一、基本案情

　　2004年2月，湖南某市李某在该市丫商业银行(下称丫银行)开立个人结算账户，并填写《开立个人银行结算账户申请书》和《电子银行个人客户注册申请表》(以下简称《注册申请表》)，申请开通个人网上银行业务。在填写<注册申请表》时，李某选择开通”任意账户转账”功能，但是未申请办理客户证书。2004年10月3日，李某向银行提出投诉，称其在未办理取款和转账手续的情况下，其银行账户余额由5000余元变成了13．4元。经银行查询交易明细，该账户于9月29日曾发生过一笔金额为4970元的网上银行转账交易，同时系统自动扣收手续费49．7元。李某向公安机关报案，但尚未侦破。李某认为，外艮行负有保障储户存款安全的义务，应当对其存款损失承担赔偿责任。Y银行则认为，该行网上银行不存在安全问题，应当由李某本人对其网上银行转账资金负责。因双方协商未果，李某遂于同年1 2月9日向法院提起诉讼，要求法院判令被告丫银行赔偿其存款损失501 9．7元。

　　法院经审理查明，双方争议的焦点主要在以下三个方面：(1)关于银行的告知义务。原告认为，在开通网上银行时被告并未告知其可以购买客户证书，导致原告未能通过客户证书实现对资金转账的有效控制从而发生资金损失。被告丫银行辩称，根据原告与Y银行签订的《电子银行个人客户服务协议》(以下简称《服务协议》)，已经规定由客户自己选择使用密码或客户证书认证身份，原告未选择使用证书导致的后果应由其自己承担。(2)关于<服务协议》的法律效力。原告认为，由于被告并未在《注册申请表》背面的{服务切、议}上盖章，因此，《服务协议》有关内容不能成为双方协议条款。被告丫银行辩称，在双方签字盖章的《注册申请表》上，已经明确规定“本人自愿申请注册电子银行，同意遵守《服务协议》及相关业务规定。对因违反规定而造成的损失和后果，本人愿意承担一切责任”，因此，《注册申请表》背面的《服务协议》应当属于双方一致同意的生效合同，原告应受<服务协议》有关条款的约束。(3)关于原告账户资金损失的原因。原告认为，客户在登录被告Y银行网上银行时，只需输入注册卡卡号和密码即可，而其他一些商业银行网上银行则需要同时输入附加码进行验证，因此，在自己并未转账或取款的情况下，其资金损失系因被告网上银行系统安全性存在缺陷导致。被告Y银行辩称，网上银行业务具有极强的安全性和专业性，是否输入附加码进行验证只是其中一个环节，而且无附加码验证环节并不会影响其安全性能，也不会导致原告资金损失；原告资金损失是因为其个人电脑遭遇黑客袭击账户导致密码泄露所致，与银行无关。

　　针对上述焦点问题一审法院认为：(1)原告在被告处开立银行账户并申办网上银行业务，双方已形成储蓄存款合同关系；《服务协议)实际上是《注册申请表》的一个附件，只有在接受《服务协议》的前提下，银行才能接受客户申请办理网上银行的申请。本案原告在《注册申请表》“申请人申明”一栏签名，表明其已阅读并同意遵守<服务协议》；而且，根据<合同法)第三十七条”采用合同书形式订立合同，在签字或盖章之前，当事人一方以履行主要义务，对方接受的，该合同成立”的规定，原、被告双方在案发之前一直履行<服务协议)约定的行为，也应认定《服务协议)对双方具有约束力。(2)根据目前多数商业银行通行的网上银行业务规程，客户有权自主选择使用密码或客户证书作为银行识别客户身份的方式。根据<注册申请表》背面《银务协议》关于客户证书的说明，应当认定原告自动选择密码而放弃申请使用客户证书控制其资金，其认为只有大客户方可购买客户证书是一种误解。

