网上银行被盗案中的银行责任探析

【出处】《金融法苑》2011年第2期
【关键词】网上银行被盗案；银行责任
【写作年份】2011年


【正文】

　　一个健全的社会，不仅要有公平的利益分配制度，而且要有公平的损失分配制度。

　　—【德】埃塞尔

　　网上银行（Internet Banking）也称网上银行业务，属于传统银行业务的一种制度创新，实际上是银行业务在网络上的延伸，是虚拟银行的一种[1]。自从1995年10月，全球第一家网上银行—美国第一安全网上银行（Security First Network Bank, SFNB）[2]成立，开创了技术推动银行业发展的先河，网上银行便以其便捷的优势迅速风靡世界，拓展了传统银行业务的范围。与此同时，网上银行又同时需要面对网络世界的各种风险因素。高度技术性、虚拟性、便捷性以及风险性的并存使网上银行成为一把“双刃剑”，在实践中挑战着现行法律的相对不周延。因网上银行被盗而发生财产损失后，如何在银行和存款人之间妥适分配损失而发生的案件，就是网上银行“双刃剑”特征的一个明显例证。学者认为，事故所生的损害的归责原则不应同于行为所生的损害的归责原则，其决定不是根据“交换公平”的原则，而是根据“分配公平”的原则。[3]思虑于此，本文选取近来多发的网上银行被盗后财产损失的案件作为经验材料，目的在于分析和探讨如何在现行法律制度框架下妥当确定此类案件中两造的责任分担，配置举证责任，以期对基于周全利益衡量背景下的案件解决和案件当事人利益与不利益的均衡分配有所助益。

　　一、案例引入[4]—损失承担和举证责任分配的法律症结

　　2004年，王某在某银行网站上办理非签约个人网上银行注册，申请在该网上银行进行登录、查询、缴费等功能操作。2006年12月9日，王某到银行对银行卡分别办理了柜台存款人网银签约及柜台网银账户追加手续。12月20日，发生网银转账1万元，同日，王某以其与网银绑定的银行卡被盗1万元为由向公安局报案。公安局侦查未果，王某认为其银行卡账户通过网上银行被支取的1万元系被他人盗取，银行网上银行系统存在漏洞，遂向法院起诉要求银行赔偿其经济损失。

　　这种网上银行被盗的案例，自网上银行兴起以来就屡见不鲜。例如福建省安溪县为治理诈骗而关闭全县自动柜员机案，2002年发生于中国农业银行永嘉支行的首例网上银行被盗案，2005年中国农业银行晋江营业部777万元被盗的国内最大网上银行被盗案等。通观这些案件，网上银行被盗发生财产损失后的责任认定和损失承担是案件的核心争点，而这一核心争点之有效解决的法律症结则又在于此类案件的举证责任分配。在相当程度上，可以说举证责任的不同分配直接预设了司法判决中对立两造的利益与不利益。以上述案例为例，存款人王某对其网上银行存款被盗仅能做到最基本的受损事实主张，对于侵害行为人和具体的侵害事实以及银行网上银行系统的安全性等都无相关证据加以佐证和支撑；面对存款人的指控，银行可能抗辩是存款人自己支取了相关钱款，或者因存款人自身过错泄露了网上银行的交易信息或者相关认证密码导致侵害行为人有机可乘，主张损失应当由存款人承担。在此情况下，举证责任的分配如果仍然坚持“谁主张谁举证”的传统证据学原理，由存款人王某对银行网上银行系统存在漏洞等相关问题负举证责任，则极有可能使银行与存款人之间的利益状态处于极度失衡状态。相反，如果将此举证责任完全委诸银行，则亦有可能使存款人在日后的网上银行过程中，演变为“权利睡眠者”的角色，不履行最基本的审慎操作注意义务，使银行的网上银行业务处于极大的风险之中。在这样的认知基础上，如何在此类案件中妥适地在两造之间进行举证责任的分配，就是一个颇费思量的问题。

