【摘要】近年来,我国的电子银行业务得到了飞速发展,蕴藏了较大的风险。法律风险是指违反或不遵从法律法规所带来的各当事方遭受损失的可能性,或者法律的不明确或不完善导致各当事方遭受的损失的可能性。电子银行的法律风险包括两方面的内容:第一,法律风险源于对既存法律、法规的违反,此类风险可能使电子银行有关当事方面临民事、行政或刑事责任风险,也可能导致银行声誉贬低、业务机会受限、拓展潜力降低和缺乏合同的可实施性等。第二,法律风险还源于法律规定的模糊或缺失。巴塞尔银行监管委员会认为,与传统银行的法律风险相比较,电子银行的法律风险新增了四个方面:(一)通过电子媒介达成的协议的效力不确定。(二)银行在认证系统中也有可能扮演一种新的的角色,即成为电子认证机构。但现行法律对认证机构的法律地位规定得并不明确。(三)在电子银行时代,电子银行业务与电子货币行为给银行零售业务带来的新特点,使各当事方的权利义务处于不确定状态。(四)消费者保护法是否适用于电子银行业务与电子货币行为不明确。我国《电子签名法》已经基本建立了有关数据电文的法律框架,基本上可以防范第一类电子银行法律风险。确定认证机构的法律地位的关键因素之一是认定认证机构与电子签名依赖方之间的关系的性质,电子签名人与认证机构之间的合同属于德国法上的“附保护第三人作用之合同”。美国《统一商法典》第4A编创立了一整套全新的概念和规则,为建立电子银行法律制度提供了范例。国家对电子商务中的消费者保护和对传统商务中的消费者应实行同等保护原则。互联网金融的发展已经使得非金融机构事实上也在从事部分银行业务。这进一步突显了我国电子银行相关法律法规的不完善,增加了电子银行的法律风险。我国应从多方面健全电子银行法律法规,减少电子银行法律法规不明确、不完善引起的法律风险。
【关键字】电子银行;法律风险;互联网金融;巴塞尔银行监管委员会
一、电子银行法律风险的界定
在实践中,风险作为金融活动和金融市场的内在属性之一已是不争的事实。但是,要在理论上为风险作一个准确的界定并非一件容易之事。有学者认为,风险本身具有多种含义,与其从某一领域的风险专家的定义中为风险找一个“准确的”定义,不如采取折中的方法,在必要的时候采用他们自己的术语和定义。在通常情况下,风险与不同的主题有着模糊的联系,例如,在金融领域,风险一般涉及与投资决定相关的投机风险(speculative risk),但是,越来越多的观点认为金融风险应建立在更广泛的基础上,不仅包括任何机构做出的决定的风险,而且风险还与整个组织机构、过程、管理程序、人力资源及影响决定过程的文化相联系{1}41。尽管如此,仍有众多的学者试图解释何为风险。有关风险,有学者认为,风险与不确定性联系在一起,风险是资产价值、股票价格和盈利情况出现非预期结果的不确定性,从广义上可分为商业风险和金融风险,金融风险,指涉及金融市场交易而带来收益或损失的不确定性,例如利率的变动{2}4。也有学者认为,风险与损失相联系,风险是损失发生的可能性,或可能发生的损失,只有低于预期收益的损失可能才构成风险,金融风险所涉及的损失,不仅包含对原来拥有的资本成本的失去,而且包括机会成本的损失{3}15-20。还有学者认为,一项金融活动或一个金融产品的风险是与不确定性和相应的不利后果相联系的。根据此观点,一个金融产品的价格和收益的波动性可以用来衡量其不确定性,但只有当此种不确定性可能给投资者带来损失时才构成这一投资载体的风险{4}248。虽然存在不同的观点,但经济学上一般认为,所谓金融风险,是指人们在从事金融活动中遭受损失的不确定性。金融活动中变动着的不确定性差异越大,风险也就越大。
关于金融风险所涉及的主体,又有狭义与广义两种不同的理解。狭义的理解认为,金融风险涉及的范围仅指银行、信托投资公司、证券公司等金融机构在经营活动中所面临的风险;而广义的理解认为,金融风险涉及社会经济生活的各个方面,且牵涉各种经济主体。凡是由于经济主体在筹集资金和运作资金而面临的遭受损失的不确定性,均可称为金融风险{5}21。本文对金融风险采取广义的界定,除了金融机构所面临的风险外,也将包括客户在内的其他相关主体面临的风险囊括在内。
近年来,我国的电子银行业务得到了飞速发展。据中国金融认证中心发布的《2013中国电子银行调查报告》显示,中国电子银行业务连续四年呈增长趋势,其中,全国个人网银用户比例较2012年增长了1.7个百分点。在企业网银方面,2013年企业网银用户比例为63.7%,较2012年增长10个百分点;平均每家企业网银活动用户使用网上银行替代了63%的柜台业务,而在2009年,这一比例为50.7%。2013年,76%的企业使用网上银行替代了超过一半以上的柜台业务。与此同时,手机银行业务展现出巨大潜力。2013年全国地级以上城市城镇人口中,个人手机银行用户比例为11.8%,较2012年增长近3个百分点,连续3年呈增长趋势{6}。近两年来,受移动购物需求的推动,移动远程支付[1]得到快速成长,而近场支付[2]由于经历了相当长时间标准纷争和利益博弈,一直没有形成大规模商用,导致发展缓慢。调查数据显示:2013年移动远程支付用户比例为13.3%,较2012年提升了近4个百分点;2014年移动近场支付用户比例为3.6%,较2012年提升了0.4个百分点;用户使用移动远程支付的金额占比为95%,移动近场支付金额占比为5%。移动远程支付中,网上购物是支付金额占比最大的支付场景;移动近场支付中,超市购物和商场购物是支付金额占比最大的场景;手机刷 POS 机是支付金额占比最大的支付方式{6}。
电子银行业务存在着很大的风险。虽然,电子银行风险属于金融风险,但与传统银行风险比起来,电子银行风险更多地来自于电子通信技术的应用。电子通信技术的运用冲破了银行交易的时空局限、降低了银行的运营成本、提高了交易效率,但也潜藏着一系列风险因素。当发生风险事件,客户资金和其他权益的损害难以估算,银行也面临大量损失的风险,甚至酿成系统风险,影响国家金融稳定。根据以上有关风险的界定,本文将电子银行风险界定为:由于计算机系统,特别是互联网和其他电子通信网络在银行业务中的广泛运用而使从事银行活动的各当事人遭受损失的不确定性或可能性。
作为现代银行提供服务的重要渠道,电子银行几乎可以提供传统银行的所有业务,当然,传统银行的风险,如信用风险(Credit Risk)、流动性风险(Liquidity Risk )、市场风险(Market Risk)也都会出现在电子银行业务中。巴塞尔银行监管委员会(Basel Committee on Banking Supervision)认为,从事电子银行业务的银行可能通过非传统渠道扩展信贷范围,并在传统地理界线外扩宽市场。对于通过远程银行业务程序申请贷款的借款人,如果确定其信用等级的程序不当,将增加银行的信用风险{7}9。巴塞尔银行监管委员会认为,对于从事电子货币业务的银行而言,如果他们不能保证在任何时候都有充足的资金以供赎回和结算,那么流动性风险是值得注意的{7}9。电子银行利用其自身的优势进行多种业务,例如销售自营的理财产品和代售保险、信托产品,这些电子业务有可能增加银行的市场风险。虽然互联网的开放性和多样性使电子银行面临着特殊的风险,但是巴塞尔银行监管委员会认为,电子银行业务和电子货币行为,并未从本质上产生新的风险,但是电子银行业务和电子货币行为的特征增加并修改了与银行活动有关的某些传统风险,特别是增加了法律风险、操作风险、战略风险和信誉风险,因而影响银行风险的整体状况{7}5,{8}1。本文先简单分析操作风险、战略风险和信誉风险,然后专门就法律风险进行研究。
巴塞尔银行监管委员会在2001年将操作风险(Operational Risk)定义为:由不当或者失效的内部控制过程、人员和系统以及外部事件所造成的损失[3]。巴塞尔银行监管委员会将操作风险的来源分成7类:内部诈骗(internal fraud)、外部诈骗(external fraud)、雇员行为及工作场所安全性(employment practices and workplace safety)、客户、产品以及业务活动(clients, products, and business practices)、对实物资产的破坏(damage to physical assets)、业务中止以及系统故障(business disruption and systemfailures)、交易的执行、交付和过程管理(execution, delivery, and process management){9}2。
电子银行中的信息技术能够以多种方式产生或增加操作风险。第一,外部攻击的风险。电子银行的身份认证、访问限制、银行监管措施、认证机构的可靠性以及与外部的通信等环节都可能会造成安全性风险,黑客可以通过通信网络攻击电子银行系统,从而访问、获取和使用机密信息,实施未经客户授权的交易,可能会给客户和银行造成经济损失。第二,内部攻击的风险。银行内部职员对业务漫不经心、过失或者欺诈篡改账户数据、截留账户资金也可能造成严重的操作风险。第三,电子银行系统设计、实施和维护方面的风险。电子银行本身可能会由于技术缺陷或技术过时遭受服务中断或无法提供完善服务的风险;另外,如果电子银行是依赖外部服务提供商来实施、运行和支持其银行系统,外部服务提供商的技术、管理水平,也可能会影响电子银行系统的运行。第四,客户错误或欺诈性操作的风险。如果银行没有就安全预防问题向客户进行足够的宣传和教育,就会产生误操作风险。另外,由于缺乏足够的措施来验证交易,客户可能会否认他们曾授权过的交易,使银行蒙受损失。第五,认证系统风险。电子银行系统的运作往往依赖于某认证系统(该银行自建的认证机构,或第三方认证机构),其主要负责数字证书的产生、发放及管理,在此过程中也会潜藏一定的操作风险。
