(一)首部
1.判决书字号
一审判决书:重庆市沙坪坝区人民法院(2010)沙法民初字第5435号民事判决书。
二审判决书:重庆市第一中级人民法院(2010)渝一中法民终字第5743号民事判决书。
3.诉讼双方
原告(上诉人):龚某,男,汉族,重庆市人。
被告(被上诉人):中国建设银行股份有限公司重庆沙坪坝支行双碑分理处(以下简称双碑分理处),住所地:重庆市沙坪坝区双碑正街×号。
诉讼代表人:张某,中国建设银行股份有限公司重庆沙坪坝支行行长。
委托代理人:杨某,女,中国建设银行股份有限公司重庆沙坪坝运行办公室副主任。
5.审判机关和审判组织
一审法院:重庆市沙坪坝区人民法院。
独任审判员:马劲东。
二审法院:重庆市第一中级人民法院。
合议庭组成人员:审判长:蔺莉;审判员:颜菲;代理审判员:刘玉梅。
6.审结时间
一审审结时间:2010年10月25日。
二审审结时间:2010年12月14日。
(二)一审诉辩主张
1.原告诉称
因见报上广告称在银行存3万元可贷10万元,本人便电话联系,按照通话人要求,于2007年3月7日在被告双碑分理处开户、存入现金3万元。次日,本人又按对方要求,前往建设银行渝中支行签署了《中国建设银行电子银行个人客户服务协议》(以下简称《网银协议》)。在不到5分钟的时间里,本人发现自己账户上的29 925元钱不明失踪,遂报警,但该案至今未破。由于被告经营管理出现漏洞,导致本人存款被第三人骗走,遂诉至法院,要求被告归还本人存款29 925元及利息。
2.被告辩称
原告在我处开户及申请办理网上银行业务时,均设置了密码。我处在原告的网上交易中无任何过失,故请求依法驳回原告的诉讼请求。
(三)一审事实和证据
重庆市沙坪坝区人民法院经公开审理查明:2007年3月7日,原告龚某在被告双碑分理处申请开设个人活期存款账户,并于当日存入该账户3万元,对该账户设置了密码。次日,原告龚某前往中国建设银行股份有限公司渝中支行签订《网银协议》,对其在被告双碑分理处开设的账户申请开通了电子银行服务,设置了密码。当日15时58分05秒,原告龚某账户上的存款29 900元通过网上转账的方式转入名为“黄金兵”的账户,手续费25元。原告龚某发现后立即向公安机关报案,该案至今未破。
上述事实有下列证据证明:
1.原告龚某举示的存折。
2.存款凭条。
3.《网银协议》。
4.网上交易提示卡。
5.报案材料。
6.被告举示的网上银行的交易记录。
7.双方当事人的陈述。
(四)一审判案理由
重庆市沙坪坝区人民法院经审理认为:原告龚某与被告双碑分理处之间形成的储蓄存款合同关系,意思表示真实,不违反法律、行政法规的强制性规定,应属有效。原告龚某开设账户后,又向银行申请开通了网上交易业务,且原告对账户及网上交易均设置了相应密码。之后,原告账户中的2.99万元通过网上银行被转至另一账户,证据显示交易系正常的电子交易,没有证据表明在此过程中,银行方面存在过失或在此期间交易系统出现不正常的情况,因而原告要求被告归还存款29 925元及利息,本院不予支持。
(五)一审定案结论
重庆市沙坪坝区人民法院依照《中华人民共和国民事诉讼法》第六十四条第一款及《最高人民法院关于民事诉讼证据的若干规定》第二条,作出如下判决:
驳回原告龚某的诉讼请求。
案件受理费557元,减半交纳278.5元,由原告龚某负担。
(六)二审情况
1.二审诉辩主张
(1)上诉人(原审原告)诉称
其存入双碑分理处的钱不明失踪,说明双碑分理处未尽到保管义务。双碑分理处负有提供取走其现金的犯罪分子是谁并协助警方破案的义务,但其未协助,导致找不到罪犯,说明是双碑分理处内部所为或其经营管理中有严重问题。双碑分理处认为上诉人泄露密码无证据支持。2007年3月8日,上诉人在银行存入10元钱,可打印的凭条显示的是5元钱,说明银行的系统存在问题。双方签订的《网银协议》是格式合同,应无效。
(2)被上诉人(原审被告)辩称
龚某的存款被第三人从网上银行转走,不是网上银行系统出现故障,而是凭龚某的账号及密码取走的,银行在保管方面无过错。故我处不应承担赔偿责任。
2.二审事实和证据
重庆市第一中级人民法院经审理,确认一审法院认定的事实和证据。
3.二审判案理由