　　二、案例分析—网上银行被盗责任承担的法律分析

　　本案涉及某银行的网银系统是否存在漏洞、对该网银系统安全性能否进行鉴定的争议。目前的《电子银行业务管理办法》第八十九条规定：金融机构在提供电子银行服务时，因电子银行系统存在的安全隐患、金融机构内部违规操作和其他非客户原因造成的资金损失，由金融机构承担相应责任；因客户有意泄露交易密码，或者未按照服务协议尽到应尽的安全防范和保密义务造成损失的，由客户承担相应责任。尽管立法对法律责任承担有了划分，但是在举证责任和证据认定上仍存在难题。针对讼争的网上划款交易，在技术上是否具备鉴定网银系统当时处于正常运行状态并有效地验证了存款人的认证密码和认证码？如受制于技术、安全和经济等客观因素，本案较难具备对网银系统进行相应鉴定的条件，则双方如何举证才能达到证明优势？如待证事实真伪不明，即无法确定是网银系统因素还是因存款人自身过错造成的损失，举证责任又该如何分配？

　　（一）网上银行账户中钱款的性质认定

　　我国现行法律没有对存入银行的现金的归属作出明确界定，理论上对此问题也存在争议。但是，钱作为种类物，占有者则视为所有者。美国银行法认为：银行不是存款人的金钱的被寄托人，银行没有义务将存款人的金钱与另一存款人的金钱隔离保管。该国法律把银行与存款人的关系作为债权人与债务人的关系。银行是债务人，客户是债权人。[5]英国银行法认为：银行与客户之间的合同具有这样的特征，即银行有权为自己的目的使用客户存入的钱，它向客户承担的义务是或者凭要求或者在规定的时间带利息返还与存入的款数额相等的金钱。英国上议院19世纪中叶的判例根据上述分析得出的结论是：银行与客户的关系基本上是借款人与债权人之间的借贷合同关系。在1884年Foley v. Hill案判例中，法官判决存入银行的钱已成为银行的钱，银行能作为自己的钱使用并能保留赚得的利润。[6]《法国民法典》第1893条规定：（消费借贷）由于借贷的结果，借用人成为借用物品的所有人，借用物不论以任何方式发生的损失，均由借用人负担。[7]《意大利民法典》第1834条规定：（金钱储蓄）银行对存入已处的货币享有所有权，并在约定期间届满时或者存款人提出请求时，负有返还同种货币的义务。[8]美国《电子资金划拨法》(Electronic Fund Transfers）中也规定：网上银行遭受损失，除非存款人没有在规定的时限内向银行报损，否则一般由银行对损失先行支付，然后再追究损害责任。[9]

　　综上可知，诸多国家对存入银行的现金的法律认定为：钱在存款人和银行之间因存储合同而发生转移，则存入银行的钱视为所有者发生改变，银行成为钱的所有者，存款人享有的是对银行的债权，银行负有向存款人返还等同于本金数量的钱款附加利息，返还的是种类物。既然存入银行的钱是种类物，银行中的钱款丢失后，损失只能由银行自担，不能转嫁于存款人。网上银行的钱未经特定账户所有人的授权而减少和银行中保险柜被盗抑或运钞车被劫一样，减少的钱款归于银行资金的灭失，不能将损失平摊到存款人，银行应当损失自负。与此同时，银行要保证合同当事方即存款人可以随时提取钱款，实现债权。

　　（二）银行应当承担被盗损失的法律分析[10]

　　如上分析明确了银行与存款人之间的关系是债的关系，那么作为存款之所有人的银行理应履行相应的义务，承担因义务履行不能或不完全而产生的损失。

　　1．银行的安全保障义务

　　(1)合同法原理的从给付义务。《合同法》第六十条规定了合同的全面履行和附随义务。附随义务是从诚实信用原则中产生的义务，是为了确保合同的实现并维护当事人的利益，依合同的性质、目的和商业习惯所负担的义务，属于从给付义务。从合同法原理的角度分析，存款人和银行之间的关系是合同关系，银行提供网上银行服务是主给付义务，保障资金安全和存款人的信息安全是从给付义务，主给付义务不履行，存款人可以向法院主张解除合同，从给付义务不履行，存款人可以向法院主张损害赔偿[11]。