美国财政部货币监理署(Office of Comptroller of Currency,简称 OCC)认为,战略风险(Strategic Risk)是指因决策失误、决策的实施不当或对行业变化缺乏响应而对银行收益或资本所造成的不确定性{10}10。战略风险受该银行战略目标的一致性、为实现这些目标而制定的业务战略、为实现目标而利用的资源、实施质量等诸多因素的影响。为实现战略目标而必需的IT 资源包括有形资源(如计算机硬件、软件、传输网络等)和无形资源(如管理能力和才能等)。当银行管理部门未能恰当地计划、管理和监督与IT相关的产品、服务、过程和传送渠道时, IT的应用就会产生战略风险。另外,如果管理部门没有理解、支持或应用互联网技术,而该技术对银行的竞争能力又是至关重要时,或银行使用了某项不可靠的技术时,也会产生战略风险{11}67。
声誉风险(Reputational Risk)是指负面的公众舆论而导致银行资金或客户流失的风险。与传统银行相比,电子银行的声誉风险更具特殊性,其原因主要有以下三个方面:第一,具有重大影响的广泛的系统缺陷,可能造成客户的不便或损失,导致客户停止使用电子银行服务;第二,重大的安全事故、病毒的破坏和黑客的攻击会造成系统故障,造成客户的流失;第三,其他机构出现声誉风险往往引起信心危机,声誉风险不仅针对特定银行,而且会蔓延到整个银行系统,在极端情况下甚至会导致整个电子银行的系统性中断{7}7。
法律风险(Legal Risk)是指违反或不遵从法律法规所带来的损失的可能性,或法律的不明确或不完善导致各当事方遭受损失的可能性[4]。据此,电子银行的法律风险包括两方面的内容:一方面,法律风险源于对既存法律、法规的违反,此类风险可能使电子银行有关当事方面临民事、行政或刑事责任风险,可能导致银行声誉贬低、业务机会受限、拓展潜力降低和缺乏合同的可实施性等。另一方面,法律风险还源于法律规定的模糊或缺失。有学者将此类法律风险称为“环境型法律风险”(Environmental Legal Risk),即由于法律本身所导致的风险,包括法律的发展变化或者是法律本身的不全面或不完善使得法律没有涵盖新出现的金融业务或产品{12}5。本文主要研究“环境型法律风险”,探讨如何建立和完善电子银行法律,减少法律的不确定性,降低当事人的法律风险。
巴塞尔银行监管委员会认为,与传统银行的法律风险相比较,电子银行的法律风险新增了四个方面:第一,通过电子媒介达成的协议的效力不确定。这实际上是数据电文的法律效力问题,因为只要以数据电文作为意思表示载体的法律效力得以确认,则通过数据电文达成的协议当然具有法律效力。第二,随着电子商务的发展,银行在电子认证系统中也有可能扮演一种新的角色,即成为电子认证机构。但现行法律对电子认证机构的法律地位规定得并不明确,因此,电子认证机构的角色给银行带来了新的法律风险。第三,在电子银行时代,电子银行业务与电子货币行为给银行零售业务带来的新特点,使各当事方的权利义务处于不确定状态。第四,消费者保护法是否适用于电子银行业务与电子货币行为不明确{7}8。
电子银行业务广泛使用数据电文(data message)来传送信息,这与一般的电子商务没有区别。所以,通过电子媒介达成的协议的效力不确定问题实际上是数据电文的法律效力问题,只要作为意思表示载体的数据电文的法律效力得到确认,则通过数据电文达成的协议当然具有法律效力。有关数据电文的法律效力,在广泛借鉴联合国国际贸易法委员会《电子商务示范法》(UNCITRAL Model Law on Electronic Commerce)和《电子签名示范法》(UNCITRAL Model Law on Electronic Signature)的基础上,我国《电子签名法》第4条规定:“能够有形地表现所载内容,并可以随时调取查用的数据电文,视为符合法律、法规要求的书面形式。”同时,有关数据电文的发送与接收、数据电文的归属(attribution of data message)等问题,我国《电子签名法》也都作有规定。虽然《电子签名法》的相关规定可以在借鉴《联合国国际合同使用电子通信公约》(United Nations Convention on the Use of Electronic Communications in InternationalContracts)和进一步研究的基础加以完善[5],但是,《电子签名法》已经建立了有关数据电文的法律框架,基本上可以防范由于数据电文法律地位不确定所导致的法律风险。本文对此不再展开论述。
与认证机构有关的风险包括两个方面:首先是认证机构的法律地位不明确所带来的风险,其次是随着电子商务的发展,银行寻求在电子认证系统中发挥一定的作用,认证机构的角色给银行带来了法律风险。认证机构的角色给银行带来的风险的大小同样取决于认证机构的法律地位,而认证机构的法律地位基本上是由其与其他当事方的法律关系决定的。由于将认证机构与电子签名人的法律关系认定为是特定的合同关系已不存在大的分歧,所以本文重点分析认证机构与电子签名依赖方之间的关系。
由于不存在专门调整电子银行的法律或有关法律不完善,造成电子银行各当事方的权利和义务的不确定,从而妨碍电子银行功能的正常发挥。无论是电子银行服务的提供者还是电子银行服务的使用者,都希望将电子银行业务中产生的风险或损失由其他当事方承担。因此,必须有完备的法律制度在电子银行的各当事方间分配权利、分担义务,保证电子银行各当事方权利义务的公正平衡,使电子银行业务得以顺利开展。完善电子银行法律制度的另一个目的,是在产生不可归责于电子银行交易各当事方的损失时在当事方间合理地分担损失,以化解风险。美国《统一商法典》第4A 编(Article 4A)创立了一整套全新的概念和全新的规则,基本上解决了上述问题,为建立电子银行法律制度提供了范例,本文作者曾在不同的著述中对此有过论述[6]。在本文中,作者以大额电子资金划拨法律关系的性质为例论述电子银行的权利义务关系应明确的问题,也再次涉及美国《统一商法典》第4A 编。
不论是在传统商务中还是在电子商务中,所有消费者都是平等的,因此国家对电子商务中消费者权益遭受侵害时所提供的保护水平也应该是一致的,应实行同等保护原则。当然,在电子银行领域,消费者应受到与其在传统商务领域同等的保护水平。本文将就此问题进行论述。
二、认证机构与电子签名依赖方之间的关系
电子签名依赖方,是指相信电子签名证书,以该证书上所确定的电子签名人为交易相对方而进行交易的人。电子签名依赖方本身可能是,也可能不是认证机构的用户。当电子签名依赖方不是认证机构的用户时,他与认证机构之间并无服务合同存在。但是,当他利用证书而与证书用户交易时,却又介入证书服务关系中,认证机构在特定情况下要对其承担责任。有关认证机构与电子签名依赖方间的法律关系的性质,存在以下几种不同的学说:
一是非同一性关系说。有学者认为电子认证机构与电子签名依赖方之间的关系要视社区认证服务型、单方证书用户型、交叉认证关系和非纯粹的认证关系四种类型而定{13}253-255。该说对各种情况下认证机构与依赖方的关系作了较为详细的分析,这为对两者之间法律关系进行深入研究提供了资料。但此说的缺点也极其明显,即着重于类型、形态的分析,而忽略了对这两者之间法律关系的识别。
二是系统使用合同说。有学者认为认证机构与依赖方在事实的接触过程中缔结了合同,即关于电子签名人的证书信息的查询本身就是一份合同的缔结过程,电子签名人的证书信息构成了合同的内容。{14}344-346该说是在网络环境下对合同理论进行的一种新的探讨,具有一定的合理性,但电子签名依赖方向电子认证机构查询之行为并不符合合同成立的要件。
三是第三人利益合同说。有学者认为签名人得到电子签名证书的目的之一是向电子签名依赖方认证自己的身份,电子签名依赖方是该合同的受益人之一{15}193。在美国,也有学者认为电子签名依赖方可以依据电子签名人与认证机构的第三人利益合同(a third-party beneficiary contract),以意定受益人(intended beneficiary)的身份向认证机构要求承担违约责任而得到赔偿{16}75。美国法学会(American Law Institute,简称 ALI )编写的《第二次合同法重述》[Restatement(second) of Contract]将受益人分为意定受益人和附带受益人(incidental beneficiary),第三人利益合同的受益人是合同中明确约定的享有给付请求权的第三人,这种受益人是意定受益人,而附带受益人是因合同的履行而以某种方式受益但没有任何合同权利的人{17}193。电子签名依赖方虽然因合同的履行而受益,但是认证机构的给付是向电子签名人签发认证证书,电子签名人才是合同的意定受益人,因而,电子签名依赖方未因合同而取得请求给付的权利,不属于第三人利益合同中的第三人。
