摘要：随着电子商务的发展，网上银行业务也如雨后春笋般蓬勃发展起来。但目前国内相关立法是一片空白，故网上银行多用服务协议来调整银行与客户之间的权利义务关系。为了避免风险，银行在服务协议中设定了诸多免责条款，以减轻自身责任。而这些免责条款的设定使客户与银行之间的风险分配失衡，故本文试从我国合同法相关规定出发，对网上银行服务协定中的免责条款的法律效力进行分析，以期达到银行与客户之间利益的平衡。
　　一、问题的提出
　　随着电子商务的发展，网上银行 也随之在全球蓬勃兴起。自1997年招商银行率先推出网上银行“一网通”以来，国内各大商业银行也相即推出自己的网上银行业务。与传统的银行相比，网上银行借助互联网技术，突破传统银行受地域、时间限制的业务模式，在为客户提供全新的三a(anytime、anywhere、anyhow)服务的同时，有效地降低了银行的经营成本。但在为客户提供便利、快捷服务的同时，也给商业银行带来了新的风险，如系统安全风险(包括信息传输安全、计算机系统安全)、操作风险等。为了转移风险，商业银行往往通过其单方制订的服务协议中的免责条款来尽可能多地免除自己的责任。固然免责条款可以事先分配银行与客户的风险，避免不必要的争讼，但是也有银行利用自身优势侵害客户利益之嫌。从实际情况来看，在目前许多已经建立的网上银行的服务协议中，银行设计了诸多的免责条款，减轻自身责任，而将一些安全风险不合理地加至客户身上，有违公平诚信原则。故本文试从我国《合同法》关于格式条款与免责条款的相关规定出发，对网上银行服务协议中的免责条款的法律效力进行分析，以期达到银行与客户之间利益的平衡。
　　二、服务协议中免责条款效力的认定
　　免责条款订入合同，并非表明该免责条款当然有效，必然引起当事人免责或限责的法律后果。所以判断服务协议中免责条款是否有效，还须依据合同法的相关规定、民法的基本原则以及电子商务法的原则来综合考察。笔者试从网上银行免责条款中新出现的几个免责事由入手，具体分析电子商务环境下银行与客户之间的利益平衡问题。
　　(一)系统故障
　　网上银行以其迅速便捷的服务来吸引客户，但这种迅速便捷的服务后却隐含着巨大的安全隐患。这主要是因为网上银行中大量使用各种新技术，虽然这些新技术加快了交易速度，但也同时带来了安全风险。一旦交易系统出现故障，致使交易不能进行，其风险和责任应由谁承担呢?
　　以目前我国国内几家网上银行服务协议中的约定来看，大都将之归于不可抗力或是其它不可预见的非常情况而予以免责。 但笔者认为，此做法不妥当。因为对消费者而言，接受网上银行服务的原因在于便利和效率。如果因为银行人为或技术的原因丧失便利性和安全性--不能即时获得流动性，甚至是遭受损失--那么这种机制就变得毫无意义。所以如果完全将安全风险加至客户身上，既有违公平原则，也不利于未来网上银行业务的开展。故笔者认为，不应笼统地将系统故障归入不可抗力而免责，应就造成系统故障的不同情况具体而论，下文试就造成系统故障的原因分述之。
　　1.黑客及大型电脑病毒侵袭系统
　　在传统交易合同中，不可抗力一般是指自然灾害、战争、政府禁止行为的发生，但是在网上银行业务这样新型服务模式中，也出现了许多新的情况，如黑客侵袭系统、大型病毒植入系统，对此是否可以视为不可抗力或是不可预见的非常情况呢?笔者认为，不可以将其归入不可抗力范畴。原因在于，其一，互联网是开放的系统，系统越开放则其不稳定性就越高。所以在黑客侵袭系统、大型电脑病毒爆发这类突发事件层出不穷的网络时代，银行开展网上业务时就应当预见有可能会出现黑客、大型电脑病毒侵袭系统造成系统故障的情况。其二，对于internet中一些技术屏障(包括电脑病毒)而言，其有发作规律和周期可循，甚至人们已经开出相应的应急措施和解决方案，所以在此种情况下，银行是可以避免和克服出现系统故障情况的。其三，根据我国《网上银行业务管理暂行办法》第十八、十九条的规定，网上银行应实施有效的措施，并且定期测试网络系统、业务操作系统，防止网上银行业务交易系统被计算机病毒侵袭和黑客侵入。所以说银行有法定义务采取防范措施避免此类情况的发生。且实践证明，只要建立有效的安全防护系统，并定期维护是可避免黑客及病毒的入侵的。如美国安全第一网上银行由于采取三重安全防护设备，成立至今还未被入侵过。
