谈谈网上银行及其立法定位（下）

　　（三）网上银行的信息披露 　
　　中国人民银行2002年发布的《商业银行信息披露暂行办法》，对于网上银行同样应当适用。该《办法》规定，商业银行必须披露以下主要信息：一是财务会计报告；二是各类风险管理状况；三是公司治理信息；四是年度重大事项。　
　　对网上银行而言，自然也要遵循该《办法》的规定，披露上述内容。同时，由于网上银行自身固有的一些特点，其信息披露的内容亦当相应的作出一些强调。比如在操作风险方面，由于TCP/IP协议的开放性降低了它的安全性，使得依托于网络技术的网上银行系统的操作风险大大增加。如果用户无意中点击电子邮件内的超链接，或浏览已受感染而附有突现式广告的网站，其电脑便可能被植入特洛伊程序。当用户进入某些网站时，这个程序便会被启动，从而记录用户在电脑键盘上输入的资料，借此可盗取用户卡号及密码等关键资料。因此监管当局有必要要求网上银行在其登陆页面披露这一风险，提示银行客户切勿使用电邮内的超链接、可疑的突现式视窗或网上搜寻器登入网上银行帐户，尤其要尽量避免在公共计算机上登陆网上银行系统。此外，用户在进入网上银行系统后，应当在网页显著位置提示用户“使用网上银行服务后，请点击‘登出’”。同时要求网上银行在客户停止对页面操作一定时间后，自动为客户登出。　
　　同时，网上银行的发展也为信息披露提供了平台和载体。监管机构可要求银行在其指定或许可的网站上进行信息披露，从而令网上披露信息的及时、便捷、低成本的优势得以发挥。　
　　（四）网上银行的禁止行为　
　　网上银行的运作和管理，属于其自主经营权的范畴，应当得到尊重。但是，对于某些可能构成安全漏洞、损害消费者权益和社会公共利益的行为，应当以立法的形式明确禁止。实际上，某些不安全行为是正规网上银行经营中不会施行的，但不法分子往往利用消费者不明所以，从而轻易取得重要信息而对消费者和网上银行的利益构成威胁。比如2003年，有人盗用中国工行网上银行网管员信箱，给网上银行客户发送电子邮件，索要网上银行注册客户的用户名（登陆卡号）和密码。幸好该行及时发现，在自己网站的显著位置发布“重要提示”，才未造成损失。[7]而正规的网上银行，不会以电子邮件的形式向客户索要信息，而是要求客户在其正式网站上进行相关操作。然而，这些网上银行内部运作规程和制度，往往不为消费者所知，从而可能使双方都有受损之虞；个别银行对其客户所作的说明，常常也不具有普遍的意义。对于此类行为，如果可以立法加以禁止，再通过普法宣传使之为公众知晓，则可极大的提高网上银行运行的安全性，不给违法分子以可乘之机。　
　　三、网上银行业务纠纷的归责原则和民事责任　
　　网上银行业务的正常开展对系统稳定性的依赖极强，由网络事故和故障所引发之问题的法律责任是银行和客户均十分关注的。现行立法仅《电子银行业务管理办法》第89条规定：“金融机构在提供电子银行服务时，因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的，金融机构应当承担相应责任。”这一规定相对于网上银行运营的复杂性而言显然过于单薄和笼统，需要针对具体情况对归责原则和民事责任问题进行进行细化和完善。（一）归责原则　
　　1、网上银行的硬件问题所导致的交易错误或交易不能。网上银行业务的开展有赖于计算机等硬件设施的正常运行，这些硬件发生事故可能带来银行与客户的损失。由于银行有义务保障对客户服务的及时和准确，因此由服务硬件所导致的错误或不能，只要银行不能证明自己无过错，就要承担相应的责任，即对银行实行过错推定责任之归责原则。当然，如果硬件所引发的事故是由于硬件设备本身的质量不合格所致，则银行在对客户承担法律责任后，可向设备提供者、生产者追究法律责任。　