四是附保护第三人作用的合同关系说。有学者认为认证机构对电子签名依赖方的利益负有法定的保证和赔偿义务,这一义务源于法律的强制性规定和电子签名人与认证机构之间的合同,属于德国法上的“附保护第三人作用之合同”{18}126。附保护第三人作用之合同,系谓特定契约一经成立,不但在当事人间发生权利义务关系,同时债务人对于与债权人具有特殊关系之第三人,亦负有照顾、保护等义务。债务人违反此项义务时,就该特定范围之人所受之损害,亦应依契约法之原则,负赔偿责任{19}24。本文作者赞同“附保护第三人作用之合同”说,认为电子签名人与认证机构之间的合同属于附保护第三人作用的合同,电子签名依赖方是此合同的第三人,电子签名依赖方对违反附随义务的认证机构可依合同请求损害赔偿[7],有以下三点理由:
第一,电子签名人对电子签名依赖方负有保证证书所载信息真实性的义务。附保护第三人作用的合同是建立在基于诚实信用原则而发生之附随义务之上,使附随义务扩张及于债权人对其负有特别照顾保护义务之特定第三人{19}26。电子签名人之所以要求认证机构签发认证证书,是为了通过证明其身份和数据信息的真实性来吸引潜在的电子签名信赖方与之进行交易。若认证机构签发的认证证书所载的内容有误,电子签名人因违反保证所载信息真实性的附随义务而需向电子签名依赖方承担缔约过失责任或违约责任。亦即,认证机构履行其与电子签名人之间的合同,一般是为电子签名人与电子签名依赖方达成某种交易服务的,电子签名人对电子签名依赖方的合法权益负有注意、保护等附随义务,故符合附保护第三人作用的合同中所要求的合同债权人须对第三人负有保护、照顾等附随义务。
第二,电子签名依赖方与认证机构的给付有关联。因为电子签名依赖方基于对认证机构所签发的认证证书的真实性的信赖而与电子签名人进行交易的,所以,认证机构签发的认证证书所载的内容存在错误,不仅可能危及电子签名人的权益,使电子签名人因此需对电子签名依赖方承担赔偿责任,而且还涉及电子签名依赖方的利益,电子签名依赖方因信赖证书所载信息的真实性而遭受损失。因此,认证机构履行不当时,电子签名依赖方如电子签名人一样,均会受到该不适当履行的影响,符合附保护第三人作用的合同的履行相关性要件。
第三,电子签名依赖方是附保护第三人作用合同的第三人。为了防止第三人范围的扩大加重债务人责任,传统民法认为附保护第三人作用的合同中的第三人并非泛指债权人以外之任何第三人,其范围应限于因债务人之给付受到影响之人,即债权人对于其祸福,基于亲属、劳工、雇佣、租赁等具有人格法上特质之关系,从而负有保护、照顾义务者{19}28。然而,在德国的司法实践中,附保护第三人作用的合同的适用范围有所扩大,主要表现为德国法院的判决已经不再将“特定第三人”的范围局限于第三人与债权人之间必须存在人格法上之特质关系,往往审查契约债权人对第三人的祸福是否负有责任{20}。根据这一标准,电子签名依赖方属于附保护第三人作用合同的第三人。该第三人的范围在客观上可以确定,具有可预见性。虽然认证合同订立之时,认证机构并不知道第三人是谁,但是认证合同在确定电子签名人的同时,实际上将第三人的范围特定化,即信赖认证机构签发给电子签名人的认证证书并与之进行交易的人。
电子签名依赖方对于交易相对人电子签名证书的使用,一般应在认证机构所建议的可靠程度内给予信任,并以此进行交易。此种选择最为常见。若电子签名依赖方按照认证机构所建议的证书信用等级与电子签名人进行了交易,一旦由于认证机构或电子签名人的过错,而使证书信息不实,并给电子签名依赖方造成了损失,则认证机构和电子签名人要承担一定的赔偿责任[8]。这体现了认证信用服务对电子商务交易关系的保障功能。若电子签名依赖方未按证书等级进行交易,而是超出认证机构所建议的范围,那么认证机构不对其超出证书可靠性建议范围的交易额负责任。
既然电子签名依赖方是附保护第三人作用的合同的第三人,那么当电子签名依赖方因认证机构没有履行应尽的义务(如,确保认证数据有效之义务,及时通知之义务等)而遭受损失时,电子签名依赖方因该损失而取得对认证机构的独立赔偿请求权。在附保护第三人作用的合同中,合同上的请求权基础被拉伸成了损害,由受害人因他人的合同而起诉{21}596。由于我国《电子签名法》规定了认证机构对电子签名依赖方的法定义务,一旦认证机构没有履行法定义务而使依赖方遭受损失,电子签名依赖方可以依据侵权责任法要求认证机构赔偿相应损失。因此,电子签名依赖方可以选择依据认证机构与电子签名人的合同请求认证机构赔偿损失或依据侵权责任法请求认证机构赔偿损失。通过以上界定,虽然能在一程度上防范巴塞尔银行监管委员会所认为的“现行法律对电子认证机构的法律地位规定得不明确”所产生的法律风险,但是,不论是基于合同还是基于侵权的原因,认证机构均可能向电子签名依赖方承担责任,这些仍构成认证机构的风险及银行充当认证机构的角色的法律风险。
三、大额电子资金划拨法律关系的性质
电子资金划拨所产生的关系在法律上如何定性?历史上不同的判例曾有不一致的结论。
在 Securities Fund Services Inc.v. AmericanNational Bank and Trust Company of Chicago 一案中,原告是一家负责登记和处理公司股票的买卖和划拨的证券登记公司,是资金划拨的划拨人(即发端人)。被告是资金划拨的受拨人银行(即受益人银行)。原告收到一项声称是某公司股东的人签发的指令,载有伪造的签名,指示卖出其公司股票并将收入的资金用电子方式划拨到在被告银行开立的该股东的有编号的账户上。划拨人银行(即发端人银行),电子划拨这笔资金到被告受拨人银行,受拨人银行将其贷记编号账户。然而,该编号账户的持有人却不是公司股东。受拨人银行的账户持有人知道其账户贷记约200万美元后,根据其事前与欺诈人达成的通过电子资金划拨进行支付的买卖合同,将钻石和一些珠宝交付给欺诈人。
原告请求被告返还划拨的金额,从而引起诉讼。在诉讼中,法院注意到Evra案中美国第7巡回上诉法院的判决[9]。当Evra案中的原告请求被告赔偿因租船合同的解除所带来的间接损害赔偿时,上诉法院判决认为,受拨人银行,即瑞士银行,对划拨人银行的客户,即Evra公司,不承担间接损害赔偿责任。但在此案中,法院将在Securities Fund案与Evra案作了区别,其理由是在本案中原告请求的是直接损失赔偿,即款项的返还,而不是间接损害赔偿。
审理 Securities Fund案的法院认为,被告受拨人银行实际上是划拨人银行的托收银行,而划拨人银行是原告支付的资金的监管代理人。法院进一步认为,不论根据过失理论还是合同理论,被告受划人银行都应对原告的直接损害赔偿承担责任,即返还划拨的款项。因为被告受拨人银行实际上是划拨人银行的托收银行,所以作为划拨人银行客户的原告也应视为被告受拨人银行的客户。根据过失理论,被告受拨人银行负有在进行电子资金划拨时对原告注意的义务。而根据合同理论,被告受拨人银行也应对作为划拨人银行和受拨人银行间合同第三方受益人的原告承担责任。因此,受拨人银行应将资金划拨到已售出股票的资金的真正所有人的账户上。
Securities Fund案的关键在于,在电子资金划拨中出现欺诈时,法院承认受拨人银行在一定条件下应对划拨人银行的客户承担责任{22}176-177。
在Bradford Trust Co.v. Tex American Bank— Houston一案中,原告是划拨人银行而非划拨人银行的客户,被告是受拨人银行。在该案中,欺诈人与Colonial Coins约定,以800,000美元从后者购买稀有硬币和金块。欺诈人声称,支付的方式是从其在 Boston的原告划拨人银行的账户上用电子资金划拨将款项划拨到Colonial Coins 在 Houston 的被告受拨人银行的账户上。
为了履行与 Colonial Coins达成的买卖合同,欺诈人向原告划拨人银行发出一封伪造的信函和股票转让授权书(stock power),指令划拨人银行从Rochefort共同基金账户上清算价值800,000美元的证券并将所得资金用电子方式划拨到被告受拨人银行的有编号的账户上。
欺诈人发出的指令声称,被告受拨人银行中的该编号账户是以Rochefort的名义开立的,而事实上,该账户是以Colonial Coins的名义开立的。被告受拨人银行接收资金后,通知Colonial Coins其账户已经贷记接收的金额。由于已得到价款,Colonial Coins将稀有硬币和金块交付欺诈人。
当Rochefort收到从原告划拨人银行账户划出资金的通知并坚持认为未授权时,原告划拨人银行才发现存在欺诈。原告划拨人银行重新贷记其客户Rochefort的账户,而当被告受拨人银行和Colonial Coins拒绝返还资金时,向被告受拨人银行提起诉讼。
初审法院应用比较过失理论在划拨人银行与受拨人银行间分摊损失,而不论是划拨人银行还是受拨人银行都不接受初审法院的判决。上诉时,原告划拨人银行坚决主张被告受拨人银行因过失未能遵循原告划拨人银行的指令将资金存入Rochefort在受拨人银行的账户,因此应承担全部损失。被告受拨人银行抗辩道,是原告划拨人银行与欺诈人打交道,接收欺诈人伪造的信函,处于防止欺诈、防止损失的最佳位置,因此必须承担全部损失。
