网络银行是传统银行与网络的结合,网络银行的出现是近些年来银行业金融创新的重大举措。对于网络银行的具体含义,学术界从不同角度出发,给出了不同的界定。有学者认为,网络银行是指银行利用因特网技术,通过因特网向客户提供各种金融服务的银行。网络银行是计算机、因特网和银行的三位一体,它利用网络上的虚拟银行柜台向客户提供全天候的网络金融服务,又被称为网络银行、电子银行、在线银行。
网络银行(Internetbank or E-bank)是通过技术手段在地理上延伸的银行。网络银行,又叫电子银行、网上银行、在线银行。还有学者认为,网络银行又称电子银行或多媒体银行,是依托电子技术和因特网的发展而兴起的一种新型银行服务手段,是金融电子化最新发展的产物。由于各机构对网络银行问题的看法存在差异,网络银行的发展和监管策略各不相同,网络银行有不同的指代意义:其一是以INTERNET为背景的传统银行电子化业务(Internet Banking),其二是在传统银行以外兴起的以INTERNET为依托的另一种类型的银行(Internet Bank)。前者是一种金融创新,是对银行业务的发展,是传统银行利用计算机技术在因特网上建立网站,以替代原来需在柜台操作的诸种业务。后者是一种金融分化,是一种设在因特网上的虚拟机构,它不拥有存在于网络之外的独立的金融信息处理系统,因此是对传统银行地位的挑战。
按照巴塞尔银行监管委员会的定义,网络银行是指那些通过电子通道,提供零售与小额产品与服务的银行。这些产品和服务包括:存贷、帐户管理、金融顾问、电子支付,以及其他一些诸如电子货币等电子支付的产品与服务。而中国人民银行2001年7月9日发布并实施的《网上银行业务管理暂行办法》规定:本办法所称网上银行业务,是指银行通过因特网提供的金融服务。也就是说,该办法采纳了传统银行电子化业务(InternetBanking)的观点。笔者认为,在我国对金融机构设立采取严格审批制度的条件下,网络银行应是一种基于互联网平台而产生的金融产品提供方式。而在种种服务内容中,通过互联网实现资金的支付与结算则是网络银行相比传统银行服务的最大优势。
网络银行概念随着互联网经济的升温,在我国取得了快速的发展。对于蓬勃发展的网络银行,相对应的支付结算法律规则却发展滞后。网银支付结算的发展,给我国银行结算法律规则带来一系列冲击,同时,相关规则的缺失也在一定程度上制约了网银支付结算业务的发展。
一、网银支付结算引发的法律问题
按照民商法的基本原理,支付结算服务在法律上的属性是一种委托代理法律关系。即银行等具有支付结算职能的金融机构,作为资金支付方的代理人,依据资金支付方的指令,完成资金的划转与资金的清算。按照中国人民银行《支付结算办法》的规定:支付结算工作的任务,是根据经济往来组织支付结算,准确、及时、安全办理支付结算,按照有关法律、行政法规和本办法的规定管理支付结算,保障支付结算活动的正常进行。
在银行与资金支付方之间,支付结算行为所产生的基础法律关系是支付结算服务的协议。该协议因结算帐户的开立而产生,而每一次支付结算则依据票据、结算凭证等银行结算工具实施,票据、结算凭证的记载事项则成为资金支付方意思表示的载体。由于网银支付结算具有的无纸化或电子化的特点,与传统的银行支付结算相比,意思表示的确定成为首先需要面对的问题。
1、意思表示内容的确定
基于银行与资金支付方的委托代理关系,银行的义务是依据资金支付方的指令完成资金的支付与结算。在具体的支付结算业务中,判定委托方的意思表示是银行开展业务的基本前提。在传统的支付结算服务中,通过在书面的结算工具上加盖预留印鉴,并在结算工具上载明指令,使得意思表示内容的确定简单易行。而在网银电子支付环境下,银行如何确定资金支付方通过数据电文形式发出的指令内容则要困难得多。尽管PKI(非对称密钥体系)等网络安全技术措施已经能够保证数据电文意思表示内容的真实与完整,但技术手段获得相应的法律后果则需要通过法律加以规定。《中华人民共和国合同法》第十一条规定:书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。从而确立了数据电文可以作为意思表示的方式之一。但该规定仅仅是确定了数据电文能够用于意思表示活动,对于数据电文如何形成诉讼中的证据(原件要求)以及如何将建立法律后果与当事人之间的联系(签名)则没有作出规定。
