2019-10-11 来源:安全付 作者:Memory
处于起步阶段的网上银行近段时间受到了严重的安全质疑,其中,影响最大的是2006年6~7月间的工商银行网银失窃事件,其涉及面之广、受害人之多,引起了社会各界的广泛关注。
一、中国工商银行的网银安全事件。
2006年夏,在工行网银受害者成立的集体维权联盟的网站上,200多人用真实姓名签名并留下自己所在地点和被窃金额数量。
这些网银受害者组成维权联盟,并表示将联名起诉工商银行总行。根据其反映,比较典型的情况有以下两种:①持卡人并没有开通工行网银服务,在办卡的时候被默认开通,账号被盗密码被破译。②或者在其不知情的情况下被他人恶意开通网银服务并在网上转账,遭受损失。
持卡人开通了工行网上银行业务,但是没有使用电子银行口令卡、U盾等特殊保护措施,由于交易需要等将账户公布在外,受害人声称未将密码透露给其他人,但是发生了网上购物、发出支付指令转账给他人的情形,遭受损失。
二、中国工商银行的网银安全事件中的法律问题分析
1、网上自助开通网银服务的审核责任
根据中国工商银行个人网_上银行交易规则,储户可以通过营业网点注册网上银行服务或者在网上自助注册网上银行,取得交易资格。在营业网点注册网银服务时,储户需持有本人的身份证、银行卡等(若他人代为办理, 则需持有代理人和储户本人的身份证,银行有责任对申请注册网银服务人提供材料的真实性进行审查核实,若违规操作而给储户造成的损失,则由银行承担。这一原则在被媒体广泛报道的中国“网银被盗第一案”中中国农业银行的败诉判决中得到司法上的认定。相比较在营业网点开通网银业务有现实的人、身份证、银行卡等,网上开通是通过互联网远程接入的方式,突破了地理限制。向客户提供无边界的虚拟金融服务带来了不言自明的便利,但是随之而来的是欺诈成本的大大降低,若此时仅为便利的考虑,而不顾及安全,单凭借身份证号、银行卡号、密码就可以简单开通网银业务,银行却不做任何实质性的审查,那么储户的利益将难以得到有效保障。所以,相比在营业网点开通,网上注册网银服务中欺诈等风险不仅依然存在而且被放大了,但银行的审查责任没有得到更多的强调。通过网络开通网银服务,无须审核储户的卡和存折,只要在电脑上输入储户的身份证号、卡号及密码,即可注册工行个人网银并可立刻进行交易产生支付。“不需要到网点,不需要原卡和身份证件原件,只需要几个号码即可开通”,围若在储户不知情的情况第三人恶意开通了网银业务并给储户造成了损失,由于相关网络立法的不完备,银行的责任无处可循,储户承担了放大的风险。
依据《中国工商银行电子银行章程》第6条:“客户可在营业网点办理电子银行注册,也可通过电子银行自助办理部分业务的注册。客户办理电子银行注册时,应保证所提供或填写的资料真实、准确、完整,并签订服务协议。”
《中国工商银行电子银行个人客户服务协议》中,甲方(客户的义务第二项规定:“甲方到乙方营业网点办理电子银行注册、注销、变更等手续,应提供相关资料,填写相关申请表,并签名确认。甲方向乙方提供的业务申请表是本协议不可分割的组成部分。甲方应保证所填写的申请表和所提供的资料真实、准确、完整,对于因甲方提供信息不真实或不完整所造成的损失由甲方承担。乙方工行有权根据甲方资信情况,决定是否受理甲方的注册申请。乙方负责及时为甲方办理电子银行注册手续,并按甲方注册功能的不同为甲方提供相应的电子银行服务。”
2、密码交易是否由客户负全责的问题
《中国工商银行牡丹灵通卡章程》第5条规定:“凡使用密码进行的交易,发卡银行均视为持卡人本人所为。依据密码等电子信息办理的各类结算交易所产生的电子信息记录均为该项交易的有效凭据。”《中国工商银行电子银行章程》第7条规定:“中国工商银行以客户的注册卡号 客户编号、 登录ID、注册手机号码或存折账号、 客户证书及相应密码作为识别客户有效身份的标识,并以客户发出的电子交易指令作为办理电子银行业务的合法有效依据。对中国工商银行验证无误并已执行的电子支付指令,客户不得要求变更或撤销。”
.上述条款意味着:任何由密码进行的交易,视为持卡人本人所为,由客户负全责。在通常情况下,交易指令人为客户本人,那么交易后果由客户承;担自然无异议。问题在于在非常态的情况下,即交易指令人非客户本人时,或问题未查清、未破案时,相关民事纠纷的责任分担和举证责任分担应如何建立。
