为避免银行为第三方合作公司的服务和产品进行推介宣传被认定为网络广告,银行应注意选择合适的宣传角度和方式,尽量从银行所提供的手机银行服务角度对合作第三方的服务和产品进行推介宣传,而不是直接推介宣传合作方的服务和产品。同时应获得客户明确同意,可考虑在合同文本中列明银行有权利用客户提供的联络方式向客户介绍银行的最新产品及服务等。同时对于第三方合作方提供的宣传材料,应在合作协议中约定,合作方应保证其有权授权银行使用宣传材料,且该等授权不会受到任何第三方的合法质疑。如因合作方提供的宣传材料的权利瑕疵导致银行遭受损失的,合作方应承担一切责任。
(五)建立统一的手机银行交易监控平台。
按照监管要求,银行方要切实做好电子渠道的交易监控工作。银行方应建设统一的手机银行交易监控平台,收集客户交易行为及风险事件特征,制定对应的监控规则,并进行风险估值,确定对应的监控策略,并采取包括自动/人工触发短信、电话及人工干预等不同方式进行处理,以实现“实时监控,线上处理”的最终目标。所谓“实时监控”是指监控平台数据来自实时交互的手机银行各类交易数据,而最终要实现的“线上处理”一般是指当监控平台发现可疑交易时,监控人员可以对此交易进行及时阻断,并选择电话渠道与客户进行交易真实意愿核实后,确定该交易是否放行。
(六)加强对客户的安全教育,强化客户风险防范意识。
银行方对内要加强对各级关键岗位人员的操作风险和道德风险安全教育工作,提高风险防范意识;对外建立与同业、证书或安全设备提供商、公安部门的互动交流机制,沟通了解最新的电子银行业务及技术发展方向、新案件的风险特点等内容,优化自身安全策略;对客户采取形式多样的安全教育工作,通过折页、网站、手机银行、短信等多种渠道加强对客户的风险提示,提高客户的风险防范能力。
(作者单位:中国政法大学法硕学院)
注释:
《2012年手机银行客户端评测报告.(网易财经2012年11月20日发布).