　　(3)客户密码具有私密性和惟一性等特点，根据商业银行电子银行交易中“凡使用密码进行的交易，均视为客户本人所为”的操作惯例，以及《服务协议)中关于“乙方根据甲方的电子银行业务指令办理业务，对所有使用甲方注册卡号、客户编号，密码及客户证书进行的操作均视为甲方(原告)所为，该操作所产生的电子信息记录均为乙方(被告)处理电子银行业务的有效凭据”的规定，由于本案网上银行转账交易系通过客户密码进行，在本案刑事案件侦破之前，法院无法查明密码外泄根本原因，应当认定该笔资金转移属于原告本人所为；被告Y银行主张原告个人电脑遭遇黑客袭击账户导致其密码泄露，因缺乏证据支持，不予支持。(4)虽然目前国内一些商业银行的网上银行业务在登录时具有输入附加码环节，但这并不足以表明被告Y(艮行的网上银行业务存在安全漏洞，因此，原告认为被告网上银行系统存在安全缺陷的诉讼主张不予采信。据此，一审法院判决驳回原告诉讼请求。

　　原告不服一审判决提出上诉，二审法院经审理后判决驳回上诉，维持原判。

　　二、有关法律分析

　　随着网上银行业务的快速发展，因使用网上银行而产生的纠纷也日渐增多，如何科学地确定银行和客户的权利义务关系，从而有效地保障网上银行交易安全，是值得关注和研究的一个重要问题。

　　(一)网上银行客户和银行的法律关系

　　在网上银行客户和银行之间，实际上存在储蓄合同和网上银行服务合同两种法律关系；(1)在储蓄合同法律关系中，银行负有妥善保管客户账户资金。按照客户需求办理存取款及挂失，为客户保密等义务，客户负有妥善保管存折、储蓄卡或信用卡及其密码等义务。(2)在网上银行服务合同法律关系中，银行负有提供安全。快捷的网上银行交易环境。按照客户指令办理网上银行业务等义务．客户负有按照服务协议有关规定进行操作并缴纳相应服务费用的义务。

　　应当指出，上述两种法律关系具有密切的联系，储蓄资金是网上银行交易的对象，因而储蓄合同法律关系是建立网上银行服务合同关系的前提；网上银行服务合同法律关系实际上又是储蓄合同法律关系在网络上的一种延伸；银行或客户在其中任何一个法律关系中的违约行为都可能导致其在另一个法律关系中违约。例如，如果银行提供的网上银行交易系统存在安全漏洞，导致客户账户被非法侵入或资金被非法盗取，那么在储蓄合同中银行就存在未能为客户保密或未能按时足额支付向客户支付存款等违约行为；同样，如果客户在储蓄合同中将银行账号及密码泄露给他人，不仅违反了其在储蓄合同中的保密义务，也违反了其在网上银行服务合同中的保密义务。

　　(二)网上银行交易系统是否存在安全漏洞

　　本案中原告认为，丫银行提供的网上银行交易系统存在安全漏洞，应当为其资金损失承担责任。笔者认为这种观点不能成立。实践中，国内各商业银行为了保障网上银行的安全，在系统安全，网络运行安全和局域网安全等方面均采取了一系列措施。应当指出，在现有科技条件下，这些措施能够有效杜绝银行网上银行交易系统被黑客攻破或被病毒侵入等不安全隐患。在并无直接证据的情况下，本案原告主张被告网上银行交易系统存在安全漏洞的主张不能成立。

　　此外，在客户输入账号和密码的基础上通过附加码对客户身份进行验证，是银行预防非法用户使用软件自动猜测网上银行客户密码所采取的进一步安全防范措施，但是否采取附加码验证客户身份与客户资金损失之间，并不存在必然的因果联系：如果网上银行交易系统本身不存在安全漏洞，那么即便银行不提供附加码验证这一环节，仍然可以有效地识别客户身份；如果网上银行交易系统本身存在安全漏洞，即便银行提供附加码验证这一环节，也仍然难以有效保护客户账户和资金安全。因此．问题的核心还是在于网上银行交易系统的安全性。本案中，一审法院正是据此采纳了丫银行关于“无附加码验证环节并不会影响其安全性能，也不会导致原告资金损失”的抗辩理由。