　　(2)网上银行法定义务和服务协议约定的义务。根据《商业银行法》第六条规定：“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。”存款人在非因自己过错遭受财产损害时，银行应当承担赔偿责任。根据网上银行服务协议，银行在进行业务创新的时候，应当保证交易系统的安全，增加存款人对于银行创新业务的信赖。存款人申请网上银行业务时，与银行签订了网上银行服务协议，银行需要进行存款人身份识别，数字证书认定，以及需要采取一定的止损措施等保障交易安全。网上银行服务协议作为银行和存款人之间的基本合同，存款人在进行网上交易时，银行应当承担基本的安全保障义务，包括保障网络的硬件设施完备、安全，使存款人能够进行信赖交易，此过程中存款人的个人信息泄露、财产损失等，当由银行承担基本的损失赔偿责任。

　　(3)银行安全保障义务的扩张性解释。网上银行被盗，应扩张性地解释为银行未对客户尽到安全保障义务。将商业银行对存款人的保密义务从存款人个人信息扩展到安全、保密的交易环境，其依据的就是经营者对经营场所的安全保障义务，这已成为理论界和司法界的共识。之所以做扩张性解释，除了网上银行也应被视为银行的虚拟经营场所之外，还基于以下理论：①获利与风险相适原则。银行的金融活动及其衍生业务属于典型的营利行为，网上银行也是为了扩大其盈利能力而开发的，是收取服务费用的，由此产生的损害属于风险经营，理应由银行承担。②危险控制理论。网上银行的技术开发归属银行，银行掌握服务设备和性能，具备专业知识和专业能力，通过赋予银行履行安全保障义务来防止损害的发生，这种救济具有可操作性，能把损害控制在最低限度。③社会成本最小化理论。网上银行被盗的概率相对于每个客户都是很小的，而对于银行系统却是相对较大的，法律如果要求每个客户在网上银行中对小概率的损害付出过高的注意成本，对于客户乃至整个社会利益而言是不经济的，会导致整个社会效率的降低。而银行可以通过技术改进和安全防范，付出远小于整个客户群的预防成本，就可以消除安全隐患。对于整个社会而言，扩张性地解释银行的安全保障义务是最有效率的。

　　2．银行应当作为损失的第一承担者

　　(1)银行是不法行为人的直接侵害对象。存入银行的资金已经归属于银行，并以数据形式显示于网上银行系统中。不法分子通过各种手段探寻网上银行的漏洞，攫取不法利益。不法分子没有采取入室盗窃等传统手法行窃，而是利用网上银行系统疏漏，侵害的目标和对象已经从具体的个人转向了银行，针对的是网上银行系统中的表征实物资金的数据，挑战的是银行金融创新制度。刑法将涉及银行的犯罪行为作为普通犯罪中的加重情节，也证明了司法界对于银行作为受害对象的后果严重性的一致认可及对银行的加重保护。银行作为首要受害对象，应当对损失承担责任，并增强自我意识和加大自我保护力度，不宜将损失直接推诿给广大存款人承担。

　　(2)银行是第一责任承担者。基于上述分析，银行是第一受害对象，损失直接归属于银行，银行承担损失之后，可以向利用网上银行的系统或信息窃取资金的行为人追偿。而网上银行被盗具体表现为存款人账户的资金数据减少，根据《合同法》第一百二十一条：“当事人一方因第三人原因造成违约的，应当向对方承担违约责任。当事人一方和第三人之间的纠纷，依照法律规定或约定解决”。银行在未能证明存款人的过错时，不能拒付资金，否则构成违约。

　　(3)银行具有多元的规避风险措施。银行作为金融业务中的占据优势地位的组织，具有更多的防护手段和避险机制，例如有足够的实力可以更新技术，加大防范；可以向保险公司投保，规避损失；甚至会提高银行服务佣金，变相分摊到广大存款人等，所以银行作为损失的第一承担者更为合理。

