網銀被盜案頻發 專家建議適用舉證責任倒置原則

　　“舉證責任倒置”的原則能夠切實保護網銀用戶的利益，體現用戶與網銀之間的服務合同的平等關係，增強用戶使用網銀的信心。從長遠來看，也有利於銀行不斷增強網銀的安全性能和技術水平，有利於網絡銀行的健康發展。

　　9月9日上午，北京市朝陽區法院開庭審理的一起因網絡銀行被盜引發的經濟糾紛案，再度引起社會對網銀安全性問題的關注。

　　北京市民紀樹惠曾在興業銀行朝外支行辦理了一張“自然人生理財卡”，同時申請開通了網上銀行。隨後，紀樹惠查詢賬戶時，發現大部分存款不翼而飛。

　　“我在存款後，並沒有登陸過興業銀行的網上交易系統啊！因此可以保證，不可能有黑客通過我家的電腦，盜取我的賬號和密碼。”紀樹惠自覺很冤。但興業銀行方面則認為，他們的網絡銀行很安全，不會有黑客攻擊的問題發生。“如果原告認為銀行應當就此承擔責任的話，就應舉證銀行的過錯所在。”

　　這難倒了紀樹惠和代理律師。“我們不是網絡專家，即使懂些網絡知識，也不可能知道網絡銀行的系統端是否遭遇過黑客的攻擊啊？如果無法舉證銀行的系統端有問題，那我就只能面臨敗訴的結果？”

　　有關法官告訴本報記者：“目前此類案件的舉證責任，沒有具體的法律或司法解釋上的規定，各個法院適用不一，但一般會根據‘誰主張，誰舉證’的原則，即如果原告(儲戶)不能舉出銀行方面存在過錯，就極有可能承擔敗訴的結果。我們也感覺到簡單按照上述舉證原則，有些不公平，所以也很希望，儘早出臺一個具體的操作規則。”

　　北京郵電大學網絡法律研究中心主任劉德良認為，因網上銀行安全問題導致的經濟糾紛的審理中，比較公平的原則是適用“舉證責任倒置”的舉證原則。因此在此類案件中，從證據技術角度考慮，銀行處在絕對的優勢地位。他建議最高人民法院應當適時出臺相關司法解釋。

　　黑客技術致使用戶舉證困難

　　8月20日下午，江民反病毒中心監測到，一種“金盾”病毒的最新變種，正在悄無聲息地威脅著網上銀行的安全。這種變種病毒能夠將自身深入隱藏到系統進程內部，躲避安全軟體的查殺，並可以穿透某些防火墻程序。病毒將自身註冊為瀏覽器輔助對象，與系統瀏覽器同時啟動或關閉，普通用戶或一般的安全軟體根本無法察覺病毒的存在。

　　除了這種最新的隱蔽性極強的病毒，對於一般的網銀病毒，絕大多數用戶也就只知道些皮毛而已。

　　根據發生的案例分析，黑客在有針對性地設計出網銀病毒(如“網銀大盜”)後，往往採用兩種方式，截取儲戶賬號、密碼等信息。

　　第一種是設計出與銀行網絡地址和版面設計及其近似的網站，誘導用戶點擊輸入賬號和密碼，進而根據被病毒記錄下來的用戶信息。此種方式，俗稱“釣魚”。

　　第二種是通過用戶登錄不明或不良網站，植入設計好的木馬，截獲被感染計算機的鍵盤輸入和鼠標動作，然後將用戶信息發送到指定的地址。

　　不管上述哪種方式，黑客們最終目的是進入用戶的網銀系統，採用轉賬或者匯款的方式，或者採用製作偽卡的方式，盜取現金。

　　江民反病毒中心一位工程師告訴記者：“病毒被植入後，會自動查找IE等多種瀏覽器，一旦發現用戶使用瀏覽器登入銀行個人網上銀行的界面，就會記錄下用戶的鍵盤輸入內容。比如，某些病毒發現用戶輸入卡號的長度為19位，並以‘95588’開頭時，就會截獲用戶在工商銀行的密碼等資料。”