网银事件发生后,各个领域的专家分别提出了不同的见解,要求从技术手段_上更有效地保护账户密码等重要资料,如利用数字证书、U盾、电子银行口令卡,工商银行还对不同注册类型的网银客户的日交易额度、交易类型进行了限制。网银业务刚刚发展,未来有许多未知的风险,从立法者、法律人的角度而言,网银的服务、交易无论发展至何种程度,都应遵循公平原则,立法应平衡网银业务中银行、客户的关系,保护弱势方客户的利益。
《中国工商银行电子银行章程》第9条规定:“客户须妥善保管好自己的注册卡号、密码、客户证书等重要资料,以防泄露。因客户保管不善导致上述重要资料泄露,造成的损失应由客户自行承担。”
《中国工商银行电子银行个人客户服务协议》中甲方(客户) 的义务第四项:“甲方必须妥善保管本人注册卡号、客户编号、密码及客户证书,并对通过以上信息完成的金融交易负责。乙方执行通过安全程序的电子支付指令后,甲方不得要求变更或撤销电子支付指令。”
《中国工商银行电子银行章程》第9条规定:“客户须妥善保管好自己的注册卡号、密码、客户证书等重要资料,以防泄露。因客户保管不善导致上述重要资料泄露,造成的损失应由客户自行承担。”
现有一个案例: 2006年3月21日,R先生通过网上银行查询某行账户余额时,发现账户上的资金在三天内被分六次转走共10900元。通过网上银行提,供的转账汇款查询功能,他查到该款项被转向刘xx、金xx两人,并且有对方的账号以及交易时间。R先生当即打电话给该银行告知此事,银行建议他报警。后经公安部门侦破此案:犯罪嫌疑人通过非法途径盗取了受害人的银行账号、网银密码等相关信息后,通过网上银行窃取了R先生的资金。在本案中,R先生不存在没有保管好账户密码的过失:没有将密码泄露给他人、电脑未中木马病毒,犯罪嫌疑人采取的是“穷举”方式“猜”密码的。只要设置好程序,软件就可以自动做出无数的组合密码,一次一次地试,直到“猜”对密码。通过用户端,客户根本不可能对这样的“穷举猜”密码的行为进行预防和阻止。如果银行在总服务器端有一定的防护程序,比如说,密码错误几次,账户受到攻击,启动自动保护程序,该账户的网银功能自动关闭,肯定会有效阻止这样的情况发生。但是当时该银行网银系统不具备这样的功能。
那么,在这种客户不可能预防他人恶意窃取密码的情形下,银行没有在合同中进行合理风险提示,在网银系统中也缺乏对自已客户的用户端识别,而遭致客户被他人破译密码受到损失时,客户不存在保管不善的过失。犯罪分子被抓获后对客户承担的赔偿责任自不待言,问题在于在上例的情况下,银行是否有过错,银行是否应对客户的密码保密负有相应的义务?
客户对账户密码等重要资料应当承担第一位的、全面的、积极的妥善保管义务,但是对于网上银行,客户同时也是银行提供网银服务的消费者,银行应保证提供服务网.上银行的安全性,这就必然要求其对客户的密码负有消极的防盗义务:提供安全的客户端 在软件设计、 界面友好性、操作无歧义性和接口安全性等方面协助客户做好操作风险防范,并防止罪犯通过探测银行网银系统端获取用户密码 在网银业务系统的开发上应坚持标准进行提出需求、流程分析、详细设计、代码编写、多方测试和持续改进等工作,最大限度地减少业务系统安全漏洞的潜在风险。
由于网络立法的缺失一没有统一网银业务的技术标准体系和业务规范体系,加上格式合同的强势利益主导性,银行从法理上应负有的保障网络平台安全和消极防盗义务,并没有明确得到体现,又因“ 密码交易视为本人交易”前提存在,使得无法认定工行的过失、进而追究其责任。犯罪嫌疑人通过非银行过失的非法途径盗取了受害人的银行账号、网银密码等相关信息后,通过网上银行窃取了客户的资金,银行不对此损失承担责任。
网上银行安全包括银行端和客户端两个方面,需要银行和客户携手共同打造。从客户端来说,为了保护客户端的安全,银行为客户提供了U盾、电子银行口令卡、防病毒安全控件、余额变动提醒、预留信息验证等一系列安全措施。从银行端来说,银行采用了一系列先进的安全防范技术,包括多重防火墙、1024 位非对称加密算法的证书签名、SSL128 位加密传输、实时扫描、实时监控、数据加密存放等,通过这些措施,使网银系统达到了较高的安全级别。D但这样的安全级别能否使得充分、是否符合安全标准,进而免除银行网银在提供安全服务_上的责任,尚存疑问。