　　基于以上分析，笔者认为，如果银行未尽到必要的注意义务和防范义务，而给客户造成损失应不能免责。即使银行在服务协议中约定此项免责事由，这样的约定也是无效的。这是因为根据《合同法》第53条规定，因故意或重大过失造成对方财产损失的免责条款无效。这里所指的重大过失是行为人违反一般人应尽的注意义务(即行为人完全可以预见到自己的行为可能会给相对人造成损害而漠视其应负的注意义务，从而导致损害发生)。此种情况下，如果银行因未采取必要的防范措施而导致黑客或病毒入侵造成客户损失，可以说这时银行虽无主观故意，但其负有基本的防范和注意义务，却漠视之，从而导致损害结果发生，可以视为重大过失。因此银行的免责条款是无效的。
　　但如果银行已尽到必要的注意义务和防范义务，却仍未能阻止黑客的入侵和电脑病毒的侵袭而造成客户损失，银行是否可以免责呢?对此学者们有不同的看法。有的学者认为，由于黑客、大型电脑病毒侵袭系统造成的损失应由交易提供者承担责任，因为这应属于其必须承担的商业风险，就象现实生活中的银行被抢而银行不能要求储户与其分担责任一样。香港的金管局也认为，如果不是出于客户的忽略，则客户不应对安全故障或系统问题负责。但从目前国外银行的实务操作来看，大多数银行的服务协议中均载明，如果网上银行已尽合理的注意并采取合理的措施以防范此种情况的发生，则银行不对由于该情况造成的损失承担责任。 对此，笔者认为，在银行已尽到必要的注意义务和防范义务的情况下，银行可以不对客户的损失承担责任。原因在于，网络银行仍是一个新兴业务，其风险程度还不能完全预见，如果要求银行承担完全责任。则会使其裹足不前，同样也会影响到电子商务的发展，这是电子商务难以两全的问题。同时根据经济学“谁受益而由谁承担安全风险”的原则来看，消费者从网络银行中享受到了更方便、更快速、更全面的服务，其也是受益者之一，所以也应分担一定的安全风险。至于对消费者权益的保护问题，笔者认为可以从以下两方面平衡银行与客户利益。其一是规定银行应承担通知义务。即银行应在一些特定病毒的发作日前进行必要的预防工作，并且在网上银行主页上用公告形式通知客户在发作日时使用网上银行业务应注意的事项。而在遭受黑客或电脑病毒侵袭后，银行应立即用尽可能的最快捷方式通知正在交易的相对方事件的性质、发生日期、预计持续时间，并及时采取措施解决，以防止损失的继续扩大。如果因未尽到以上义务而致使损失扩大，则银行对于扩大部分损失不可以免责。其二，可以借鉴美国《电子商务资金划拨法》的规定，即如果因系统故障妨碍消费者发动向他人划拨资金的实施，且该他人已经同意接受以此种方式支付，那么在故障排除和电子商务资金划拨可以完成前，该消费者对该他人的义务中止，除非该他人随后以书面形式要求以电子商务资金划拨以外的方式支付。这样通过法律的规定，可以免除客户因系统故障情况下延期付款的责任，以平衡银行与客户的风险分配。[2]
　　而至于判断何为有效的防范措施，则有赖于我国统一的行业安全技术标准规范的出台。对此笔者认为可以借鉴香港2000年《电子商务交易条例》中的规定，即要求交易提供者要建立稳当系统(trustworthysystem),而“稳当系统”是指符合以下所有条件的电脑硬件、软件及程序：(a)是合理地安全可免遭受入侵及不当使用的。(b)可供使用，可靠性及操作方式能于合理期间内维持正确等方面达到合理水平。(c)合理地适合执行其原定功能。(d)依循获广泛接受的安全原则。

　　2.供电系统、通讯系统故障
