摘要：随着电子商务的发展，网上银行业务也如雨后春笋般蓬勃发展起来。但目前国内相关立法是一片空白，故网上银行多用服务协议来调整银行与客户之间的权利义务关系。为了避免风险，银行在服务协议中设定了诸多，以减轻自身责任。而这些免责条款的设定使客户与银行之间的风险分配失衡，故本文试从我国相关规定出发，对网上银行服务协定中的免责条款的法律效力进行分析，以期达到银行与客户之间利益的平衡。

　　一、问题的提出

　　随着电子商务的发展，网上银行 也随之在全球蓬勃兴起。自1997年招商银行率先推出网上银行“一网通”以来，国内各大商业银行也相即推出自己的网上银行业务。与传统的银行相比，网上银行借助互联网技术，突破传统银行受地域、时间限制的业务模式，在为客户提供全新的三A(anytime、anywhere、anyhow)服务的同时，有效地降低了银行的经营成本。但在为客户提供便利、快捷服务的同时，也给商业银行带来了新的风险，如系统安全风险(包括信息传输安全、计算机系统安全)、操作风险等。为了转移风险，商业银行往往通过其单方制订的服务协议中的免责条款来尽可能多地免除自己的责任。固然免责条款可以事先分配银行与客户的风险，避免不必要的争讼，但是也有银行利用自身优势侵害客户利益之嫌。从实际情况来看，在目前许多已经建立的网上银行的服务协议中，银行设计了诸多的免责条款，减轻自身责任，而将一些安全风险不合理地加至客户身上，有违公平诚信原则。故本文试从我国《合同法》关于格式条款与免责条款的相关规定出发，对网上银行服务协议中的免责条款的法律效力进行分析，以期达到银行与客户之间利益的平衡。

　　二、服务协议中免责条款效力的认定

　　免责条款订入合同，并非表明该免责条款当然有效，必然引起当事人免责或限责的法律后果。所以判断服务协议中免责条款是否有效，还须依据合同法的相关规定、民法的基本原则以及电子商务法的原则来综合考察。笔者试从网上银行免责条款中新出现的几个免责事由入手，具体分析电子商务环境下银行与客户之间的利益平衡问题。

　　(一)系统故障

　　网上银行以其迅速便捷的服务来吸引客户，但这种迅速便捷的服务后却隐含着巨大的安全隐患。这主要是因为网上银行中大量使用各种新技术，虽然这些新技术加快了交易速度，但也同时带来了安全风险。一旦交易系统出现故障，致使交易不能进行，其风险和责任应由谁承担呢?

　　以目前我国国内几家网上银行服务协议中的约定来看，大都将之归于不可抗力或是其它不可预见的非常情况而予以免责。 但笔者认为，此做法不妥当。因为对消费者而言，接受网上银行服务的原因在于便利和效率。如果因为银行人为或技术的原因丧失便利性和安全性--不能即时获得流动性，甚至是遭受损失--那么这种机制就变得毫无意义。所以如果完全将安全风险加至客户身上，既有违公平原则，也不利于未来网上银行业务的开展。故笔者认为，不应笼统地将系统故障归入不可抗力而免责，应就造成系统故障的不同情况具体而论，下文试就造成系统故障的原因分述之。

　　1.黑客及大型电脑病毒侵袭系统

　　在传统交易合同中，不可抗力一般是指自然灾害、战争、政府禁止行为的发生，但是在网上银行业务这样新型服务模式中，也出现了许多新的情况，如黑客侵袭系统、大型病毒植入系统，对此是否可以视为不可抗力或是不可预见的非常情况呢?笔者认为，不可以将其归入不可抗力范畴。原因在于，其一，互联网是开放的系统，系统越开放则其不稳定性就越高。所以在黑客侵袭系统、大型电脑病毒爆发这类突发事件层出不穷的网络时代，银行开展网上业务时就应当预见有可能会出现黑客、大型电脑病毒侵袭系统造成系统故障的情况。其二，对于Internet中一些技术屏障(包括电脑病毒)而言，其有发作规律和周期可循，甚至人们已经开出相应的应急措施和解决方案，所以在此种情况下，银行是可以避免和克服出现系统故障情况的。其三，根据我国《网上银行业务管理暂行办法》第十八、十九条的规定，网上银行应实施有效的措施，并且定期测试网络系统、业务操作系统，防止网上银行业务交易系统被计算机病毒侵袭和黑客侵入。所以说银行有法定义务采取防范措施避免此类情况的发生。且实践证明，只要建立有效的安全防护系统，并定期维护是可避免黑客及病毒的入侵的。如美国安全第一网上银行由于采取三重安全防护设备，成立至今还未被入侵过。