　　当然，如果是因为存款人的过错而导致的损失，则自然应该根据存款人的过错程度由其本人承担相应的损失后果。

　　（三）利益衡量背景下举证责任的分配

　　责任承担的分配正义在司法操作中体现为举证责任的归责原则，承担举证责任的一方如在不能证明的情况下，则当然承担败诉风险，对损失承担责任，网上银行损失的最大争议难点就在于银行和存款人双方都很难对侵害行为进行举证：银行难以举证存款人故意泄露网上银行的信息或认证密码，存款人很难举证自己没有泄露网上银行的信息；银行很难举证网上银行系统完备，不存在被攻击的可能性，存款人难以举证网上银行的系统技术漏洞等。那么举证责任的分配就陷入了两难的境地，也是司法处理首要解决的症结。如前所述，此类案件中举证责任的分配，如果是全A或全B的非此即彼的二元对立的决然分配，势必会使得银行与存款人之间的利益处于一种不均衡的状态。此时，应考虑借人利益衡量的相关理论对此类难题进行破解。

　　利益衡量理论是在批判概念法学的基础上兴起的法律适用方法，主张对法律的解释应当综合把握案件的实质，结合社会环境、经济状况、价值观念等，对双方当事人的利益关系作比较衡量，作出案件当事人哪一方应当受保护的判断，然后再从法律条文中寻找根据，以便使结论正当化或合理化。[12]在此案中，重点在于银行与存款人哪方利益受到保护，哪方利益在权衡中被置后。

　　从银行方面来讲，一方面，银行作为金融服务的提供者，有义务为客户提供安全稳定的金融服务。网上银行属于金融创新业务，银行在开发设置网上银行系统及其安全防范等方面相对于存款人而言具有明显的信息和技术优势；另一方面，银行作为国民经济的重要支撑，其运作的有序稳妥既是其自身权利和利益的需要，也是经济社会稳定的需要，必须从法律层面对其正常的营业权利和秩序加以保障。

　　从存款人方面而言，一方面，其作为银行客户，自然有获得安全稳定的金融服务的当然权利；另一方面，其在网上银行办理后以及后续的操作过程中均负有审慎操作的注意义务，应尽量避免自己的银行密码等私密信息泄露。

　　综上，可知在举证责任分配时，应同时考量银行与存款人的权利与义务。

　　根据《最高人民法院关于民事诉讼证据的若干规定》第七条：在法律没有具体规定，依本规定及其他司法解释无法确定举证责任时，人民法院可以根据公平原则和诚实信用原则，综合当事人举证能力等因素确定举证责任的承担。那么，法院在分配举证责任时，笔者认为应考虑如下因素：

　　1．主流学理观点对举证责任分配的不适用

　　(1)汉德公式的不可操作性。有观点主张将本案作为侵权案件处理，则应以激励当事人的事故预防成本达到社会最优水平作为核心目标。考虑到案件涉及的是双边预防的问题，如果“一刀切”由银行承担损失，将导致所有网银存款人不会主动采取必要的预防行为，而银行仍需对并非因其预防不充分所产生的损失承担赔偿责任，这样的情形显然是无效率的。但是，基于外部性内部化的经济学原理，银行应对其新开发的网银产品，在产生收益的同时所附带的负外部性及交易风险，承担更大的责任。如此，判定银行是否存在过错，即其是否达到了社会最优预防水平，就成为了确定责任的关键。对此，引入汉德公式，对B（预防成本）、P（事故概率）、L（事故损失）三者进行定量分析。当B < PL时，银行没有预防构成过错，反之不存在过错[13]。

　　但是，汉德公式将损失数学化，在现实中不具有可操作性。B（预防成本）与P（事故概率）和L（事故损失）比较的综合指标很难量化，个案的量化指标也不同；而且，这三项指标随着技术的进步、市场环境的变迁也不断发生变化。所以，以此区分过错司法成本过高，并不精确，难以得到广泛认同，导致其公式适用无法在司法实践中开展。