　　网上银行业务与传统银行业务不同之处在于其是通过因特网提供金融服务的。所以网上银行在开展业务时必然会与网络服务商(internetserviceprovider以下简称isp)发生关系，同时也会与供电商发生合同关系。如果在交易时，因为供电系统中断、通讯系统故障而致使交易不能，其风险和责任应由谁承担呢?对此一般有二种不同观点。一种观点认为，银行在利用网络建立银行项目时，网络服务商对其服务安全给予了相应承诺，而客户则未与网络服务商建立任何法律关系，所以从保护消费者权益角度来看，应先由银行承担责任，而供电系统中断则应具体分析。[3]另一种观点认为，银行对供电系统中断、通讯系统故障并无过错，所以不应承担任何责任。这种观点多为银行所持。[4]笔者赞同第一种观点，因为就供电系统中断而言，银行在停电前一般都能从供电公司获得停电信息，对何时停电是可以预见的，所以并不属于不可抗力范畴，且银行一般都有必备的应急发电系统，即使在供电商未事先通知而临时停电的情况下，银行也应能保证交易的顺利进行。所以如果由于银行未能及时起用应急发电系统而导致客户财产损失，银行应承担相应的责任。当然在判断银行是否及时起用应急发电系统时，应给予银行合理的准备时间，而在这段时间内造成的损失，银行不负赔偿责任。
　　至于通讯系统故障，则涉及到isp、银行以及客户三方利益平衡问题。从各国电子商务立法趋势来看，出于技术中立原则的考虑，法律一般都减少或限制isp的责任，鼓励isp采取自愿规则和措施，减少纠纷和避免责任。所以目前银行与isp之间的服务关系一般也是通过合同来调整。所以当因isp的过错造成通讯系统故障时，银行能否以第三人过错为由而免责呢?根据合同的相对性原则，债务人(银行)应先向债权人(客户)负责，然后才能向第三人(isp)求偿，而不得以第三人造成损害，自己无过错而要求免责。再者从网上银行业务自身固有特点来看，其交易的每一个环节都是涉及到大服务器、软件及因特网等先进技术，如果要求客户去证明isp的过错，十分困难甚至是不可能的。基于以上考虑，笔者认为，应先由银行承担责任，但是对于赔偿损失的数额可以作一定的限定，如：仅返还本金及利息或是约定一个最高赔偿限额。而对于非因isp过错造成的通讯系统故障如由不可抗力因素造成的，银行则可以免责。
　　(二)电子讯息错误
　　电子传输过程中发生错误时，由于其传输高速、瞬息的本质，其所造成的错误将比传统交易难于察觉以及修正。譬如，客户在通过互联网转帐10000元由于输入错误，致使电子交易凭单上显示为100000元，此种情况下应由谁来对电子讯息错误负责呢?就我国网上银行实践来看，多数商业银行都将电子讯息错误作为免责事由之一，要求客户对自己发出的任何交易指令承担责任。 而根据《国际贷记划拨示范法》的规定，在一般情况下，错误的支付命令所造成的损失由发送人承担，但是也有例外情况，即如果发送人与接收银行约定使用检测错误复本、支付命令中的错误或不一致的程序，且接收银行使用该程序查出或本应查出错误复本、错误或不一致，那么发送人不对错误的电子讯息负责。虽然目前我国网上银行中没有设置《国际贷记划拨示范法》中所规定的“检测程序”，但从网上银行发展前景看，这是必然趋势。且许多国家的银行法中则早己明文规定，银行必须建立一套检测程序以及发现并纠正错误。[5]所以笔者认为应予以借鉴。笔者同时认为，出于保护消费者并减少电子错误的目的，网上银行在提供服务时应设计一些供客户确认的屏幕，即客户在确认其交易之意思表示之前应有几个程序供其做确认，而非一次输入即完成所有程序。如此也可以避免客户因一时疏忽或按错键而受拘束，对于银行和客户而言也可谓公平。
　　而至于服务协议中关于“乙方(银行)在接收到的指令信息不明、存在乱码、不完整，或是缺乏必要的交易信息时，没有正确执行甲方指令的，乙方可不承担任何责任”的约定， 笔者认为这样的约定有违公平原则。原因在于，其一，服务协议其它项规定“客户在发现错误后有通知银行的义务” ，而在此项约定中银行却无相应的通知义务，这显然造成银行与客户权利义务设定的不平等。其二，根据我国《合同法》第60条的规定，当事人应当遵循诚信原则，根据合同性质、目的及交易习惯履行通知、协助、保密等义务。所以，银行在接收到瑕疵电子讯息时应负有通知义务，以防止客户在不知情下延误商机或是造成迟延履行。而这项约定单方面免除了银行的通知义务，造成了银行与客户利益分配的失衡。其三，联合国《国际贷记划拨示范法》中也规定了接受银行在接受存在瑕庇的支付命令时应负有通知义务。[6]综上所述，笔者认为，银行应在服务协议中约定银行负有相应的通知义务，如因银行未履行通知义务而致使客户受损的，银行应承担相应的赔偿责任。