　　2、软件或具体操作程序问题导致服务迟延、不当或不能。由于开展网上银行业务所用的软件技术水平，直接关系其服务的质量高低，诸如加密技术、数字签名技术、报文摘要技术、安全认证技术等都是网上银行业务顺利开展的前提。银行准确、安全的服务承诺，也是对这些技术条件准备的承诺。如果银行的有关技术条件不足，自然应承担相关的法律责任。但是，由于电子技术的发展日新月异，立法上对网上银行技术条件的要求无法用明确的量化指标来明确，银行的责任承担就成为一个值得探讨的问题。倘若基于过错责任原则，对消费者显然不利，因为信息的不对称，由消费者证明银行的过错是很困难的；若基于过错推定责任原则，则银行仍有可能基于专业知识和私人信息提出令非专业的消费者无可辩驳的免责事由而规避责任；只有基于严格责任原则，才能有助于维护消费者权益，也有助于促进网上银行技术的改进和完善，当取法若此。　
　　3、由于网络经营商的过失所致的事故或障碍，应由网上银行承担法律责任，网上银行对客户作出赔偿后，获得向第三方追偿的权利。即网上银行是最初的责任承担者，但网络经营商才是最终的责任者。因为从网络商、网上银行、消费者三方关系的角度来看，网上银行在利用网络建立银行服务项目时，网络商对其服务的安全性给予了相应的承诺，而网上银行又与其客户之间存在服务安全的承诺关系。相反，银行客户则未与网络商建立直接的法律关系。根据合同的相对性原理，应当由网上银行对消费者进行赔偿。另外，从保护消费者角度来看，也应由网上银行先行承担责任。　
　　4、因不可抗力导致的事故或障碍引发的责任，应归入免责的范围。在各国，不可抗力通常都是民事责任全部免除或部分免除的根据之一。但是，不可抗力的具体界定则是实践中的重要问题。因为网上银行交易不同于传统的民商交易，影响电子交易而属于不能预见、不能避免、不能克服的事件可能有新的表现。传统立法所包括的战争、自然灾害等事件当然应该纳入不可抗力的范围之中，而供电系统停电、通讯系统故障等事故是否可纳入不可抗力事件，则应具体分析。应当说，网上银行能够预见到停电等事故是可能会发生的，但具体何时何地发生，则不能预见。因此网上银行应当针对这些事故在网络银行软硬件系统方面采取必要的防范措施。如在此前提下，因事故发生而不能执行客户指令，应当属于不可抗力免责或部分免责范畴。但如因银行疏忽，没有采取相应的防范措施而因事故发生导致客户资料丢失等，则不能主张免责。　
　　5、网上银行系统遭遇黑客攻击造成损害，应由银行承担严格责任，此点学界已有研究，[8]此处不赘。感染病毒造成损害，也应参照执行。　
　　（二）民事责任　
　　《民法通则》规定了10种民事责任方式，其中可以用于网上银行的民事责任承担方式为：返还财产，恢复原状，赔偿损失，支付违约金以及第111条规定的“要求履行或者采取补救措施”。具体说，银行承担责任的形式可归纳为四种：　
　　1、返还资金，支付利息。如果资金划拨未能及时完成，或者资金到位而未能及时通知网络交易客户，从而给客户造成损失，银行有义务返还客户资金，并支付从原定支付日到返还当日的利息，以弥补客户期限利益的损失。　
　　2、偿还汇率波动导致的损失。对于在国际贸易中，由于银行的过错造成的汇率损失，网络交易客户有权就此向银行提出索赔，而且可以在本应进行汇兑之日和实际汇兑日之间选择对自己有利的汇率。　
　　3、赔偿其他损失。对由于银行的过错而造成客户的其他损失，应当在彼时可预见的范围内予以赔偿。　
　　4、继续提供服务。应客户的要求，网上银行应在可能的情况下，及时执行客户的后续指令，继续为客户提供周到的服务。