2019-10-11 来源:安全付 作者:Memory
在网银失窃事件中,责任分担大致可分为以下几种情形:
第一,客户本身的过失所致。泄露、丢失密码、客户电脑中毒、遭受黑客攻击等,恶意第三人获得客户密码等重要信息的来源与网银系统无关时,应由客户承担损失。
第二,银行网银系统不符合安全标准。客户可以以银行的网银系统不符合安全标准要求其承担损失,此时银行需要证明自己提供的网银符合安全标准,且自己是按照不存在疑问的交易指令予以转账的,否则就应承担责任。此处,对于银行适用过错推定原则。
简单地说,网银的安全风险无非两大方面:系统安全风险与身份安全风险。目前的风险主要来自后者,大规模的系统安全风险还不是很大,也许以后会成为重点。身份安全为银行的身份安全与用户的身份安全两大类,前者主要指“网络钓鱼”等手段伪造银行身份骗取用户钱财,后者包括用户密码保管不善、身份被冒用、盗用等风险。前一类的风险是面对一群人的,后一类往往是个案,具有一定的特殊性。用户的针对措施可以包括:妥善保管密码、及时修改密码、不在公用机器上用网银、及时杀毒避免中毒、使用电子签名、不随意接收不明邮件、不随意登录不明网站等。
在2006年6、7月的针对工行的网上钓鱼事件中,受害人成立了维权联盟,设立了专门的网站,矛头直指工行,要求工行予以赔偿损失。之所以造成这样的局面,其实很重要的一点就是在这样的事件中被仿冒者应采取什么样的应对措施的问题。按照法律的一般原则,冒充某人身份诈骗的,被仿冒者不可能需要承担什么责任,应该也是受害人,受害人不可能追究被仿冒者的责任;还有,假冒商品也是这样,被假冒商品不可能成为受害消费者追索的对象。所以,基于这样的基本原理,银行本是不应承担损害赔偿责任的,但问题在一旦发生了这样的群体事件,银行应采取什么样的措施和态度予以应对,是否需要在第一时间以什么方式告知受害人账户的变化、是否应及时通知其他人风险的存在、是否应及时设立警示标志、是否应对网站采取防伪手段、是否应及时侦测是否存在自己网站的冒牌货并采取措施,等等。而根据目前的法律规定,《电子支付指引(第一号)》 第45条规定,银行只是有“帮助查找原因、尽量挽回损失”的义务。
以上法律问题存在的主要原因在于立法上的缺失,因此应加快网银业务的法规建设。要充分借鉴国际上网银业务法规建设的先进经验,尽快完善网银业务的法规框架,形成合理的商业银行、客户关系利益调整机制。在商业银行行为规范方面,要建立网银业务的技术标准体系和业务规范体系。中国目前仍处于网银业务发展的初期阶段,应通过发布网上银行安全评估指引和内部管理指引等非强制形式,引导银行加强信息安全管理,推动规范化内部审计管理规则和工作程序的建立。要根据网银业务发展的实际,适时调整银行、消费者二者之间的权利义务关系,明确规定银行在执行支付指令时的审查义务,兼顾交易效率和支付安全目标的实现。对不同网银业务品种的特殊风险及管理要求通过行政规章的形式强制执行,以确保网银业务整体健康发展。