基于对电子数据记载内容确定性的考虑,2000年6月29日,中国人民银行牵头,联合中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行等十二家商业银行共同参加,银行卡信息交换总中心承建了中国金融认证中心( China Finance Certification Authority缩写CFCA)。
上述的认证系统主要是采用PKI建立的,PKI(Pubic Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范,用户可利用PKI平台提供的服务进行安全通信。在现有的技术条件下,其所采用的不对称加密技术被公认具有很高的安全性、不可篡改性和不可抵赖性。从CFCA及各个银行自身建立的认证中心运转来看,证书颁发数量仍比较有限,这与当时CA认证长期在法律上未获得相应立法认可不无关系。
2、举证问题
按照民事法律的基本法理逻辑结构,在民事法律活动中,行为必须与相应的法律责任联系,即法律责任的实体规定和追究责任的程序规定是保障民事活动各方依据约定实施民事法律行为的基础。如果只有权利义务的约定而没有法律责任的实体规定和追究责任的程序规定,则该权利义务的约定很难得到实现。具体到网银支付问题而言,由于无纸化而带来的诉讼证据规则的适用是影响网银支付法律关系各方行为(包括交易倾向)的重要因素。
在网银支付结算中,数据电文如何形成诉讼中的证据(原件要求)以及如何建立法律后果与当事人之间的联系(签名),是举证问题面临的最大问题。
二、电子签名法带来的突破
2004年8月28日通过并于2005年4月1日起施行的《中华人民共和国电子签名法》作为我国第一部专门的电子商务法律,对于电子签名相关的实体和程序问题作出了规定,并首先确立了数据电文的证据规则,对于网络银行支付结算业务法律困境带来如下的突破:
1、确立了数据电文作为书面证据的原件规则即证据的形式合法性问题
按照我国《民事诉讼法》及《最高人民法院关于民事诉讼证据问题的若干规定》,诉讼中当事人向人民法院提供证据,应当提供原件或者原物。对此,电子签名法第五条规定:“符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:……。”第六条规定:“符合下列条件的数据电文,视为满足法律、法规规定的文件保存要求:(一)能够有效地表现所载内容并可供随时调取查用;(二)数据电文的格式与其生成、发送或者接收时的格式相同,或者格式不相同但是能够准确表现原来生成、发送或者接收的内容;(三)能够识别数据电文的发件人、收件人以及发送、接收的时间。”并规定了不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。这一规定,在根本上解决了数据电文作为证据的合法性问题。
该原件规则的运用,解决了网银支付结算活动中的意思表示内容判断问题。银行可以根据系统内接收到的电子指令作出相应的支付结算行为,并能够将数据电文在系统内保存以备调取和查阅。原件规则同时也为银行证明自身支付结算行为的正当性提供了举证的条件,从而能够避免网络银行操作中由于举证问题而带来的法律风险。
2、确立了证据真实性的判定规则
根据该法规定,数据电文作为证据的真实性,应当考虑以下的因素:(一)生成、储存或者传递数据电文方法的可靠性;二)保持内容完整性方法的可靠性;(三)用以鉴别发件人方法的可靠性;(四)其他相关因素。
以上要求为证据真实性判断提供了依据,在原件规则的基础上,进一步解决了数据电文作为证据的真实性问题。数据电文由于形成过程需要经过计算机系统的处理与传输,因而其真实性标准的判断较为复杂。从国内外实践来看,判断电子证据真实性主要通过四种方式,即自认、证人具结、推定与鉴定方式。但由于法律上缺乏可操作的标准,实践中对于数据电文形式的证据如何认定真实性仍存在较大的争议。电子签名法确定的真实性标准则为实践操作提供了法律尺度。
该规则的运用,对于银行而言,最大的价值在于能够通过书面文件客观地再现银行与客户之间真实的权利义务关系。真实性标准为银行的系统设置提供了切实可行的目标,即无论银行是采取自身的CA认证系统,还是通过CFCA认证系统,只要是能够达到法定的真实性标准,数据电文的内容即应被认可。
3、确定了数据电文证据与当事人之间关联性认定标准
在网银支付结算在中,确定银行是否依据资金支付方的指令完成资金的支付结算,是判定银行是否尽到受托人义务的基础。在这一过程中,判定发出指令的数据电文与资金支付方之间的关联关系成为至关重要的因素,电子签名法提供了这一关联性的判定标准。