　　基于以上分析，笔者认为，如果银行未尽到必要的注意义务和防范义务，而给客户造成损失应不能免责。即使银行在服务协议中约定此项免责事由，这样的约定也是无效的。这是因为根据《合同法》第53条规定，因故意或重大过失造成对方财产损失的免责条款无效。这里所指的重大过失是行为人违反一般人应尽的注意义务(即行为人完全可以预见到自己的行为可能会给相对人造成损害而漠视其应负的注意义务，从而导致损害发生)。此种情况下，如果银行因未采取必要的防范措施而导致黑客或病毒入侵造成客户损失，可以说这时银行虽无主观故意，但其负有基本的防范和注意义务，却漠视之，从而导致损害结果发生，可以视为重大过失。因此银行的免责条款是无效的。

　　但如果银行已尽到必要的注意义务和防范义务，却仍未能阻止黑客的入侵和电脑病毒的侵袭而造成客户损失，银行是否可以免责呢?对此学者们有不同的看法。有的学者认为，由于黑客、大型电脑病毒侵袭系统造成的损失应由交易提供者承担责任，因为这应属于其必须承担的商业风险，就象现实生活中的银行被抢而银行不能要求储户与其分担责任一样。香港的金管局也认为，如果不是出于客户的忽略，则客户不应对安全故障或系统问题负责。但从目前国外银行的实务操作来看，大多数银行的服务协议中均载明，如果网上银行已尽合理的注意并采取合理的措施以防范此种情况的发生，则银行不对由于该情况造成的损失承担责任。 对此，笔者认为，在银行已尽到必要的注意义务和防范义务的情况下，银行可以不对客户的损失承担责任。原因在于，网络银行仍是一个新兴业务，其风险程度还不能完全预见，如果要求银行承担完全责任。则会使其裹足不前，同样也会影响到电子商务的发展，这是电子商务难以两全的问题。同时根据经济学“谁受益而由谁承担安全风险”的原则来看，消费者从网络银行中享受到了更方便、更快速、更全面的服务，其也是受益者之一，所以也应分担一定的安全风险。至于对消费者权益的保护问题，笔者认为可以从以下两方面平衡银行与客户利益。其一是规定银行应承担通知义务。即银行应在一些特定病毒的发作日前进行必要的预防工作，并且在网上银行主页上用公告形式通知客户在发作日时使用网上银行业务应注意的事项。而在遭受黑客或电脑病毒侵袭后，银行应立即用尽可能的最快捷方式通知正在交易的相对方事件的性质、发生日期、预计持续时间，并及时采取措施解决，以防止损失的继续扩大。如果因未尽到以上义务而致使损失扩大，则银行对于扩大部分损失不可以免责。其二，可以借鉴美国《电子商务资金划拨法》的规定，即如果因系统故障妨碍消费者发动向他人划拨资金的实施，且该他人已经同意接受以此种方式支付，那么在故障排除和电子商务资金划拨可以完成前，该消费者对该他人的义务中止，除非该他人随后以书面形式要求以电子商务资金划拨以外的方式支付。这样通过法律的规定，可以免除客户因系统故障情况下延期付款的责任，以平衡银行与客户的风险分配。[2]

　　而至于判断何为有效的防范措施，则有赖于我国统一的行业安全技术标准规范的出台。对此笔者认为可以借鉴香港2000年《电子商务交易条例》中的规定，即要求交易提供者要建立稳当系统(trustworthysystem),而“稳当系统”是指符合以下所有条件的电脑硬件、软件及程序：(a)是合理地安全可免遭受入侵及不当使用的。(b)可供使用，可靠性及操作方式能于合理期间内维持正确等方面达到合理水平。(c)合理地适合执行其原定功能。(d)依循获广泛接受的安全原则。