近年来，网上银行屡有客户资金丢失事件发生，特别是200多人组建的“网银受害者集体维权联盟”在国内引起了强烈的反响，使得这个问题日益凸现出来。在传统社会中，偷窃所产生的法律责任由行为者来承担，但是偷窃发生在互联网上，因为偷窃者的身份难以确定，网银资金被盗者无法追究到偷窃者，而要求其承担法律责任，于是在网银与客户之间围绕资金的被盗发生了责任承担问题。从促进网络银行产业的发展，保护客户权益，提高客户使用网络银行的信心等方面出发，都需要理顺网银和客户的法律责任分担问题。

网银不安全的原因分析

网银资金丢失的原因不同，在网银与客户之间资金被盗的责任分担原则也应有所不同，不能一概而论。综观目前所发生的网银资金丢失事件，主要分为两类:

其一是网络银行系统端风险，也就是网络资金的被盗原因来自于网络银行的系统端。这种风险可能是因为网络银行雇员的欺诈行为造成的，也可能是网络银行系统遭遇黑客入侵所发生的，还可能是因为网络银行系统自身运行故障所造成的。

另一类是网络银行客户端风险。网络银行客户端所发生的密码丢失带来的资金被盗，可能是客户密码保管不善，在操作时不注意防范被他人窥视或密码被骗取，也可能是客户电脑中“木马”程序带来密码被窃。网银资金“偷窃者”用盗来的账户和密码伪装成客户身份从网络银行中划走资金。

目前我国网络银行方一致认为，其自身系统的安全性应该是可靠的，其技术非常先进，而且有着严格的安全措施和防范手段，网银资金被盗一般都是因为客户端的风险造成的。来自公安部门的有关数据似乎也在证明这一点，个人用户客户端有近70%是不安全的，但是不能因此排除网络银行系统端的风险。譬如我国首例网络银行被盗案发生的原因就是来自于银行方，某国有银行温州市分行没有能认真核实、验明办理网上银行注册人提供资料的真实性，造成有人假冒客户身份开通网上银行业务，最后被盗走银行卡上的资金。两审法院也认定了银行存在严重过错，依法判决了银行承担相应的法律责任。

网银资金丢失的原因在于系统端还是客户端，在举证上客户明显处于不利。客户由于专业知识和条件的限制，很难找出网银的技术漏洞或者证明是由于黑客攻击引起，目前诸多客户指责工行的网银系统有漏洞并没有找出充足的证据。类似于医疗事故纠纷，网银资金被盗纠纷也应该在现行的民事诉讼“谁主张、谁举证”的举证责任原则基础上实现变通，改为实行“举证责任倒置”，即由网银一方来举证，证明自己的系统没有漏洞，从而增强实际操作性。“举证责任倒置”能够切实保护网银客户的利益，体现客户与网银之间的服务合同的平等关系，从而增强客户使用网银的信心，从长远来看对网银一方也是有利的。

网银系统端风险责任分担

网银系统端风险所引发的资金丢失纠纷，一般来说网银应该承担赔偿责任。网银雇员的素质低下，诸如欺诈、误操作等造成客户资金损失，被视为网银的过错，需要承担全部赔偿损失。网银系统软硬件出现的技术故障给客户造成的直接和间接损失，尽管网银主观上没有过错，网银仍然需要承担民事责任，这些是毫无争议的。问题在于网银系统端遭遇黑客攻击，“网银大盗”都把银行网站作为攻击的对象，所发生的资金丢失，网银是否需要承担相应的法律责任。

网银与客户之间属于一种服务合同关系，依照我国《民法通则》及《合同法》的有关规定，网银作为一方当事人的违约责任免责事由有约定和法定两种。法律会尊重网银和客户在网银服务协议中的约定为先，但同时也规定了一些法定的风险分配制度。有些人认为网银系统遭遇黑客攻击属于一种不可抗力，应该免责。其实，黑客攻击事件不应该作为不可抗力，而是属于一种意外事件。依据我国合同法，不可抗力是指“不能预见、不能避免并不能克服的客观情况”，黑客攻击事件虽然具有不可预见性，但是能够克服。网银提高系统的安全性就是一种不停地与黑客展开“反攻击”的过程。我国合同法实行严格责任原则，不可抗力可以免责，意外事件则不能免责。从敦促网银履行维护系统安全的义务角度出发，黑客攻击也不能够免责，否则网银会因此怠于履行提高系统安全性的义务，客户资金的安全性更差。

网银客户端风险责任分担

网银在与客户的服务协议中一般会约定客户对密码的保管责任，因密码泄露所造成的后果由客户来承担。如某电子银行《个人客户服务协议》第二条甲方权利义务中“义务”的第五项中规定：“甲方应按照机密的原则设置和保管自设密码……采取其他合理措施，防止本人密码被窃取。由于密码泄露造成的后果由甲方承担。”这属于协议约定的网银免责事由，网银可以因此而拒绝承担网银客户端密码丢失所带来的客户资金丢失的任何法律责任。但是协议属于格式合同，制订合同一方故意免除自己责任的条款，这里存在“格式条款”是否有效的问题。

在洪荣尧诉中国农业银行永嘉县支行一案中，法院认定了《中国农业银行网上银行业务章程》第六条“凡是凭客户证书和密码进行操作皆视为客户本人所为，银行不承担任何责任”这一格式条款作为银行的免责理由进行抗辩，把本属于银行承担的责任也推向储户属于无效条款。但这一条的规定与目前工行电子银行服务协议中关于客户密码保管责任的规定是有着不同的，因为它“凡是凭客户证书和密码进行操作皆视为客户本人所为”，排除了银行的过错所造成的密码丢失，将此责任也推卸到客户身上。而工行的条款则是规定客户自身造成的密码丢失责任由客户承担。农业银行现在已经修改了电子银行业务章程，此条规定已经被废除，转而规定“因客户保管不善、挂失不及时等造成的资金损失由客户自行承担”。

为了保障账户资金安全，网银和客户都必须要承担一定的合同义务，而不能一味将义务强加到银行身上。我国《电子银行业务管理办法》第十条规定，在开通网上银行业务时银行有告知风险的义务。网银只需要尽到合理提示风险义务，客户就需要履行妥善保管密码的义务，一旦疏于履行，造成的密码泄露，可能会造成资金丢失。前述美国《电子资金转移法》规定，一旦储户存款在银行发生了问题，银行应先行赔付，而后由司法机关介入调查，从而保证了客户利益。这个规定目前被不少人用来作为主张网银赔付的一点理由，但是这里规定的是储户存款在银行发生了问题，而客户造成密码丢失是在银行控制范围之外，“偷盗者”以盗来的客户账号和密码造成银行做出错误动作，银行不应该承担责任。这也就是一种准债权人占有债权凭证的情况。

客户对于密码妥善保管的义务范围应该限制在客户尽到一般人的保管密码的能力，也就是对于上网交易的计算机进行了基本而且必要的软硬件防病毒保护义务。在客户尽到了一般正常的注意义务和及时通知义务时，仍然发生资金丢失的情况，也就是客户作为合同中的债权人并没有过错，应该按照公平责任让银行给予客户一定补偿。

（本文作者：湖北襄樊学院政法系讲师 张樊 中国政法大学科学技术教学部教授 张楚）