电子签名法在我国法律中首次规定了可靠的电子签名与手写签名或者盖章具有同等的法律效力。而对于何为可靠的电子签名也作出了规定,即具备以下条件视为可靠的电子签名:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。
4、确定了举证责任规则
举证责任规则决定交易各方在交易活动出现障碍而需司法介入情况下的诉讼负担的分担,究其实质而言,属于交易中的未来不确定成本或不确定收益的分配规则。因而,举证责任的分担规则必定影响网银支付结算中服务提供方(银行)与资金支付委托方(客户)之间对网银支付结算的选择,不确定的举证规则也将影响各方采取网银支付结算方式的交易倾向。电子签名法对附加电子签名数据电文造成的损害赔偿责任规定了相应的举证规则,即:电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。
该规则的确定,使得证明签名系统可靠性的举证责任归于认证机构。当银行通过自身建立的CA认证中心开展业务活动时,基于对电子签名的信任而实施支付结算活动时,如果遭致客户损失,则证明无过错的举证责任在银行。而当银行基于对CFCA或其他认证机构签名的信任而实施支付结算活动时,则银行因依据电子认证服务提供者提供的电子签名认证服务从事支付结算活动遭受损失的,认证服务机构应负举证责任。
三、电子签名法对于网银支付结算的促进
1、为开展网银支付结算提供了基础性的法律环境
本文前面已经对数据电文形式的支付结算指令的合法性、真实性、关联性判断进行了分析,在符合电子签名法规定前提下,银行的支付结算流程、资料保存、行为正当性判断等方面均可以达到传统支付结算活动的要求。也就是说,电子签名法为网络信息技术应用与支付结算规则的融合提供了法律制度环境。
在电子签名法相关规则缺失情况下,网银的支付结算活动属于银行自发的探索,结算规则与信息技术的结合虽然具备技术与商务上的纽带和基础,其却没有法律上的结合机制,而电子签名法是网银支付结算功能走入制度轨道的保障。
2、为网银金融创新提供了条件
基于电子签名法,商业银行围绕支付结算活动能够产生的金融创新至少包含两方面:
(1)转帐支付方式的模式创新
在传统支付结算活动中,贷记转帐是最常用的支付方式之一。贷记转帐是指由付款人发出支付指令,指令其银行将一定的金额转移到指定的收款人帐户中去的转帐支付。[10]由于已经建立的银行间资金划拨与清算系统,贷记转帐方式非常适合电子化操作。电子签名法解决了付款人指令的认证问题,为贷记转帐的网络操作提供了条件。
(2)电子票据业务
目前,我国电子支付的手段主要还是通过信用卡、借记卡来实现的。但是,由于信用卡和借记卡的持卡人一般为个人,公司客户使用起来极不方便,而对于公司客户来说,其经常采用的票据结算方式由于《票据法》对票据格式的限制无法在电子支付中使用。
由于票据文义性要求,电子形式的票据面临着出票人确定、背书确定、文义确定、票据不被变造、票据伪造等问题,电子票据在支付结算活动中的应用难以推广。如我国《票据法》对于出票行为有严格的形式要求,需要依据法定条件在票面上签章,并具有必要记载事项,出票人承担票据责任的依据是票面的文义记载,其他票据债务人也是依据签章和记载事项承担责任。
持票人行使票据权利过程中,无论是承兑提示、付款提示、还是背书转让等票据行为,均需要在票据上签章。按照票据法第七条的规定:“票据上的签章,为签名、盖章或者签名加盖章。法人和其他使用票据的单位在票据上的签章,为该法人或者该单位的盖章加其法定代表人或者其授权的代理人的签章。在票据上的签名,应当为该当事人的本名。”
由此可见,我国现行的《票据法》将签名这一形式要件严格限定在手写签名或签章的形式范围内,不承认经过电子签名的非纸质的电子票据的支付和结算方式。《电子签名法》解决了票据的文义记载内容的确定性,以及票据当事人电子签章的法律效力,从而为网银支付结算中的电子票据提供了法律解决方案。
四、电子签名法在网银操作中的局限性与对策
尽管电子签名法具有将网络信息技术与支付结算规则结合的功能,但不容否认的是,电子签名法毕竟是我国第一部专门的电子商务法律,很多规定只是确立了一般的原则。针对网银支付结算活动,电子签名法最大的局限在于:数据电文与电子签名可靠性的证明问题。
如本文分析,电子签名法确定了数据电文作为证据的合法性、真实性、关联性标准。但如何证明“可靠”却并未规定。
如电子签名法第五条规定了数据电文如果能够可靠地保证自最终形成时起,内容保持完整、未被更改,则视为满足法律、法规规定的原件形式要求。但这里有一个证明环节,即由谁来确定、如何确定“可靠”?