重庆市第一中级人民法院经审理认为:龚某自愿向银行申请开通网上交易业务,且对其账户及网上交易均设置了相应密码,龚某应对其账户及密码负有妥善保管义务,现该账户及密码被他人使用,而现有证据又不能证明系银行的过错造成。因此,应认定系龚某保管不善所致,双碑分理处无须承担证明取走龚某存款的第三人是谁的举证责任,故龚某要求双碑分理处承担该举证责任的上诉理由不能成立。龚某账户内的29 900元系通过网上银行被转至另一账户,并支出手续费25元,本案的现有证据显示系正常的电子交易,没有证据表明在此过程中,银行存在过失或在此期间交易系统出现不正常情况,故对于龚某网上银行的此次交易,双碑分理处无管理过错,龚某提出的双碑分理处未尽到合理管理义务的上诉理由不能成立。因该笔存款系在网上银行被转走,而网上银行交易在任何连接有互联网的电脑上均可进行,根本无须到银行的营业网点,故目前警方不能找到罪犯线索,双碑分理处没有过错,龚某提出的银行应当指出取钱的人是谁及银行对本案未侦破负有责任的上诉理由不能成立。对龚某提出的“其在银行存入10元钱,可该银行打印的凭证显示的数字是5元钱,说明银行的系统有问题”一点,因本案系网上交易,该证据与本案不具有关联性,本院不予采信,且该证据不能证明本案的网上银行交易系统存在问题,故龚某提出的本案所涉交易系统存在问题的上诉理由不能成立。对于龚某提出的“《网银协议》系格式合同,应无效”的上诉理由,因本案该《网银协议》虽是格式合同,但不具有《合同法》规定的无效情形,故不能成立。综上,龚某的上诉理由不能成立。
4.二审定案结论
重庆市第一中级人民法院依照《中华人民共和国民事诉讼法》第一百五十三条第一款第(一)项,作出如下判决:
驳回上诉,维持原判。
本案二审案件受理费557元,由上诉人龚某负担。本判决为终审判决。
(七)解说
在信息化飞速发展带来极大便利的同时,风险亦与日倶增。本案是一起第三人利用网上银行骗取储户存款而引发的民事纷争,问题关键在于网上银行是否尽到合理的安全保障义务。
1.网上银行的安全保障义务
作为一个独立的市场主体和金融服务的提供者,银行与储户之间建立起了平等的民事权利义务关系。传统银行的业务仅限于经营场所的柜台之上,随着科技的进步和网络的发展,ATM机、CDM机、CRS机的出现打破了银行金融服务对传统营业网点、柜台和营业时间的限制,极大地方便了民众的生活,提高了金融服务的效率。此时银行提供金融服务的安全保障义务也随之被适当扩大到其延伸的“营业场所”,这一理念在《最高人民法院公报》2009年第2期公布的王永胜与中国银行河西支行的存款纠纷一案中得到确认。网上银行作为银行开发的一个新的业务平台,因为其便捷性而备受欢迎,此时,应顺理成章地把银行的安全保障义务合理扩大到网上银行服务系统。
一般认为,网上银行业务的安全只能是一种相对的、基本的、发展中的安全。这种安全只要达到某种合理的标准,或者将危险降至某个适当的比例之下,保证网上银行处于相对稳定和持续发展的有序状态之中即可。网上银行的一般安全保障义务通常包括:网上银行交易系统已经相应的安全检验,本身不存在明显漏洞和运行中的其他不稳定因素,并且能承担起简化交易的功能;用户按照系统的规范操作,能够打开银行的网上银行系统的操作页面,通过相应的账户、密码、动态码等验证能进入并管理自己的账户,同时该登陆和管理不会导致账户和密码轻易被他人探知;加强网络防火墙检测和维护,查杀相关病毒和木马程序等。事实表明,现代科技日新月异,没有任何一个系统堪称完美无缺,况且电脑黑客在网络间穿梭自如,计算机病毒也是无孔不入,盗号木马程序更是防不胜防,不可能苛求网上银行系统完美无缺。因此,对网上银行安全保障义务的确认应当在现有科技水平之下,根据中国银监会2006年发布的《电子银行业务管理办法》和《电子银行安全评估指引》的规范要求并凭借生活经验加以理性判断。笔者以为,网上银行安全保障义务的标准要比银行传统的柜台业务中的安全保障义务高很多,但是基于网上银行交易的特殊性,对于网上银行较高的安全保障义务只应该限定在十分有限的层面。