美国上诉法院判定,尽管被告受拨人银行存在过失,但相对于原告划拨人银行的过失来说,前者的过失是第二位的,因而原告划拨人银行必须承担全部损失。美国上诉法院认为,初审法院所依据的比较过失理论不适用于此案。由前述可知,美国《统一商法典》第3编规定,有关票据的类似争论产生时,损失由与伪造者打交道的当事人承担,因为其处于避免损失的最佳位置。上诉法院认为美国《统一商法典》第3编中规定的这一原则也应适用于电子资金划拨。在此案中,原告划拨人银行直接与欺诈人打交道,不去核实声称发自Rochefort的指令是否真的发自Rochefort,而是通过清算其账户和电子划拨资金使欺诈人的计划得以继续实施。因此,原告划拨人银行是产生损失的主要原因,根据美国《统一商法典》第3编规定的原则,应对全部损失承担责任。
虽然审理Securities Fund案的法院认为受拨人银行应对划拨人银行的客户承担责任,但是,依据类似的事实,审理Bradfort案的法院却认为受拨人银行不应对划拨人银行承担责任{22}178-179。之所以产生不同结果的原因在于,在Securities Fund一案中,法院认为电子资金划拨当事方间存在侵权关系或合同关系;而在Fradfort一案中,法院认为电子资金划拨当事方间的权利义务关系类似于票据关系,应适用票据法所确立的原则。因此,明确电子资金划拨各当事方的关系的法律性质具有重要的意义。
在美国《统一商法典》第4A 编施行前,不存在调整大额电子资金划拨的统一的法律,不同的大额电子资金划拨由不同的当事人私人间的合同调整并受制于不同的法院解释{23}。大额电子资金划拨的各当事方究竟为何种法律关系,存在不同的认识。如前述,在Securities Fund案与Fradfort案,类似的案情却做出了不同的判决。其原因就在于,在Securities Fund一案中,法院所依据的是普通法的侵权规则或合同规则;而在Bradford一案中,法院类推适用了美国《统一商法典》第3编和第4编的原则。本文作者认为,美国《统一商法典》第4A 编的制定,在大额电子资金划拨的各当事方间创设了一种新的法律关系,即“资金划拨关系”或“贷记划拨关系”。历史上,曾发生融资租赁合同的法律性质的争论,因为合同的性质直接关系到合同的分类、合同的解释、法律的适用、税负的多少及当事人的利害关系。就融资租赁合同,有分期付款买卖契约说、租赁契约说、金钱消费借贷契约说、动产担保交易说等{24}197-214。各种学说的指导思想均为将融资租赁合同纳入传统的有名合同,但都难以完全解释融资租赁合同这种以租赁的形式而达到融资目的的新型合同的性质。与其如此,还不如将融资租赁合同规定为一种有名合同,在立法例上,我国1999年《合同法》在第12章借款合同、第13章租赁合同之外,于第15章规定了融资租赁合同。正如我们无须争论融资租赁合同本质上是融资合同还是租赁合同,而应将其直接定性为一种新型的有名合同一样,我们也无须争论大额电子资金划拨的各当事方间的权利义务是否为票据关系,或能否适用票据法所确立的原则,而应认为大额电子资金划拨的各当事方形成“资金划拨关系”或“贷记划拨关系”,其内容即为美国《统一商法典》第4A 编所规定的发端人、发端人银行、中间银行、受益人银行及受益人的权利义务。唯有如此,才能明确电子银行各当事方的权利义务关系,防范电子银行法律风险。
美国《统一商法典》第4A 编对明确电子资金划拨法律关系的性质具有重要的意义。不仅如此,美国《统一商法典》第4A 编创设的“支付命令”(payment order)和“安全程序”(security procedure)等重要概念及一整套规则。这些概念和规则没有采用“功能等同”等方法来对过去的法律进行解释和修补,而是全新的概念和规则,是我国建立电子银行法律制度的重要参考{25},也对化解电子银行各当事方的权利义务处于不确定状态的法律风险有重要的意义。
四、电子银行中消费者保护
巴塞尔银行监管委员会在《电子银行业务与电子货币行为的风险管理》中将电子银行定义为:通过电子渠道(electronic channels)提供零售性的小额银行产品和服务。这些产品和服务包括:存款、借贷、账户管理、金融顾问、电子账户支付,以及其他一些诸如电子货币等电子支付的产品和服务。银行提供的这类产品和服务对象包括自然人、法人。我国《消费者权益保护法》第2条规定:“消费者为生活消费需要购买、使用商品或者接受服务,其权益受本法保护;本法未作规定的,受其他有关法律、法规保护。”在银行与服务对象的关系中,电子银行经营者与法人间的关系不受消费者权益保护法的调整,而电子银行经营者与自然人间的关系是否受消费者保护法调整则不无疑义。正是《消费者权益保护法》中“为生活消费需要”这一对消费者的限定使得电子银行的哪些个人服务对象构成消费者的存在争议,电子银行中消费者的范围应限定在为生活消费需要购买、使用银行通过电子渠道提供的产品和服务的个人。这样一来,电子银行的某些业务由于被认为是个人投资而不属于个人生活消费的范畴,因此,接受电子银行的产品和服务的个人就不一定是消费者。我国于2013年修改《消费者权益保护法》时增加一条作为第28条:“采用网络、电视、电话、邮购等方式提供商品或者服务的经营者,以及提供证券、保险、银行等金融服务的经营者,应当向消费者提供经营地址、联系方式、商品或者服务的数量和质量、价款或者费用、履行期限和方式、安全注意事项和风险警示、售后服务、民事责任等信息。”该条规定提供金融服务的经营者应当向消费者提供相关信息,进一步明确应当将购买和使用电子银行提供的服务的个人纳入我国《消费者权益保护法》调整。
不论是在传统商务中还是在电子商务中,所有消费者都是平等的,因此国家对电子商务中消费者权益遭受侵害时所提供的保护水平也应该是一致的,应实行同等保护原则{26}100。因此,在电子银行领域,消费者应受到与其在传统商务领域同等的保护水平。1999年12月9日,经济合作与发展组织制定了《电子商务消费者保护准则》(OECD Guidelines for Consumer Protection in the Context of Electronic Commerce),提出保护消费者三大原则:(1)确保网上购物的消费者所受到的保护不低于其他购物方式;(2)排除消费者和企业在网络上进行交易所遭遇的不确定性;(3)在不妨碍电子商务发展的前提下,建立和发展网上消费者保护机制。其中,“确保网上购物的消费者所受到的保护不低于其他购物方式”体现了同等保护原则。
欧盟《关于内部市场中与信息社会服务有关的若干法律问题特别是电子商务问题的指令》(Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of Information Society services, in particular electronic commerce, in InternalMarket,简称“欧盟《电子商务指令》”或“欧盟2000/31/EC 指令”)明确对“同等保护原则”进行了确认,欧盟在消费者保护领域已有的立法通常无须修改都可以完全适用于信息社会服务领域。这些立法有《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》(Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of suchdata,简称“欧盟《个人数据保护指令》”或“欧盟95/46/EC 指令”)、《关于消费者合同中不公平条款的指令》(Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts,简称“欧盟《不公平条款指令》”或“欧盟93/13/EEC指令”)、《关于远程合同中消费者权益保护的指令》(Directive 97/7/EC of the European Parliament and of the Council of 20 May 1997 on the protection of consumers in respect of distance contracts,简称“欧盟《远程销售指令》”或“欧盟97/7/EC 指令”)。欧盟《个人数据保护指令》在于规范消费者个人信息数据采集及处理,包括个人数据的收集、记录、储存、修改、使用或销毁等,该指令规定的信息收集者的义务主要有:保证信息的品质、信息处理合法、敏感信息的禁止处理、告知当事人,消费者享有的权利主要有:接触信息的权利、更正、删除或封存其个人信息的权利、反对特定信息的处理与以行销为目的的使用与传递个人信息的权利。欧盟《不公平条款指令》中所称的消费者合同包括银行与消费者间的合同,对银行业消费者保护具有重要作用,欧盟《远程销售指令》适用于电子商务领域中利用远程通信技术订立合同的过程中涉及的消费者权益保护的法律问题,由于电子银行业务包括远距离服务,故该指令可以适用于电子银行中的消费者。不过,欧盟最新的《消费者权益保护指令》(Directive 2011/83/EU of the European Parliament and of the Council of 25 October 2011 on consumer rights,简称“欧盟2011/83/EU 指令”)废除了《关于远程合同中消费者权益保护的指令》,并将远程合同交易的消费者保护统一规定在《消费者权益保护指令》中。