　　(2)罗森贝克规范说的证据学悖论。根据罗森贝克规范说，主张权利存在的一方当事人，因为要求适用关于权利产生的规范，所以，应就权利产生的法律要件事实举证；相应地，否认权利存在的一方当事人，应就权利妨碍的法律要件事实、权利消灭的法律要件事实或权利限制的法律要件事实进行举证[14]，也即“谁主张谁举证”的原则。在此案例中，存款人在主张网上银行存款被支取，应由银行承担责任时需要证明：①银行卡内资金被他人盗取的事实；②银行的业务过错或技术漏洞与存款人银行卡内资金被盗的关联性。然而事实上，存款人只能证明银行卡中钱财被取走的事实，但无法留存证据证明被盗款项不是自己所提取，因为无法对自己没有做过的事情留存证据。对于银行方面的过错与资金被盗的关联性，限于信息的局限性和技术难度，连银行举证都存在困难，存款人对此举证几乎成为不可能。所以，基于双方举证能力的综合考量，宜将主要的举证责任配置给银行。

　　2．存款人的“消极行为不举证”权利

　　根据证据学原理和基本生活常识，“消极行为不举证”是维护民众权利和社会稳定预期的重要原则。具体到司法过程，法官只能要求主张事实发生或者存在的当事人承担举证责任；而不能要求主张事实不存在或者没有发生的当事人负举证责任。举例而言，司法过程中不能课以被告人张三举证自己没有杀死李四的义务。本案中虽然存款人因为故意或者过失将网上银行认证密码等相关信息泄露需要承担相应的过错责任，但是在证明存款人存在过错上，应当由银行举证，不能让存款人对自己没有泄露信息的行为举证，因为不能强求任何人对没有做过的事情举证，事实上这在技术上也是难以操作的。让存款人证明自己没有泄露信息，事实上已经在法律上预判了存款人的败诉，是非常不合理的。这样分配举证责任虽然在客观上加大了银行的举证难度，但还是可以实现的，而且从维护弱势群体的利益，维系社会总体的公正度上也是不违背法理基本精神的。

　　3．银行就自己无过错负举证责任的应然性论证

　　(1)银行控制网上银行交易的信息资料。网上银行交易的数字信息都在银行的网络系统中，由银行控制掌握，存款人很难调取。通过数字化交易的信息资料证明银行的过错，对于处于信息弱势的存款人一方，几乎无法实现，所以关于交易信息合法、合规等证据应由银行负责举证。

　　(2)网上银行的高度技术性使存款人举证不能。网上银行的高度创新性和技术性，造成了交易中的信息不对称，存款人交纳服务费享受服务，是基于对网上银行技术和银行公信力的信赖。网上银行的信息、技术等归属于银行，在网上银行开放化、无纸化、虚拟化的发展中，存款人固化证据非常被动。在存款人和银行发生法律争议时，对于网上银行交易信息资料的举证，存款人只能出示交易凭条，其他信息资料处于举证不能状态，这方面的事项应由银行负责举证更现实。

　　(3)银行举证网上银行交易信息资料成本相对较低。银行是网上银行系统资料的所有者，对于交易等信息资料的保全和调取相对容易。虽然存款人可以将对银行的行政处罚决定书或者刑事判决书等在民事诉讼中作为证据来使用，但是这种证据相对较少，与待证事实的关联性较弱，而存款人要获得网上银行交易信息资料的难度大、成本高，所以，应当由银行举证。

　　(4)最高人民法院在《关于天津市邮政局与焦长年存单纠纷一案中如何分配举证责任问题的函复》中也指出：为了维护存款人的合法权益和银行的公信力，举证时银行应当承担主要举证责任。存款人只能提供尽量真实完整的存款合同关系的证明，存单、进账单、对账单、存款合同等凭证，提供交易记录的证据，尽可能提供关于被盗资金相关的记录，无须承担其他关于银行过失或者系统漏洞方面的举证。如果银行认为是存款人没保护好银行卡或认证密码等原因致使银行的钱被骗，负责举证的自然就应该是银行。以该函复为据，也应由银行承担主要的举证责任。

　　三、案件结论—网上银行被盗案中，银行应作为损失第一承担者，并负担举证责任

　　结合前述案例，存入网上银行的资金应归属于银行，银行应当保障分属于存款人账户的资金数据安全，银行作为金融产品的提供者掌握信息资料和技术，在交易中处于绝对优势地位，有防范风险的能力，而存款人不能对未做过的行为举证，因此由银行承担第一损失责任，并负担举证责任为宜。