就本案而言,银行只要对网上银行系统某些操作本身以及运营中的异常状况可能带来的风险进行必要提示并给出足以保证操作安全的建议,并且保证银行营业范围之内连接操作系统终端的设备足够安全,不存在计算机病毒和盗号木马等危险程序,在危险发生之后,能够积极采取必要补救措施,协助挽回损失则宜认定为银行履行了合理的安全保障义务。据此,一审法院和二审法院均认为银行的交易系统是不存在问题,银行已经尽到了安全保障义务,不存在违约行为,自然不应当承担赔偿龚某存款被第三人转移的损失,是合理的。
2.用户密码的管理义务和风险承担
账号和密码是开户人管理账户的主要依据。账号由银行统一开设,密码则由客户设置。客户设置密码之后由银行系统对密码进行加密,然后传输到银行系统的后台数据库。除了本人之外,办理密码业务的银行工作人员也无法知晓客户设置的密码,甚至在后台数据库之上也无法查询到客户的密码。如果说账号存在一定程度的公开性,那么密码则具有极强的私密性,一般非因客户公开,他人无从探知。网上银行操作系统默认输入的账号和密码正确则是开户人本人的操作。基于此,客户在设置了密码之后,理所当然应负担保管密码的义务。
由于网上交易的特殊性,掌握账户和密码的任何人于任何时候在任何可以连接上银行网上操作系统的终端上都可以进行交易,而银行无法确认该操作是否是开户人本人的操作。在这种情况下,默认该操作为开户人本人的操作,由此引发的后果也由本人承担已经成为银行业的惯例。在现有技术条件之下,如果要求银行承担起类似于在柜台上操作同等高的安全审查义务对于网上银行来说无疑显得过高也不太现实。一方面,如果密码泄露的风险由银行来承担,无形之中会让银行承受不可承受之重,刚刚发展起来的网上银行业务也会遭受毁灭般的打击。另一方面,由银行来承担客户密码泄露的风险极容易引发开户人与他人恶意串通转移存款之后再向银行索赔的道德风险。客户距离密码的距离最近,在网上银行操作系统符合安全交易的情形之下,应当由客户承担起密码泄露后可能带来的风险。
本案中,作为开户人的龚某对银行账户和网上银行账户均设置了相应的密码,其虽声称自己没有泄露密码,但其与报纸广告上登载的贷款联系人有过电话接触,并且按照其指示办理了银行业务,存在被套取密码的可能性。银行的交易显示第三人通过网上银行转移存款属于正常的交易,没有证据表明银行在此过程中存在过失或在此期间交易系统出现不正常的情况,此时应当认定银行已经尽到了合理的安全保障义务,应当由龚某个人承担密码泄露的风险。
3.尽到安全保障义务的银行不承担补充赔偿责任
根据《最高人民法院关于民事诉讼证据的若干规定》第五条第二款关于合同是否履行发生争议时的举证责任之规定,由负有履行义务一方的银行来承担举证责任。前文已就网上银行的安全保障义务所应达到的标准以及密码管理义务及其风险承担作了分析。在本案中,龚某看到报纸上刊登的贷款广告之后,不仅丝毫没有怀疑可能存在的陷阱,反而主动与其联系并按照其要求办理了相关银行业务,应当认定其没有尽到一个理性人所能认识到的合理的密码管理义务。龚某账户内的存款被第三人通过网上银行转移,无疑是第三人通过非正常手段获取了龚某的账户和密码。对此,银行方面只要证明网上银行系统在交易中尽到了风险发生前的提示和预防义务,网上银行交易系统达到了相应的技术标准,银行方面没有诸如泄露客户有关信息的违规行为,并且在风险出现后采取积极的救济措施去帮助储户挽回损失即可认定银行对客户密码泄露不存在过错,密码泄露的风险应由储户承担。本案中储户银行账户内的存款被第三人通过网上银行转移,银行并无过错,并且事后协助警方调查,虽然该案尚未侦破,但仍应认定为银行已经尽到了较高的安全保障义务,没有违反储蓄合同附随的安全保障义务,自然不必承担违约责任。
就侵权角度而言,本案属第三人侵权引发的纠纷,银行并不是直接的侵权人。根据侵权责任法的相关原理和《中华人民共和国侵权责任法》第三十七条第二款之规定,只有在管理人或者组织者未尽到安全保障义务时才应承担相应的补充责任。前文已论述了银行对网上银行业务承担安全保障义务的范围和标准,本案中银行已经尽到了合理的安全保障义务,不必因为第三人侵权而承担补充赔偿责任。笔者与一审、二审法院的观点是一致的。
综上所述,笔者认为,一审、二审法院作出的民事判决是理性思考权衡下的正确裁判。
(重庆市第一中级人民法院 朱福勇;西南政法大学 曾维亮)
案例来源:国家法官学院,中国人民大学法学院 《中国审判案例要览.2011年商事审判案例卷》 中国人民大学出版社 第389 - 394 页