　　(三)未授权的支付命令
　　未授权的支付命令一般包括以下二种情形：1.由于客户原因遗失或泄露密码而导致第三人以客户名义发出支付命令;2.第三人破解客户代号或密码而发出支付命令。
　　就第一种情形而言，各国网上银行服务协议中均认定是免责事由，应由客户承担损失。这主要是因为在网上银行业务中，客户的代号或密码是交易的凭证且服务协议中均有约定客户有妥善保管密码的义务，所以如果因客户之原因遗失或泄露密码，则客户系有过错，应对自己的过错行为负责，除非银行有故意或重大过失不知此系未授权的支付命令。但是对于客户承担的责任均有限额规定，如美国的《电子资金划拨法》以及《e条例》(《regulatione》)中规定，客户通常对每笔交易仅承担50美元以内的责任。如果没有在遗失和盗窃后2天内通知银行，则承担500美元以内的责任。而英国的《银行行为准则》中也规定对于未授权的交易，在客户通知银行前所造成的损成的损失限于50英磅。而比较我国相关的立法中均无此种规定，且在网上银行的客户服务协议中也无相应的责任限额规定。笔者认为，对于目前网上银行业务发展尚不完善的情况下，要求银行对未授权的支付命令承担大部分责任或许要求过高，在现实中也不易操作。但从长远发展来看，无论是在传统的银行业务还是在网上银行业务中，规定责任限额是必然趋势。因为作为支付系统的控制机构，银行与客户相比明显处在优势地位，且这些支付工具通常同客户在银行或发行人的账户相联系，如果让消费者承担损失，可能会血本无归，因此从维护支付系统的信心来讲，由银行承担大部分的损失是一种必然的安排。再者从未来网络银行的发展趋势来看，各网络银行最终将形成一个统一的支付系统，这将形成一个网络效应，即加入的机构越多，其单个机构风险的分担就越少。所以要求银行对未授权的支付命令承担大部分的责任不会过分增加其风险的负担。
　　而对于第二种情形，目前有2种不同的观点。一种观点认为，因第三人破解授权使用者代号或密码而入侵网络系统所发生之损害，由银行负担风险。[7]另一种观点则认为，如果银行与客户之间约定使用“安全程序” 那么以客户名义签发给接收银行的支付命令只要通过了安全认证，无论支付命令是否授权，接收银行接收的支付命令均有效作为客户的支付命令。当然银行应举证证明自己已遵循安全程序。对于这两种观点，笔者更倾向于第二种。原因在于，其一，从网上银行业务自身特点来看，银行通过互联网进行金融服务，只能通过密码或代号来认证客户身分，所以只要是通过安全认证程序的支付命令(无论其是否授权)，均推定为已授权，否则不利于保障社会交易之安全和便捷。其二，从电子商务法技术中立原则 来看，要求银行对第三人破解密码后的欺诈行为负责，会使银行承担过重的风险，有可能会阻碍网上银行的发展。其三，联合国《国际货记划拨示法》中也采纳了第二种观点，确认安全程序的合法有效性，所以以出于立法统一性和与国际接轨的考虑，应采纳第二种观点。
　　目前我国网上银行业务中也采用了安全认证程序且一般由银行单方面设定。笔者认为，由于安全程序不仅是安全保障的需要，也是判断风险承担方的依据，所以由银行单方向设定，未免有失公正。所以，有必要在借鉴国外相关立法的基础上尽快规范完善网上银行的安全认证程序制度以保证交易的安全和利益分配的公平。

　　四、结语
　　网上银行业务在我国仍是一个新兴业务，其所面临的风险是难以预料的。本文仅从免责条款角度对客户与银行之间的风险分配作了一定探讨，以期达到客户与银行利益的平衡。但这远远不够，毕竟这是电子商务立法中的两难问题，其风险公平分配，只能有待于网上银行业务的成熟以及相关法律制度、保险业务的配套。


来源: 萧山建筑工程律师