第八条规定了真实性标准,即数据电文作为证据的真实性,应当考虑以下的因素:(一)生成、储存或者传递数据电文方法的可靠性;(二)保持内容完整性方法的可靠性;(三)用以鉴别发件人方法的可靠性;(四)其他相关因素。此条规定在操作中同样面临“可靠”的证明问题。第十三条对于何为可靠的电子签名也作出了规定,但同样缺乏“可靠”性的证明标准。
笔者认为,解决“可靠”性的证明标准,应当通过立法确立专门的鉴定机构,由国家有关的金融主管部门、国家商业密码管理机构、信息产业管理部门等联合建立专门的“电子认证技术委员会”或者是“电子认证技术鉴别委员会”,作为认定数据电文和电子签名“可靠”的机构。或者通过相应的行政法规,授权CFCA作为统一金融认证标准制定机构,对于银行与客户而言,采用CFCA的数字证书,由CFCA提供“可靠”性的证明,则可以解决这一问题。
总体而言,电子签名法作为电子商务的基础性法律,对于网银支付结算业务的发展具有重大的推动作用。法律规则的完善增强了网银交易各方对于交易法律后果的判断能力、从而在一定程度上消除了人们对于电子支付这一新兴支付方式的疑虑,提升通过网银进行支付结算的交易倾向。由此带来的一个命题是,电子签名法和其他支付结算的规则应不断完善以适应网络银行支付结算业务发展的需要。
随着技术进步,支付结算工具创新,结算渠道日益扩展,支付结算操作向自动化、信息化、电子化方向发展。与此同时,支付结算风险也随之增加,并出现新的形式、新的特点,直接威胁着商业银行的资金安全,银行有责任也有义务通过多种有效方式避免出现资金支付风险案件,防范支付结算风险,已成为商业银行经营管理的重中之重。
新形势下主要支付结算风险
具体分析,主要有以下几类支付结算风险。
账户管理风险。不法分子为了开展非法行为或规避资金监管,往往通过冒用他人身份证件、虚构代理关系、开立虚假账户等方式为非法资金转移提供渠道。商业银行在开户环节和账户管理上稍有松懈,就会为不法分子提供机会,进而产生结算风险。
电信诈骗风险。随着支付结算方式的多样化,电信诈骗成为当前支付结算工作中面临的重要问题。电信诈骗隐蔽性强,侦破难度大,受害群体广泛,对社会经济和金融稳定具有较大危害,为支付结算工作带来新的挑战。
信用卡犯罪风险。消费方式转变使信用卡的使用范围更加广泛,也使信用卡成为不法分子关注的对象。以办理大额信用卡为诱饵进行诈骗,冒用丢失卡或被盗卡、非法盗用他人信息多头办卡、盗刷、伪造卡及恶意套现、恶意透支等违法现象的增多日益受到商业银行和监管部门的重视。
电子支付风险。支付电子化已成为支付结算的发展方向,但利用互联网进行高科技作案的违法行为日益突出,在电子支付活动中,网络黑客猖獗破坏,支付数据伪造、变造、更改与涂销问题越来越突出,对社会影响越来越大。同时,新兴小额支付免密服务也使资金面临被盗风险。科技手段在为人们提供极大便利的同时也带来了不可轻视的风险。
系统漏洞风险。电子支付的业务操作和大量的风险控制工作均由电脑软件系统完成。目前,银行核心系统在技术和管理中往往存在不同程度的漏洞,安全性参差不齐,这为“有心人”作案提供便利。特别是随着办公流程的电子化,系统漏洞为内部人员作案埋下隐患。