在电子商务领域,同等保护原则有以下两层含义:第一,对于既有法律和规则可以调整的问题,应当在适用既有法律和规则的。电子银行中的消费者权益保护,现行《消费者权益保护法》的规则可以适用的,直接适用现行法。《消费者权益保护法》规定的消费者享有的安全权、知情权、自主选择权、公平交易权、求偿权当然可用于保护电子银行消费者的权利。第二,对于电子银行消费者权益保护中出现的新问题,应当针对这一领域构建新的法律规则。同等保护原则并非意味着在任何情况下均适用统一的规则{27}26。针对电子商务这一领域构建新的法律规则,其目的仍然在于提供与传统商业环境下的消费者权益同等水平的保护。这是同等保护原则的另一层含义。因为在电子银行环境下,电子银行通过电子设备和网络提供的服务具有特殊性,包括服务环境的开放性、远距离服务(业务时空的广泛性)、虚拟化环境等,这些使得消费者的权益更易受到侵害,仅仅依据传统的消费者保护法,消费者的权益难以获得保障,如消费者个人信息的保护、信息披露等。因此,需要制定符合电子银行特征的新的法律规则,为电子银行的消费者提供特别保护。例如,2002年欧盟颁布了一个专门的指令,《消费者金融服务远程销售指令》(The Directive 2002/65/EC on the distance marketing of consumer financial services,简称“欧盟2002/65/EC 指令”),以保护远程金融服务的消费者。该指令所称的消费者是指在本指令所涵盖的任何远程合同中并非出于贸易、商业或职业目的行事的任何自然人,金融服务指银行、信用机构、保险公司、个人退休基金等所提供的具有投资或支付性质的服务[10]。因此,该指令所称的消费者包括电子银行消费者,金融服务包括银行提供的电子银行业务。该指令的核心规定是经营者的信息披露义务和消费者的合同撤销权。这说明虽然欧盟《电子商务指令》明确规定了“同等保护原则”,但这并不妨碍欧盟制定适用于特定领域消费者的消费者保护规则。
我国电子银行消费者保护的主要法律依据是《消费者权益保护法》。虽然我国没有针对电子银行消费者保护的专门立法,但这并不影响我国就电子银行业务的特点为电子银行中的消费者提供特别保护。我国2013年修订《消费者权益保护法》时,将只适用于规范特定交易领域的消费者和经营者的权利义务关系的条款纳入《消费者权益保护法》中,为该特定交易的消费者提供特别保护,而没有采取制定新的专门法的思路。例如,《消费者权益保护法》第25条规定:“经营者采用网络、电视、电话、邮购等方式销售商品,消费者有权自收到商品之日起七日内退货,且无须说明理由,但下列商品除外:(一)消费者定做的;(二)鲜活易腐的;(三)在线下载或者消费者拆封的音像制品、计算机软件等数字化商品;(四)交付的报纸、期刊。除前款所列商品外,其他根据商品性质并经消费者在购买时确认不宜退货的商品,不适用无理由退货。消费者退货的商品应当完好。经营者应当自收到退回商品之日起七日内返还消费者支付的商品价款。退回商品的运费由消费者承担;经营者和消费者另有约定的,按照约定。”该条赋予了消费者单方合同解除权,主要是因为远距离购物的消费者无法直接接触商品,这种“非现场性”可能加剧消费者与经营者之间的信息不对称,消费者享有单方解除权可以促使经营者详细、如实地披露商品信息,消费者可以在收到商品后在七天内考虑是否需要退回商品,国外将该制度称为冷却期制度(cooling-off period)。又如,《消费者权益保护法》第28条规定:“采用网络、电视、电话、邮购等方式提供商品或者服务的经营者,以及提供证券、保险、银行等金融服务的经营者,应当向消费者提供经营地址、联系方式、商品或者服务的数量和质量、价款或者费用、履行期限和方式、安全注意事项和风险警示、售后服务、民事责任等信息。”本条规定经营者的信息披露义务保障了消费者知情权的实现。在第8条已规定消费者享有知情权的情况下,规定网络、电视、电话、邮购等方式提供商品或者服务的经营者,以及提供证券、保险、银行等金融服务的经营者提供所列举的信息的义务,反映了现实生活中这两类交易中消费者所处的地位较传统交易更弱,在远距离交易中,经营者不愿意披露商品或服务的信息或尽量少披露信息,这使得消费者在订立合同前无法全面了解商品或服务的信息,在商品或服务出现问题时可能造成维权困难。金融服务的经营者并未限定在电子商务领域,无论是传统金融服务的经营者还是通过电子通信和网络提供电子银行业务的经营者,都应当按照该条的规定披露信息。这说明《消费者权益保护法》的修订者已经意识到金融服务业经营者信息披露的义务的重要性,但这对于电子银行而言,仅增加第28条的规定显然难以充分保障电子银行消费者的权益,因此,有必要在借鉴国外先进立法的基础上进行完善。
例如,美国1978年的联邦《电子资金划拨法》(Electronic Fund Tranfer Act of 1978)和美国联邦储备委员会(Board of Governors of the Federal Reserve System,简称美联储)颁布的实施条例—— E 条例(Federal Reserve's Regulation E)及其官方人员注释(Official Staff Commentary)对小额电子资金划拨(消费者电子资金划拨)中消费者的责任进行了限制,以保护持卡人(消费者)。
《电子资金划拨法》与 E 条例都将“未经授权的电子资金划拨”(unauthorized electronic fund transfers)定义为:“由消费者以外的未获发动划拨实际授权的人所发动的从该消费者账户划出资金而该消费者并未从该划拨受益的电子资金划拨。但本术语不包括下述任何电子资金划拨:(1)由消费者向其提供该消费者账户的卡、密码或其他访问工具的,该消费者以外的人发动的电子资金划拨,除非该消费者已通知有关金融机构不再授权该他人发动电子资金划拨;(2)由消费者或与其共谋的任何人发动的,具有欺诈意图的电子资金划拨;(3)由金融机构实施的,构成一项错误的电子资金划拨。”[11]一项特定的交易是否构成未经授权的划拨,常常引发一系列困难的事实问题与法律问题。例如,消费者可以授权其朋友或家庭成员为特定的有限目的而使用其 ATM 卡。如果朋友或家庭提取的金额超过了授权的金额,或在授权被撤销以后继续使用卡,那么这些划拨是否是未授权的就是一个难以回答的问题;又如果使用 ATM 卡的人是通过欺诈或胁迫得到 ATM 卡的,或如果一个抢劫者强迫消费者自己发动划拨,那么也存在该划拨是否是未经授权的问题。
《电子资金划拨法》与 E 条例及其官方人员注释规定,只有在满足下列先决条件的前提下,消费者才对涉及其账户的未经授权的电子资金划拨承担责任:(1)该划拨是使用一个消费者已接受的卡或访问工具发动的,“已接受的卡或其他访问工具”(accepted card or other means of access)指,当向其签发卡或其他访问工具的人以在账户间划拨货币为目的或以获得货币、财产、劳务或服务为目的,已要求并接收(request and receive)或已签署或已使用此类卡或其他访问工具之时,或授权他人使用此类卡或其他访问工具之时,以发动电子资金划拨为目的的,适用于消费者账户的卡、密码或其他访问工具[12]。(2)金融机构已提供一种方法,例如签字、指纹、照相或 PIN,以确认持有访问工具的消费者的身份[13];(3)金融机构已向消费者进行关于消费者对未经授权的划拨的责任的披露;已向消费者提供在消费者认为已经发生或可能发生未经授权的划拨情况时受理通知的人员或办公室的电话号码和地址,以及金融机构的营业日[14]。
如果满足了上述前提条件,在消费者通知金融机构已经发生或可能发生未经授权的划拨以前出现了未经授权的电子资金划拨,则消费者的责任不超过50美元和未经授权的划拨金额两者间较小的金额[15]。如果消费者的访问工具遗失或被窃,且他在发现遗失或被窃后的两个营业日内通知金融机构,则消费者的责任不超过50美元;如果他未在发现遗失或被窃后的两个营业日内通知金融机构则他可能承担超过50美元的责任。但即使如此,消费者的责任也限制于500美元与下列总和两者间较小的金额,即最高不超过500美元,这个总和是:(1)50美元与在消费者发现访问工具遗失或被窃后第二个营业日结束时实际发生的未经授权划拨的金额两者之间较小的金额;(2)在第二个营业日结束后,通知金融机构之前发生的未经授权划拨的金额,只要金融机构能够证明消费者若在两个营业日内通知了金融机构,则这些划拨不会发生[16]。例如,消费者的卡在星期一被窃,当天他就知道,但星期五才报失被窃,则他可以适用500美元的责任限额,但具体承担多少取决于未经授权的划拨发生的时间。假设星期二发生100美元、星期四发生600美未经授权的划拨,则消费者总的责任是500美元,即100美元划拨承担的50美元的责任加上600美元划拨承担450美元的责任。但是,如果600美元在星期二发生,100美元在星期四发生,那么消费者只承担150美元的责任,即600美元划拨中承担的50美元,加上100美元[17]。