　　在网上银行被盗屡禁不绝的今天，对网上银行的损失，主要通过私人诉讼来分配支付损失[15]。在银行和存款人都缺乏证据举证过错时，鉴于当事人双方信息、技术等地位的不平等，应由追求盈利的银行作为第一损失承担者和配置其主要的举证责任，旨在将网上银行规制于现行法律框架之下，同时也使处于优势地位的银行承担相对较多的责任，以保护处于弱势地位一方的广大存款人等金融消费者的利益，以便于推广新生的金融产品，增强存款人对银行业的信赖[16]。虽然对银行课以了更高的要求，从长远来看，是对银行不断改进技术、提高服务质量、加大审慎力度的一种鞭策，也是提升网上银行服务质量，促进银行业现代化发展的驱动。

　　四、案例启示—加大对网上银行风险的法律防范

　　（一）强化存款人的安全注意义务

　　将银行置于损失第一承担者，并承担举证责任，加大了对存款人的保护力度，势必会相对放松存款人的警惕，而存款人加大对网上银行信息的保护不仅是关键，整体预防损失的成本相对也比较低。可以考虑立法设计存款人限额责任的条款[17]或者网上银行服务协议中设计损失共担的条款等，使存款人对于损失承担小比例的责任，以提高其安全防范意识，注意合理使用网上银行，严格保管个人信息和认证密码等，尽到最大的安全注意义务。

　　同时，应当设定存款人的损失报告时限[18]。存款人发现网上银行损失之后要及时向银行报告，以便银行及时对损失原因开展取证调查，超过一定时限未报告，存款人要承担相应责任。

　　（二）防范恶意存款人骗取银行赔偿

　　这种加大银行赔付可能性的法律归责制度，势必会诱使少数不法分子谎称网上银行存款被盗，向法院起诉，骗取银行赔偿，这在网上银行业务的风险管理中称为客户行为风险[19]。这一方面需要银行做好相关的数据信息留存，加强防范措施；另一方面要加大对恶意存款人的法律打击力度，除了惩罚性赔偿，还要通过行政处罚甚至刑事处罚以威慑这种恶意行为。

　　（三）改进技术，增加银行的安全保障措施

　　《电子银行业务管理办法（征求意见稿）》[20]第三十七条特别指出：金融机构应采取适当的措施和采用适当的技术，鉴定与识别启动网上银行服务业务的客户真实身份，并对其权限实施有效管理。金融机构应在物理控制和软件控制两个方面，建立对非法进入或越权进入的甄别、处理和报告机制。征求意见稿经过修改形成了《电子银行业务管理办法》，并于2006年1月26日颁布实施，其中的第三章具体化了银行的风险管理，对银行提出了改进技术，防范假冒存款人非法盗取网上银行存款的行为的要求。

　　目前，网上银行采用数字加密技术作为唯一安全防护手段是存在软肋的，应该开发多重技术保护的新途径，如与生物信息技术，短信回执技术等的结合。任何一种新的技术产品都是“双刃剑”，在享受网上银行带来便利的同时，对于其相伴而生的高度风险也要加大警示。银行在享受这种金融产品带来的巨大利润时，最应关注的是不断预见风险，提高技术防范措施，保障交易安全，减少诉累，增强广大存款人对新生金融产品的信心和对银行的信赖。

　　（四）加大对金融消费者的民事保护力度

　　我国《商业银行法》和《证券法》等金融立法中虽然也在其立法宗旨中写入保护存款人、投资人等金融消费者权益的内容，但是真正规定消费者权利、具有可诉性和可操作性的民事规则在具体条文中却十分少见，这使得保护消费者权益往往成为被架空了的口号。[21]金融消费者和金融机构在信息上严重不对称也使得前者在主张权利救济时面临举证责任和败诉风险，因此应当简化金融机构民事责任的构成要件、减轻消费者举证责任是金融消费者民事保护的应有之义。银行可以通过建立金融消费者责任赔偿基金，对网上银行的损害作出相应支付。