　　這位工程師分析，隨著安全軟體的不斷升級，病毒也在不斷更新，不用説一般的網銀用戶，就連他們這些專業的技術人員都防不勝防。

　　但一旦因網銀被盜，引發用戶與銀行之間的糾紛，銀行往往會指責用戶操作失當，法院也會因為用戶的過錯，免除銀行方面的責任。

　　本報記者以普通儲戶想註冊網上銀行的名義，先後撥通興業銀行、工商銀行等多家銀行的客服電話，試圖探聽萬一網銀被盜後銀行方面對自身責任大小的界定態度。

　　一般銀行如此答覆：這要看被盜的原因，如果因為儲戶不慎，包括儲戶的客戶端被黑客攻擊，銀行不負賠償責任。如果是因為銀行自身網絡被攻擊，銀行會履行相應的法律責任。但是，請相信銀行的網絡安全建設是很有保障的，有客戶證書等多重手段保護儲戶權益。

　　劉德良認為，在上述情況下，網銀用戶應負有注意義務，比如登錄網銀時，應當打開或設置反病毒軟體和防火墻；也應當注意不登陸不良或不明網站，以防止病毒植入。

　　“如果用戶因為自己不慎，將密碼或其他信息洩露，也要銀行承擔責任的話，顯然對銀行不公。也容易由此滋生用戶與不法者的串通，從而導致銀行方面的損失。”

　　但是，劉德良強調，如果法院在司法實踐中，僅僅因為網銀用戶無法舉證銀行方面有過失，而只根據“誰主張誰舉證”的原則去判定案件，用戶往往會敗訴，顯然也是不公平的。因為網銀用戶一般並不具備這樣的專業知識和能力，因此用戶不具備舉證的能力，他們最多只需要履行必要的注意義務。

　　銀行責任用戶無法獲知

　　將網銀被盜的原因僅僅歸結為用戶不慎，顯然有些牽強，因為絕大部分用戶無法舉證：自己信息洩露過程中，銀行網絡系統是否存在問題，是否這些問題也是造成自己客戶端被病毒入侵的原因。更不用説讓用戶去舉證：病毒是否在首先侵入了銀行網絡系統過程中黑客獲取了自己的網銀信息。

　　因為除了用戶端的風險，網銀被盜也不能排除網絡銀行系統端的風險。反病毒專家認為，銀行系統端雖然遭遇病毒入侵的幾率較小，但不能説網絡銀行的安全性就十全十美。不能排除網絡銀行僱員的欺詐行為，或者系統端遭到病毒侵入，或者系統端自身運行出現故障等原因。

　　中國金融認證中心(CFCA)有關負責人介紹説，目前國際公認的、最安全、最值得推廣的身份識別技術就是電子認證技術，它可以有效防範“網絡釣魚”和“網銀大盜”。雖然目前國內的網上銀行業務基本上都採用了電子簽名技術，但應用範圍和廣度還非常有限。基於很多商業銀行並沒有採用第三方數字證書，導致網銀用戶使用最安全的合法第三方數字證書的用戶還不到五成。

　　據CFCA透露，目前很多商業銀行多采用自建的CA認證中心繫統，這不利於銀行信用機制的形成，也對網銀用戶不公。

　　如果銀行完全出於網銀安全考慮，可以不為不使用雙重認證的用戶開通網銀，或者限制其轉賬匯款等業務。但事實上，據記者調查，如果用戶不使用數字證書，很多網銀功能照常被允許操作。

　　這不能不説明，網絡銀行確實存在管理或技術上的漏洞。

　　但是，目前網銀用戶在開通網銀的過程中，須與銀行簽訂《個人客戶服務協議》，協議中往往有大同小異的規定，即“用戶應按照機密的原則設置和保管自設密碼……採取其他合理措施，防止本人密碼被竊取。由於密碼洩露造成的後果由用戶承擔”。

　　劉德良分析説，基於技術上的原因，網銀被盜引發的經濟糾紛案件中，用戶因為專業知識的限制，既無法知道是自己客戶端的原因，還是銀行系統端的原因。而全部網銀的交易資料又都由銀行控制，用戶在舉證上明顯處於不利地位。

　　根據現實情況，劉德良建議，最高人民法院應當考慮借鑒醫療事故糾紛的審判原則，在“誰主張，誰舉證”的舉證責任原則上實現變通，以司法解釋的形式將上述原則改為“舉證責任倒置”，即由銀行方面證明自己的系統沒有漏洞，從而增強司法實踐的可操作性。

　　“舉證責任倒置”的原則能夠切實保護網銀用戶的利益，體現用戶與網銀之間的服務合同的平等關係，增強用戶使用網銀的信心。從長遠來看，也有利於銀行不斷增強網銀的安全性能和技術水平，有利於網絡銀行的健康發展。(張有義）

責編：孟煦