从理论上讲,上述规则是意图给消费者以动力,在发现访问工具遗失或被窃后及时通知金融机构。但任何这样的动力都被以下事实所削弱,即金融机构很难查明消费者在何时发现访问工具遗失或被窃。官方人员注释认为,消费者收到反映有未经授权划拨的定期报表这一事实可以作为确定消费者是否知道遗失或被窃的一个因素,但不能作为决定性的证据[18]。《电子资金划拨法》与 E 条例都规定,消费者必须在收到载有未经授权划拨的定期报表后的60天内通知金融机构,否则消费者要对发生未授权划拨60天以后通知银行之前的未经授权划拨承担责任,即承担无限制的责任。但即使在这种情况下,消费者的责任也不会超过以下金额的总和:(1)50美元、显示在定期报表中的未经授权划拨的金额、在定期报表传送后60天内发生的未经授权划拨的金额三者之间较小的金额;(2)在60天的以后直至收到消费者通知以前发生的未经授权划拨的金额,如果机构能证明只要它在60天内收到了通知,这些划拨本来是不会发生。很明显,上述几种规则同时适用的情况是可能产生的, E 条例对这种情况作了明确的规定。类似地,如果未经授权的电子资金划拨涉及信用卡或在透支限额内提供信用,那么 E 条例规定其关于消费者责任的规则与管辖未经授权使用信用卡的责任的 Z 条例的规则都适用。 E 条例的规则适用于涉及借记/贷记卡混合体的交易的电子资金划拨部分,以及适用于在透支限额以内提供信用; Z 条例的规则适用于涉及借记/贷记卡混合体的交易的信用部分,以及适用于用信用卡在 ATM 预先得到的现金。最后,州法或金融机构与消费者间的协议可以减少但不能增加消费者对未经授权的电子资金划拨的责任。
从以上论述可知,《电子资金划拨法》、 E 条例及其官方人员注释,对消费者承担未经授权的电子资金划拨的责任规定了三个等级,即50美元、500美元和无限责任,并规定了严格的适用条件。具体适用取决于消费者通知金融机构存在未经授权的划拨的时间以及未经授权的划拨发生的时间。这些规定一方面限制了消费者对未经授权的划拨承担的责任,保护了消费者的利益;另一方面也激励消费者在发现访问工具遗失或被窃或存在未经授权的划拨时及时通知金融机构,以避免损失或损失的扩大,从而能促进包括电子资金划拨业务在内的电子银行业务的发展。
《电子资金划拨法》包含一套复杂的规则,要求金融机构对其电子资金划拨服务的失误承担责任。除某些例外,金融机构应当就以下近因造成(proximately caused)的全部损失(all loses or damages)向消费者承担责任:(1)当金融机构得到消费者的适当指示进行电子资金划拨后,未根据账户条件以正确的金额或适时的(timely)方式进行该电子资金划拨;(2)因金融机构未根据账户条件,将代收资金存款(deposit of funds)贷记消费者账户,使该金融机构由于账户资金不足未进行电子资金划拨,而假如该机构已贷记该存款,该账户本来能提供足够的资金进行该划拨;(3)当金融机构接到指令,指示其根据账户条件,停止支付从消费者账户划出资金的预先授权的划拨时,该机构未停止支付。上述规则的例外情形为:(1)消费者的账户中无足够的资金;(2)消费者账户中的资金受诉讼程序或限制该划拨的其他财产负担约束;(3)划拨将超过事先确定的信用限额;(4)电子终端无足够的现金来完成该交易;(5)联邦储备委员会规定的其他情况[19]。
如果金融机构未进行划拨或未停止支付并非出自故意,而是源于善意的错误(bona fide error),那么尽管合理地采纳了维持程序(maintenance of procedure)以避免任何此种错误,金融机构也应当就“已证实的实际损失”承担责任[20],但并非承担直接造成的一切损失。如果金融机构以占有优势证据证明,其作为或不作为是由于下列原因之一造成,除了未执行一项停止支付的命令外,则对承担责任有完全的抗辩权:(1)不可抗力或金融机构所不能控制的其他情况,且该机构已行使合理的注意以防止该情况的发生,并行使了按情况所要求的勤勉;(2)在消费者试图发动电子资金划拨时,或在预先授权的划拨情况,在该划拨应当发生时,该消费者就已知道的机械故障。“[21]
由于金融机构对因系统故障造成的电子资金划拨未能实现享有完全的抗辩权,可以免除其责任,这意味着消费者可能承担因系统故障造成的延期付款的责任。为保护消费者的利益,《电子资金划拨法》特别规定,如果系统故障妨碍消费者发动的向他人划拨资金的电子资金划拨的实施,且该他人已经同意接受以此种方式支付,那么,在故障排除和电子资金划拨可以完成前,该消费者对该他人的义务应当中止,除非该他人随后以书面形式要求以电子资金划拨以外的方式支付[22]。这样通过法律的特别规定,使消费者在系统故障情况下临时中止其付款义务,从而免除了消费者因系统故障而延期付款的责任。此项规定与大额电子资金划拨系统出现故障情况下的规则不同,从而进一步凸现出《电子资金划拨法》对消费者这一在小额电子资金划拨处于弱势地位当事方的特别保护。以上这些有关消费者责任和金融机构责任的规则对防范包括小额电子资金划拨在内的电子银行法律风险能起一定的作用。
我国电子银行消费者权益的保护主要依据的是《消费者权益保护法》,虽然2013年最新修订的《消费者权益保护法》增加了银行等金融机构的信息披露义务,但是,《消费者权益保护法》要求银行披露的信息仅仅是最基本的信息,并未考虑到电子银行业务的特殊性、持续信息披露的必要性,单凭这些信息显然不足以保护处于弱势地位的消费者的权益。美国《电子资金划拨法》及 E 条例根据合同缔结之前、合同履行过程等不同阶段,要求金融机构履行初始披露、条件变更披露、定期披露、实时披露等的信息披露义务,以充分保护消费者的知情权。我国中国人民银行颁布的《银行卡业务管理办法》第52条规定:”发卡银行应当向持卡人提供对账服务。按月向持卡人提供账户结单,在下列情况下发卡银行可不向持卡人提供账户结单:1.已向持卡人提供存折或其他交易记录;2.自上一份月结单后,没有进行任何交易,账户没有任何未偿还余额;3.已与持卡人另行商定。“《银行卡业务管理办法》第52条一方面要求银行提供定期披露义务,另一方面又以列举的方式排除银行履行定期披露义务的情形。”已与持卡人另行商定“更是为银行以合同方式免除其定期披露义务提供了合法的依据,导致实践中部分银行不向消费者提供定期对账单。《银行卡业务管理办法》未涉及条件变更披露,实践中各银行多采用公告方式通知消费者合同内容的变更,如《中国工商银行牡丹信用卡领用合约》约定,乙方(中国工商银行)如对上述透支利率、滞纳金、超限费及其他收费项目和收费标准进行调整的,将进行公告,公告期满即为生效,无须另行通知甲方(持卡人)。这实际上违反了合同法关于合同条款变更的原则,剥夺了消费者的知情权。因此,在电子银行业务领域,我国现有法律对消费者知情权提供的保护还远远不够,有必要在我国未来的立法中进一步细化金融机构的信息披露义务。在合同订立之前,金融机构有必须以明确、清晰、易懂的语言向消费者披露金融机构的名称、联系方式,提供的电子银行业务的特点、风险、费用,发生未经授权支付、错误支付时金融机构与消费者的责任分配等。在合同条件变更生效之前,要具体斟酌该披露通知到达持卡人的时间,持卡人作出接受与否的决定时间以及持卡人的拒绝通知到达发卡行的时间来确定合同条件变更的披露时间。只有在某些特殊情况下,条件的变更是为了维护持卡人账户或者整个电子资金划拨系统的安全所急需,发卡行才可以不事先通知持卡人而实施该变更,但是事后应该尽快通知持卡人。从信息披露的内容看,一般只要求披露对持卡人不利的合同变更情形,例如增加收费项目、提高收费标准、增加持卡人的责任、增加交易限制等等。只有保证持卡人对这些变更内容有事先了解从而自由决定是否继续使用信用卡的权利,才能防止银行任意修改信用卡合同侵害持卡人的利益{28}。在合同的履行过程中,金融机构应当定期以邮寄、邮件、短信等方式向消费者提供对账单,而不得以合同的形式免除金融机构的定期披露义务。
金融机构提供电子银行业务时,因消费者身份认证、信用评估等需要收集、使用消费者的个人信息,这就涉及消费者个人信息的保护问题。2013年新修改的《消费者权益保护法》第29条规定:”经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。“该条将个人信息保护纳入到《消费者权益保护法》中,是我国《消费者权益保护法》的一个重大突破,它明确了经营者收集、使用消费者个人信息的几个基本要求:一是经营者应当依法和依约收集和使用个人信息;二是经营者收集、使用个人信息应遵守必要限度原则,不得超出必要限度使用、收集个人信息;三是经营者应当向消费者告知收集、使用信息的目的、方式和范围并经消费者同意方可收集、使用个人信息;四是经营者应当保障消费者个人信息的安全。这一规定确立了个人信息受《消费者权益保护法》保护,但是因《消费者权益保护法》主要是调整经营者与消费者之间的权利义务关系,其个人信息保护条款无法用以规范电子银行与非消费者客户间的权利义务关系,而且在《消费者权益保护法》中详细规定信息当事人的权利和信息收集使用者的义务可能使《消费者权益保护法》异化为个人信息保护法,这从立法技术的角度来说并不可取。因此,我国有必要借鉴其他国家和地区,制定专门的《个人信息保护法》,为消费者的个人信息提供全面而严密的保护[23]。
