个人电子银行业务中私人密码的法律效力及相关司法实践

在现有的技术条件和法律环境下，在个人电子银行业务中，一方当事人通常通过其私人密码的设密和运用进入自动交易系统从而完成交易，私人密码具有重要的法律地位和作用。
　　一、私人密码的特点、基本功能及法律效力

　　（一）所谓私人密码，又称私人密钥，它是密码技术中与公共密钥相对应的一种密钥，它由本人生成并所有且只有本人知悉，其作用在于辨识文件签署者身份及表示签署者同意电子文件内容并对数据电文进行保密。

　　私人密码具有私有性、唯一性、秘密性等特点。

　　（二）私人密码的功能

　　1.私人密码的使用表明对交易者身份的鉴别及对交易内容的确认，从而起到数字签名（电子签名）的功能。

　　2.私人密码的使用表明本人进行了交易行为。

　　3.私人密码的使用表明交易是在保密状态下进行的，任何第三者都不知交易内容。

　　（三）本人行为原则——私人密码的使用效力规则

　　所谓本人行为原则，是指只要客观上在个人电子银行交易中使用了私人密码，如无免责事由，则视为交易者本人使用私人密码从事了交易行为，本人对此交易应承担相应的责任。

　　私人密码使用即为本人行为原则的例外

　　在下列情形下，本人行为原则不予适用：

　　1.私人密码使用涉及的软件密级程度过低。

　　2.失窃、失密后及时向银行挂失。

　　3.操作系统受到黑客攻击。

　　二、当前个人电子银行业务纠纷实践中司法机关对私人密码的态度

　　鉴于个人电子银行业务的快捷性、方便性、安全性，目前我国电子银行业务发展迅猛，越来越多的个人成为了商业银行的电子银行业务用户。伴随着个人电子银行业务的迅猛发展，目前实践中也发生了为数不少的纠纷，其中较多的是银行卡纠纷和电子汇兑纠纷，全国很多省市均有发生。据报道，仅广西就发生此类纠纷上百起，涉及标的额数千万元。

　　鉴于我国法律尚未明确确立本人行为原则，对于上述纠纷中私人密码的法律地位，相当长的一段时间中，各地法院态度不一，判决混乱。




　　随着时间的推移，多数法院开始认同私人密码使用的本人行为原则，并在案件诉讼中予以正确运用。如广东东莞市人民法院在一份个人电子银行业务纠纷的判决书中写道：“在金融电子化服务中，在正常情况下，密码为存款人设定并私人掌握，他人（包括金融机构的工作人员）并不知晓。据此，无论是存款人本人还是其授意的他人使用了密码进行交易，都视为存款人本人的行为。既然是本人所为，当然无要求对方为此承担责任之理。如果是存款人在操作时不注意防范被他人窥视并使用了私人密码骗取存款，这也就说明存款人没有履行妥善保管密码的义务，对存款被他人支取有过错，由此所产生的后果亦当由存款人自己承担。”

　　三、司法实践中个人电子银行客户身份认定的误区及其辨析

　　从目前的个人电子银行业务纠纷实践来看，由于多数现行纠纷均有客户资金被诈骗背景，而且不法分子在诈骗过程中常常使用了伪造（变造）存折（单）或使用虚假的个人身份证，诈骗得逞后，不法分子逃之夭夭，受害者便将银行推向被告席。在上述情况下，个别法院的少数法官不确认私人密码的法律效力，甚至在有关当事人已经明确承认自已将密码和账号均告知他人的情况下，仍然片面地强调保护弱者，机械地坚持按照传统法律规则并以种种理由尤其是以实名制实施后银行没有识别出虚假的个人身份证件为由判决银行承担责任。上述做法是错误的。如前所述，个人电子银行业务不同于传统的个人金融业务，个人电子银行业务的开展是建立在私人密码使用的本人行为原则基础之上的。我国法律虽然没有直接确立上述原则，但中国人民银行《银行卡业务管理办法》第39条规定：“发卡银行依据密码等电子信息为持卡人办理的存取款、转帐结算等各类交易所产生的电子信息记录，均为该项交易的有效凭据。发卡银行可凭交易明细记录或清单作为记帐凭证”。上述规定间接确立了本人行为原则。同时我国较多商业银行的业务章程也明确约定适用该原则。如工商银行个人网上银行业务交易规则规定：客户应妥善保管并经常更换登录密码、支付密码。凡使用密码进行的交易操作银行均视为客户本人所为。如因保管不当密码泄露造成损失，由客户自行承担。银行依据客户发出的电子付款指令为其办理的转账支付所产生的电子信息记录，均为该项交易的有效凭证，银行可凭交易明细记录或清单作为交易凭证。客户使用相关银行的个人电子银行业务产品就表明客户对业务章程的认可。基于上述原因，在个人电子银行业务的纠纷中应使用私人密码使用的本人行为原则。至于要求银行对身份证件承担绝对的审查责任是没有法律依据的，也是不现实的，其原因在于：