【作者简介】
陈冲，单位为华东政法大学。


【注释】
[1]余素梅著：《网上银行业务安全的法律保障机制研究》，1～2页，武汉大学出版社，2006。
[2]这是全球第一家虚拟银行，属于全新的银行模式，除了在美国亚特兰大设立总部之外，完全通过互联网运作，没有实体营业机构。参见张卓其：《电子银行》，290～291页，高等教育出版社，2002。
[3]这是德国学者埃塞尔强调的“分配正义”理论，参见江平：《民法学》，748页，中国政法大学出版社，2001。
[4]本案节选自2010年上海市第二中级人民法院商事金融个案研讨会提供的案例材料，下文汉德公式及罗森贝克规范说等学理观点也是研讨会材料提供的观点。
[5]沈达明：《美国银行业务法》，80页，对外经济贸易大学出版社，1992。
[6]沈达明、郑淑君：《英法银行业务法》，2～3页，对外经济贸易大学出版社，1995。
[7]http: //chinalawlib. com/55530315. html，访问日期：2010年9月1日。
[8]曹新友：《论存款所有权的归属》，载《现代法学》，2000 (2)。
[9]See FDIC Law, Regulations, Related Acts, 6500-Consumer Protection, Title Ix-Elec-tronic Fund Transfers, available at //www.fdic.gov/regulations/laws/ rules/6500－1350. html.
[10]在英国的《银行业守则》中也有相关规定，如在消费者无需亲临现场就能完成的交易中，如果有人未获授权而使用信用卡，消费者无需承担任何责任，除非有欺诈行为。See The Banking Code and Its Guidance for Subscribers, 2008，available at // www.bba.org.uk.
[11]王泽鉴：《债法原理》第一册，37页、40页、41页，中国政法大学出版社，2001。
[12]王海俊：“浅谈法官如何运用利益衡量”，载《人民法院报》，http: //rmfyb. chi-nacourt. org/public/detail. php? id = 105813，访问日期：2011年3月2日。
[13][美]罗伯特·考特，托马斯·尤伦著，张军等译：《法和经济学》第一版，455页，上海三联书店，上海人民出版社，1994。
[14]常怡：《比较民事诉讼法》，416页，中国政法大学出版社，2002。
[15]See Robert Cooter＆Edward Rubin, A Theory of Loss Allocation for Consumer Payments,66 Texas Law Review（1987) pp. 112-119.
[16]Posner认为，法律强制的主旨或标准在于为促使将来将之最大化的行为创造动因(Posner 1977, 68)。法律对银行和存款人之间设定责任分配，实际就是对双方的契约指引了方向。在Goetz和Scott看来，契约更重要的目的在于促使源于承诺活动中的纯有益信赖的最大化（Goetz and Scott 1980, 1321)。这种信赖无疑将增加网上银行的经济价值。
[17]美国《借贷诚实法》和《电子资金划拨法》都有“消费者限额责任规则”，通过存款人承担一定数目的损失，加重其合理谨慎义务。参见钟志勇著：《网上支付中的法律问题研究》，北京大学出版社，2009。
[18]如香港《银行营运守则》规定60天的报告时限，超过60天，则不享有责任限制。See Code of Banking Practice, 2005，available at //www．hkab.org.hk。再如美洲银行的Online Banking and Transfers Outside Bank of America Service Agreement and ElectronicDisclosure中也有类似规定，如独资企业外的企业账户附加条款注明：对于通知银行存在未授权的可能交易之前，并银行就此有机会采取措施之前，任何使用企业存款人密码的未授权交易，银行概不负责。资料来源：http: //www. bankofamerica. com/onlinebanking/in-dex. cfm? template = service - agreement&statecheck = IL。访问日期：2010年5月17日。美国《电子资金划拨法》也有类似规定。
[19]有观点将网上银行业务的风险根据来源分为四类：立法滞后风险、客户行为风险、内部管理风险和技术安全性风险。周忠海等编著：《网络银行法律问题研究》，197－199页，知识产权出版社，2008。
[20]参见：《电子银行业务管理办法（征求意见稿）》，资料来源：//www.chi-naeclaw.com/readArticle.asp?id=3362，访问日期：2010年8月10日。
[21]何颖：《论金融消费者保护的立法原则》，载《法学》，2010 (2) 。