电子资金划拨是电子银行的重要业务之一,消费者在享受电子支付带来的便利的同时,也面临着持卡人以外的第三人未经持卡人的授权从持卡人的账户划拨资金而使持卡人遭受损失的风险。对于这部分风险,美国《电子资金划拨法》及 E 条例规定了富有层次性和灵活性的损失分担规则,限制了金融机构利用优势地位将损失转嫁给消费者。对此,本文在前面已有介绍。我国各发卡人却通过格式合同中的风险分担条款将冒用风险的损失分配给消费者,排除发卡人的责任。冒用风险的损失分配条款主要有两款,密码条款和挂失止付条款。如《中国银行股份有限公司信用卡领用合约》中的密码条款规定:”凡使用密码进行的交易均视为持卡人本人所为并由持卡人承担交易后果。“挂失止付条款一般规定:”银行卡遗失、被窃,或被他人占有时持卡人应当及时办理挂失手续,挂失自正式挂失手续办理完毕时生效,持卡人对挂失生效前发生的交易承担责任,对挂失生效后发生的交易不承担责任。“因正式挂失手续办理完毕后,持卡人的银行卡账户的资金已经被冻结了,持卡人及持卡人以外的人都不能从该卡上划拨资金,也就是说挂失生效后该银行卡已经不能进行交易了,因此,凭密码交易视为本人交易及挂失条款实际上使得冒用风险所生的损失全部由持卡人承担。冒用风险所产生的损失可能是因持卡人故意或重大过失所致,也可能是因发卡人的支付系统存在安全隐患、发卡人内部员工违规操作等,抑或是非因持卡人或发卡人过错的原因导致的,不区分冒用风险产生的原因而由持卡人承担所有损失不利于支付系统的损失预防和控制。《电子银行业务管理办法》的起草者已经意识到了实践中冒用风险损失分担的不合理,该办法第89条规定:”金融机构在提供电子银行服务时,因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的,金融机构应当承担相应责任。因客户有意泄漏交易密码,或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的,金融机构可以根据服务协议的约定免于承担相应责任,但法律法规另有规定的除外。“从该条的内容上看,似乎解决了前述格式合同冒用风险损失分担的问题,但是司法实践中,持卡人主张格式合同中的密码条款和挂失止付条款无效,法院却不能援引《电子银行业务管理办法》第89条的规定判定密码条款和挂失止付条款无效,违反法律、法规的效力性规定的合同条款无效是以全国人大及其常委会制定的法律和国务院制定的行政法规为依据的,而不是以地方性法规、行政规章为依据,而《电子银行业务管理办法》属于部门规章,不能以此来判定密码条款、挂失止付条款无效。即便法院要求金融机构按照《电子银行业务管理办法》第89条的规定承担责任,按照”谁主张谁举证“原则,持卡人需要举证证明损失是因金融机构的支付系统存在安全隐患、银行内部员工违规操作或其他非因客户原因等造成的,持卡人才能将冒用风险的损失转移给金融机构,这对于处于弱势地位的持卡人来说,几乎不可能完成,此时持卡人应承担举证不能的后果,冒用风险造成的损失由持卡人承担。因此,第89条的规定难以为因银行卡被冒用而遭受损失的消费者提供充分的保护,有必要在未来的立法中设计更公平、更合理的规则来分配发卡人与消费者之间因冒用风险而导致的损失。
在设计冒用风险的损失分担规则时,应当从风险预防、风险控制、风险转移三个方面考虑发卡人与消费者的责任。从风险预防方面看,该风险源于电子支付的特点与银行卡安全和认证技术的局限性,发卡人作为银行卡的发行者,作为资金和技术的强势拥有者,有义务通过提高技术和管理水平,避免或者减少风险,因而对风险产生应当负主要责任;从风险控制方面看,除了持卡人的妥善保管和及时挂失外,主要依靠发卡人及其履行辅助人在接受银行卡交易时尽善良管理人的注意(审查签名、核对持卡人身份等),因而发卡人应承担大部分风险,持卡人应视过失程度分担部分风险;从信用卡风险转嫁方面看,发卡人可以通过保险等方式转嫁部分风险,而不是把所有风险强加于持卡人。总之,发卡人比持卡人更有能力预防风险、控制风险和转移风险,加上发卡人、持卡人均可以从银行卡业务的发展中获得一定的利益,因此,不能简单地以传统民法中的”谁受益谁承担风险“来解决双方当事人如何分配风险的问题,而应依”优势之风险承担人“之标准,即应将风险分配于支付最少成本即可防止风险发生之人,始能达成契约最高经济效率之目的{29}128。有鉴于此,发卡人应当承担更多的冒用风险责任。
本书作者主张以下的风险分担方式:(1)有欺诈故意或重大过失的持卡人对冒用风险负全部责任;(2)怠于挂失或者有其他违反诚实信用原则行为的持卡人可借鉴美国《电子资金划拨法》及 E 条例视不同情形承担不同程度的责任,但如果发卡人未尽善良管理人责任的,应当和持卡人共同承担风险;(3)除上述两种情况外,冒用风险由发卡人承担。这种方式主要对持卡人采取过失责任原则,促使持卡人尽快挂失并协助调查;但当持卡人有过失时并不免除发卡人善良管理人的责任,使发卡人能保证 ATM、 POS 机及网上支付系统的安全,减少冒用情形的发生;在其他情况下由发卡人承担责任,从而最大限度地保护持卡人的利益。另外,在挂失方式方面,应明确承认电话挂失与书面挂失具有同等的效力,以便持卡人能以更快捷的方式挂失止付{28}。
五、结语
互联网的飞速发展使得电子银行进入了网络银行时代。网络银行除提供查询、支付服务外,还利用其平台优势,将更多的金融产品在网上陈列销售。而此类产品中既有银行自营的理财产品,也有代售的保险、信托产品。这些金融产品与银行传统的存贷款产品有所不同,其涉及的投资部门广泛,投资工具复杂。因此,网络银行在大大拓展金融产品销售市场的同时,也增加了电子银行的风险。另外,互联网金融的发展已经使得非金融机构事实上也在从事部分银行业务。例如在支付业务领域,我们《非金融机构支付服务管理办法》规定取得《支付业务许可证》的第三方支付机构可以从事支付业务,目前已有269家企业[24]获得了第三方支付牌照,包括支付宝、快钱、财付通等,支付已不再是银行特有的业务。又如在借贷业务领域,人人贷(peer to peer lending,简称 P2P)将借款人和贷款人之间通过第三方提供的电子商务平台进行借贷。再如融合了传统证券、借贷等业务的新型融资方式——众筹(crowd funding),其实质是面向公众筹集资金,特别指以资助个人、公益慈善组织或商事企业为目的的小额资金募集。这些新的发展趋势,进一步突显了我国电子银行相关法律法规的不完善,增加了电子银行的法律风险。
电子银行提供的金融产品可能涉及银行、证券、保险三个领域,互联网金融的发展也改变了资本市场中以通过银行间接融资的传统方式为主的情况,丰富了投融资的渠道与方式,整合了间接融资与直接融资的优势。在金融市场需求及金融工程与通信技术本身创造的混业经营趋势下,当前对电子银行实行的分业监管模式,似有力不从心之嫌。对电子银行实行分业监管,可能导致重复监管或监管真空,对从事相同业务的金融机构与非金融机构适用不同的监管规则,导致同一业务不同监管。因此,我国有必要将从事电子银行业务的机构确定为由某一家监管机构为主,多部门参与电子银行管理的协调机制。电子银行各参与方之间的权利义务关系可以引导和规范各参与方的行为,减少权利义务关系不明确带来的法律风险,因此有必要明确认证机构与电子签名人、电子签名依赖方之间的权利义务关系。电子银行的客户可以分为非消费者和消费者,他们的缔约能力、损失分散能力等有所不同,与金融机构相比,消费者明显处于弱势地位,应当在信息披露、个人信息保护、冒用风险损失分担等方面为消费者提供特殊保护。我国未来的电子银行立法,需要从以上几个方面进行完善,健全电子银行法律法规,减少电子银行法律法规不明确、不完善引起的法律风险。
【作者简介】
刘颖(1962—),男,湖北武汉人,暨南大学法学院教授,博士生导师,澳门科技大学法学院博士生导师,法学博士,主要从事网络法、电子商务法、国际法、金融法研究。
【注释】
[基金项目]广东省哲学社会科学规划项目《〈反假冒贸易协定〉中数字知识产权问题研究》(批准号:GD12CFX03);司法部法治建设与法学理论研究部级科研项目《网络银行监管法律问题研究》(批准号:02SFB2028)。
[1]移动远程支付,是指利用移动终端通过移动通信网络接入移动支付后台系统,完成支付行为的支付方式。
[2]移动近场支付,是通过移动终端,利用近距离通信技术实现信息交互,完成支付的非接触式支付方式。常见的近距离通信技术包括蓝牙、红外线、 RFID 等,目前近距离无线通信(Neai Field Communication, NFC)技术是移动支付领域的主流技术。此外,通过外接读卡器使智能手机具备 POS 终端刷卡功能的“类Square模式”,也被划分为近场支付范畴。