　　1、《个人存款帐户实名制规定》第七条规定：在金融机构开立个人存款帐户的，金融机构应当要求其出示本人身份证件，进行核对，并登记其身份证件上的姓名和号码。该条内容明确规定了金融机构为客户开立账户的操作程序，但并未规定金融机构有审查、辨别身份证真假的义务。从条文含义理解，这是一程序性规范，即金融机构只要依据上述程序进行操作，便履行了法定职责，至于当事人提供的证件是否真实有效，并不是审查金融机构工作是否存在过错的依据。首先，向金融机构提供真实有效的证件，是法律对开立帐户当事人提出的要求，《个人存款帐户实名制规定》第六条对此有明确规定；其次，从银行实际操作的可行性角度来看，金融机构对当事人提供证件的真实性、有效性也仅能作形式上的审查而无可能进行实质性审查，因为金融机构本身就不是证件真实性与否的鉴定机关，也无权作出鉴定结论。

　　2、个人电子银行业务中可以使用的个人有效身份证件包括居民身份证、军官证、警官证、文职干部证、士兵证、户口簿、护照、港澳台同胞回乡证等符合法律、行政法规以及国家有关规定的身份证件。由于法定身份证件种类繁多，形式各异（单就身份证而言，基于防伪技术的发展就已经有几个版本，而且不同的版本的身份证目前均在使用中），而且目前我国的身份证件制作科技含量比较低，极易伪造并以假乱真，不仅社会公众难以鉴别真伪，即使经过特殊训练的专业技术人员（包括公安干警、机场安检人员等）仅凭目测识别伪造的身份证也并非易事。

　　3、对银行而言，既不是身份证的发证机关，也不是具有专业鉴定职能的鉴定部门，客观上并不具备判断身份证件真伪的专门技能和人员，此外，银行要从发证机关获取可供辨别真伪的信息资料也存在巨大的障碍。从我国现行的法律法规来看，没有任何条文规定国内身份证件的发证机关（公安机关、军事机关、外交机关等）答复金融机构查询身份证件的义务，而在我国缔结的国际条约中，更找不到外国驻华使领馆必须答复银行查询外国护照的义务。因此要求银行工作人员对身份证件进行实质性审查在事实上成为不可能。

　　4、从目前金融机构的业务实践来看，由于我国金融机构办理个人电子银行业务适用的法定身份证件种类繁多且金融机构没有向发证机关查对身份证明的权利和义务，而个人电子银行业务又是日常大量实施的交易活动；金融机构与客户是业务合作的关系，而不是警察与小偷之间的关系，金融机构职员只能把所有存取款人当成客人接待，不能视为犯罪嫌疑人盘查。因此，金融机构对客户身份证件的核对应符合社会公认的交易习惯，遵从公平与效率的原则。金融机构职员不是司法鉴定专家且业务办理时间极为短暂（通常是以分钟为单位计算），对客户身份证件的核对，只能是相对的，一般性的，这是日常大量民事交易活动中的交易习惯，是约定俗成的行为规范。

　　「参考文献」

　　[1]孟勤国、刘生国。私人密码在电子商务中的法律地位和作用。 法学研究2001，（2）

　　[2]唐应茂。电子货币与法律。北京：法律出版社，2002. [3]唐德华。民事审判指导与参考。 北京：法律出版社，2000-4. [4]刘军等。 银行法律事务。北京：法律出版社，1999. [5]刘颍。电子资金划拨法律问题研究。北京：法律出版社，2001.

作者：余保福