内外勾结作案风险。从2017年发生的案件来看,如,王某某勾结某银行蚌埠固镇支行行长骗贷14亿元,内部人员利用银行管理漏洞及自身职务之便挪用、骗取资金,仍然是商业银行面临的重要风险。这类风险往往涉案金额更大,影响面更广,声誉损害更严重,防范形势也更严峻。
支付结算风险的防范对策
针对新形势下出现的主要支付结算风险,提出六项防范对策。
厉行账户新规,守好开户关口。银行在办理开户业务时必须严格落实《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发【2016】261号文)、《中国人民银行关于改进个人银行账户服务 加强账户管理的通知》(银发【2015】392号文)等文件要求,必须认真核验申请人身份信息,对其所提供身份证件的真实性、有效性、开户申请人与身份证件的一致性和开户申请人开户意愿进行核实。对于有疑问的要通过进一步交谈或提供辅助证件等进一步核实,严禁核对形式化,严把开户关,有效控制账户风险。
加强公益宣传,做好防骗提醒。一是加强对商业银行工作人员的宣传与培训,特别是要提升柜员对诈骗事件的辨别能力。二是加大对支付结算工作的宣传,引导客户正确认识支付结算业务。三是要加大自助设备巡查力度,同时制定相应的应急机制,保证一旦有案件发生能做到快速响应。
加强制度建设,落实问责机制。首先,商业银行进一步加强自身制度建设,完善内控机制,避免出现制度“盲区”。其次,要进一步加强对开户环节、大额支付环节和对账环节制度执行情况的监控检查,切实防范资金风险。第三,要加强人员管理,建立问责机制,从制度上避免人为因素导致的违规现象。在信用卡支付方面,也应完善信用卡的功能,提供新颖的消费方式来吸引消费者的同时也要强化信用卡的风险管理,建立一套从发卡审查、使用、授权、清算到债权清讨的风险防范机制,既要在实际中总结经验,也要借鉴国外银行好的做法。
大力发展电子支付安全技术,实现技术和管理双重保障。在技术层面,适时更新电子支付网络系统,补漏网络缺陷,确保计算机设备、通信环境和机房建设状况等达到安全运行标准,软件系统要加强对外的防火墙和网络监测,保障信息在传输中或在存储介质中不发生丢失和泄露,而且要经得住窃密和黑客攻击的考验,确保银行和客户资金的安全。在管理层面,要从制度上约束电子支付操作行为,严格贯彻落实电子支付管理的制度法规,完善内部电子支付制度,按照安全管理制度规定设置和配备操作岗位和操作人员,避免违规操作,并加强安全认证和信息安全管理,以有效制止失误和犯罪。
完善核心系统,提高“机控”水平。银行应根据当前技术水平及业务发展需要,不断完善自身操作系统,从系统上对内部账户等敏感环节进行控制与约束,减少系统漏洞,提高系统智能化水平,特别是对于重要环节要降低人为因素的影响,避免人工操作的不确定性,为风险防控提供系统支持。
加强制度建设和监督检查,提高队伍素质。一是加强制度基础建设,完善会计内控制度。要随着支付业务的发展,不断完善制度,不给犯罪分子可乘之机。二是加强监督检查,加大惩处力度,避免有章不循、违规操作现象,同时也要建立激励机制,对于经营管理好,防范风险或堵截案件有功的单位和个人给予一定的物质和精神奖励。三是提高队伍素质,着力培养适合业务发展需求的员工,并结合道德教育、风险教育,减少内部员工作案。