[3] See Basel Committee on Banking Supervision, Working Paper on the Regulatory Treatment of Operational Risk, September,2001, p.2.此操作风险的定义包括了部分法律风险,但不包括战略风险和声誉风险。本文依据巴塞尔银行监管委员会在《电子银行业务与电子货币行为的风险管理》中的分类,将法律风险作为一种单独的风险进行研究。
[4]也有些学者将违反行业做法、行业标准等“软法”纳入法律风险的范畴。参见张素华:《网络银行风险监管法律问题研究》,武汉大学出版社2004年版,第29页。
[5]有关内容可参见刘颖,何其生:《国际合同使用电子通信公约对我国电子商务立法的启示》,载《暨南学报(哲学社会科学版)》2009年第4期。
[6]参见刘颖:《支付命令与安全程序——美国〈统一商法典〉第4A 编的核心概念及对我国电子商务立法的启示》,载《中国法学》2004年第1期;刘颖:《电子资金划拨法律问题研究》,法律出版社2001年版,第142—261页。
[7]本文作者曾认为,认证机构与电子签名依赖方之间是一种受侵权法调整的法定信赖关系。参见刘颖,孙志煜:《论电子认证机构民事责任的归责原则》,载《暨南学报(哲学社会科学版)》2007年第6期。但是,侵权法的作用是规范侵权责任成立的要件。即使是我国《侵权责任法》,也只是扩大到侵权责任的承担。将“认证机构与电子签名依赖方之间的关系”认定为“受侵权法调整”,显然不准确。
[8]在此问题上,美国《犹他州数字签名法》提供了很好的范例。参见刘颖、郑正坚:《论“建议的信赖限度”——美国〈犹他州数字签名法〉第309条评析》,载《暨南学报(哲学社会科学版)》2004第5期。
[9]有关 Evra 案,参见刘颖:《电子资金划拨法律问题研究》,法律出版社2001年版,第25页。
[10] See the directive 2002/65/EC on the distance marketing of consumer financial services and amending Council Directive90/619/EEC and Directive 97/7/EC and 98/27/EC, Official journal,9 October 2002.
[11]12 C. F. R.§205.2(m)(1996),15 U. S. C §1693a(11).
[12]15 U. S. C §1693a(1).
[13]15 U. S. C §1693g(a).
[14]15 U. S. C §1693d(c)(4).
[15]15 U. S. C §1693g(a).
[16]12 C. F. R.§205.6(b)(1996).
[17] See Commentary,§205.6(b)(2)(1996).
[18] See Commentary,§205.6(b)(1)(1996).
[19] See 15 U. S. C.§1693h(a).
[20]15 U. S. C §1693h(c).
[21] See 15 U. S. C.§1693h(b) and (c).
[22] EFTA,15 U. S. C.§1693j.
[23]对于个人信息所有人的权利,我国未来的《个人信息保护法》是否应该给予个人信息所有人财产权的保护,存在争议。以欧盟《个人数据保护指令》为代表的个人信息保护立法,将个人信息视为一种人格权的客体来规制,不承认个人信息所有人对其个人信息的商业价值的正当利益。有学者认为,我国不宜采用欧盟模式,应将个人信息分为与人格尊严有直接关系的直接个人信息和与人格尊严没有直接关系的间接个人信息,对具有商业价值的个人信息给予财产权的保护,对兼具人格利益和财产利益的个人信息给予人格权和财产权的双重保护。参见刘德良:《个人信息的财产权保护》,载《法学研究》2007年第3期。该学者的观点为我国个人信息保护立法提供了一个新视角,即从财产权的角度来保护个人信息所有人的权利。但是,如何处理好个人信息人格权与财产权的关系,个人信息财产权保护的范围止于何处,才不会损害其他主体对个人信息的合理使用以及个人信息的交易程序、个人信息财产权的内容等问题,仍需进一步研究。
[24]中国人民银行:已获许可机构(支付机构),http://www.pbc.gov.cn/publish/zhengwugongkai/3580/index.html,访问时间:2014年12月15日。
【参考文献】
{1}Alan Waring A. Lan Glendon, Managing Risk[M]. International Thomson Business Press,1998.
{2}菲利普·乔瑞.风险价值 VAR: 金融风险管理新标准[M].北京:中信出版社,2010.
{3}陈忠阳.金融风险分析与管理研究:市场和机构的理论、模型与技术[M].北京:中国人民大学出版社,2001.
{4}林义相.金融资产管理——金融产品与金融创新[M].北京:北京大学出版社,1996.
{5}刘宪权.金融风险防范与犯罪惩治[M].北京:立信会计出版社,1998.
{6}中国金融认证中心.2013中国电子银行调查报告[EB/OL].[2014-01-20].http://www.financialnews.com.cn/kj/sw/201312/t20131216_46492.html.
{7}Basel Committee on Banking Supervision. Risk Management for Electronic Banking and Electronic Money Activities[R]. March,1998.
{8}Basel Committee on Banking Supervision. Risk Management Principles for Electronic Banking[R]. May,2001.
{9}Basel Committee on Banking Supervision. Sound Practices for the Management and Supervision of Operational Risk[R]. February,2003.
{10}Office of Comptroller of Currency. Internet Banking: Comptrollers Handbook[R]. October,1999.
{11}张成虎,孙景,李淑彪.银行技术风险监管[M].北京:经济管理出版社,2005.
{12}Andrew M. Whittaker. Lawyers as Risk Managers[J]. Journal of International Banking and Financial Law,2003(8).
{13}张楚.电子商务法初论[M].北京:中国政法大学出版社,2004.
{14}樊林波.电子商务中的跨国电子认证问题初探[C].国际经济法论丛(第6期).北京:法律出版社,2002.
{15}吴伟光.电子商务法[M].北京:清华大学出版社,2004.
{16}Froomkin A. M. The Essential Role of Trusted Third Parties in Electronic Commerce [J]. Oregon Law Review,1996(49).
{17}A. L.科宾.科宾论合同(一卷版)下册[M].王卫国等译.北京:中国大百科全书出版社,1998.
{18}欧阳武.电子签名法原理与条文解析[M].北京:人民法院出版社,2005.
{19}王泽鉴.民法学说与判例研究(第二册)[M].北京:北京大学出版社,2009.
{20}王文钦.德国法上“附保护第三人作用之契约”制度的新发展[J].中外法学,1994(2).
{21}迪特尔·梅迪库斯.德国债法总论[M].杜景林,卢谌译.北京:法律出版社,2004.
{22}Norbert Horn. The Law of International Trade Finance[M]. Kluwer Law and Taxation Publishers,1989.
{23}Thomas C. Baxter, Jr., Stephanie A. Heller. The ABCs of the UCC-Article 4A: Funds Transfers, American Bar[M]. Association,1997.
{24}梁慧星.民法学说判例与立法研究[M].北京:中国政法大学出版社,1993.
{25}刘颖.支付命令与安全程序——美国〈统一商法典〉第4A 编的核心概念及对我国电子商务立法的启示[J].中国法学,2004(1).
{26}王利明.电子商务法律制度:冲击与因应[M].北京:人民法院出版社,2005.
{27}鞠晔. B2C 电子商务中消费者权益的法律保护[M].北京:法律出版社,2013.
{28}刘颖,李莉莎.论信用卡格式合同不公平条款的法律规制[J].现代法学,2004(2).
{29}王泽鉴.债法原理(第二版)[M].北京:北京大学出版社,2009.