　　(三)客户密码对于交易安全的重要作用

　　客户在使用网上银行业务过程中，通常需要使用两个密码：(1)登录密码，即登录网上银行界面所需输入的密码；(2)转账密码．即通过网上银行对外支付款项时所需输入的密码。作为网上银行交易系统识别客户身份的重要依据，上述密码对于维护客户账户资金安全具有非常重要的意义，泄露其中任何一种密码都可能导致客户资金损失．因此，客户应当负有妥善保管密码的义务；同时，由于客户密码完全是由客户本人设置，且经过不可逆加密算法存放在银行交易数据库中，因此，客户密码表现出私密性和惟一性等特性，即便银行工作人员也不可能知悉，如果使用密码进行网上银行交易，在没有相反证据的情况下就应当推定该交易是客户本人所为或客户授权的人所为，否则，就是对客户不妥善保管密码行为的一种放任，将不适当地扩大网上银行的风险和责任。基于上述理由，商业银行在制订网上银行业务章程或与客户签订《网上银行服务协议》时，通常规定类似“凡使用密码进行的交易，均视为客户本人所为”的条款，本案一审法院正是据此认定原告资金转账交易属于其本人所为。

　　根据VISA国际组织发布的调查结果，有85％的网上银行事故是因客户不具备基本常识或出现误操作造成，从近几年国内发生的网上银行纠纷案来看，客户资金损失几乎都是因为客户密码泄露所致，但银行交易系统被黑客攻破的案例尚未发生。

　　针对上述问题，目前国内商业银行大多提供网上银行客户证书作为客户可以选择的风险防范措施。如果客户选择使用这种硬件加密方式，银行在识别客户身份时就必须通过交易系统对客户证书和密码同时进行核对，这样既可以避免客户不慎泄露账号。密码后面临的风险，也能够有效防止不法分子通过假网站实施欺诈的隐患。本案中，由于原告李某在申请开办网上银行时未选择使用客户证书，因而无法通过硬件有效控制其账户资金，最终出现资金损失。

　　三、相关启示

　　(一)正确认识网上银行安全漏洞和欺诈风险

　　网上银行安全漏洞和网上银行欺诈风险是有明显区别的两个概念，前者是指银行交易系统本身在安全性能上存在的缺陷，后者是指不法分子骗取客户账号及密码信息后冒用客户名义注册或登录网上银行后窃取客户账户资金的风险。对于银行而言，应当充分利用最新科学技术不断增强网上银行的安全性能，为客户提供更加安全可靠的网上银行交易环境。对于客户而言，应当着重注意防范网上银行欺诈风险，避免因为自身的疏忽大意或过失导致资金损失。

　　(二)注意引导客户提高风险防范意识

　　为避免网上银行欺诈风险，银行应当注意引导客户提高风险防范意识。银行应当明确告知和要求客户严格遵循网上银行操作指引，下载所有安全保障程序，及时升级软件系统和防杀毒软件；提示和鼓励使用客户证书控制账户资金；采用字母。数字混合的方式设置不易猜测的密码，将网上银行登录密码和转账支付密码设置为不同的密码，提高密码破解难度；客户不得将账号或密码告知他人，避免在公用计算机上使用网上银行，避免浏览非法网站，通过正当渠道下载软件，不打开来路不明的邮件，登录网上银行时注意核对网址是否正确，做好网上银行交易记录，定期打印网上银行业务对账单，发现异常交易或账务差错时立即与银行联系。

　　(三)制定网上银行安全强制认证标准和程序

　　在网上银行业务迅速发展的形势下，如果国家有关部门能够制定网上银行安全认证标准和程序，推行强制性的安全认证，将有助于提高商业银行网上银行服务的安全系数，进一步增强社会公众对网上银行安全性能的信任度，保障国内网上银行业务健康发展。信息来源：中银网  张炜