9月9日上午,北京市朝阳区法院开庭审理的一起因网络银行被盗引发的经济纠纷案,再度引起社会对网银安全性问题的关注。
北京市民纪树惠曾在兴业银行朝外支行办理了一张“自然人生理财卡”,同时申请开通了网上银行。随后,纪树惠查询账户时,发现大部分存款不翼而飞。
“我在存款后,并没有登陆过兴业银行的网上交易系统啊!因此可以保证,不可能有黑客通过我家的电脑,盗取我的账号和密码。”纪树惠自觉很冤。但兴业银行方面则认为,他们的网络银行很安全,不会有黑客攻击的问题发生。“如果原告认为银行应当就此承担责任的话,就应举证银行的过错所在。”
这难倒了纪树惠和代理律师。“我们不是网络专家,即使懂些网络知识,也不可能知道网络银行的系统端是否遭遇过黑客的攻击啊?如果无法举证银行的系统端有问题,那我就只能面临败诉的结果?”
有关法官告诉本报记者:“目前此类案件的举证责任,没有具体的法律或司法解释上的规定,各个法院适用不一,但一般会根据"谁主张,谁举证"的原则,即如果原告(储户)不能举出银行方面存在过错,就极有可能承担败诉的结果。我们也感觉到简单按照上述举证原则,有些不公平,所以也很希望,尽早出台一个具体的操作规则。”
北京邮电大学网络法律研究中心主任刘德良认为,因网上银行安全问题导致的经济纠纷的审理中,比较公平的原则是适用“举证责任倒置”的举证原则。因此在此类案件中,从证据技术角度考虑,银行处在绝对的优势地位。他建议最高人民法院应当适时出台相关司法解释。
黑客技术致使用户举证困难
8月20日下午,江民反病毒中心监测到,一种“金盾”病毒的最新变种,正在悄无声息地威胁着网上银行的安全。这种变种病毒能够将自身深入隐藏到系统进程内部,躲避安全软件的查杀,并可以穿透某些防火墙程序。病毒将自身注册为浏览器辅助对象,与系统浏览器同时启动或关闭,普通用户或一般的安全软件根本无法察觉病毒的存在。
除了这种最新的隐蔽性极强的病毒,对于一般的网银病毒,绝大多数用户也就只知道些皮毛而已。
根据发生的案例分析,黑客在有针对性地设计出网银病毒(如“网银大盗”)后,往往采用两种方式,截取储户账号、密码等信息。
第一种是设计出与银行网络地址和版面设计及其近似的网站,诱导用户点击输入账号和密码,进而根据被病毒记录下来的用户信息。此种方式,俗称“钓鱼”。
第二种是通过用户登录不明或不良网站,植入设计好的木马,截获被感染计算机的键盘输入和鼠标动作,然后将用户信息发送到指定的地址。
不管上述哪种方式,黑客们最终目的是进入用户的网银系统,采用转账或者汇款的方式,或者采用制作伪卡的方式,盗取现金。
江民反病毒中心一位工程师告诉记者:“病毒被植入后,会自动查找IE等多种浏览器,一旦发现用户使用浏览器登入银行个人网上银行的界面,就会记录下用户的键盘输入内容。比如,某些病毒发现用户输入卡号的长度为19位,并以"95588"开头时,就会截获用户在工商银行的密码等资料。”
这位工程师分析,随着安全软件的不断升级,病毒也在不断更新,不用说一般的网银用户,就连他们这些专业的技术人员都防不胜防。
但一旦因网银被盗,引发用户与银行之间的纠纷,银行往往会指责用户操作失当,法院也会因为用户的过错,免除银行方面的责任。
本报记者以普通储户想注册网上银行的名义,先后拨通兴业银行、工商银行等多家银行的客服电话,试图探听万一网银被盗后银行方面对自身责任大小的界定态度。
一般银行如此答复:这要看被盗的原因,如果因为储户不慎,包括储户的客户端被黑客攻击,银行不负赔偿责任。如果是因为银行自身网络被攻击,银行会履行相应的法律责任。但是,请相信银行的网络安全建设是很有保障的,有客户证书等多重手段保护储户权益。
刘德良认为,在上述情况下,网银用户应负有注意义务,比如登录网银时,应当打开或设置反病毒软件和防火墙;也应当注意不登陆不良或不明网站,以防止病毒植入。
“如果用户因为自己不慎,将密码或其他信息泄露,也要银行承担责任的话,显然对银行不公。也容易由此滋生用户与不法者的串通,从而导致银行方面的损失。”
但是,刘德良强调,如果法院在司法实践中,仅仅因为网银用户无法举证银行方面有过失,而只根据“谁主张谁举证”的原则去判定案件,用户往往会败诉,显然也是不公平的。因为网银用户一般并不具备这样的专业知识和能力,因此用户不具备举证的能力,他们最多只需要履行必要的注意义务。
银行责任用户无法获知
将网银被盗的原因仅仅归结为用户不慎,显然有些牵强,因为绝大部分用户无法举证:自己信息泄露过程中,银行网络系统是否存在问题,是否这些问题也是造成自己客户端被病毒入侵的原因。更不用说让用户去举证:病毒是否在首先侵入了银行网络系统过程中黑客获取了自己的网银信息。
因为除了用户端的风险,网银被盗也不能排除网络银行系统端的风险。反病毒专家认为,银行系统端虽然遭遇病毒入侵的几率较小,但不能说网络银行的安全性就十全十美。不能排除网络银行雇员的欺诈行为,或者系统端遭到病毒侵入,或者系统端自身运行出现故障等原因。
中国金融认证中心(CFCA)有关负责人介绍说,目前国际公认的、最安全、最值得推广的身份识别技术就是电子认证技术,它可以有效防范“网络钓鱼”和 “网银大盗”。虽然目前国内的网上银行业务基本上都采用了电子签名技术,但应用范围和广度还非常有限。基于很多商业银行并没有采用第三方数字证书,导致网银用户使用最安全的合法第三方数字证书的用户还不到五成。
据CFCA透露,目前很多商业银行多采用自建的CA认证中心系统,这不利于银行信用机制的形成,也对网银用户不公。
如果银行完全出于网银安全考虑,可以不为不使用双重认证的用户开通网银,或者限制其转账汇款等业务。但事实上,据记者调查,如果用户不使用数字证书,很多网银功能照常被允许操作。
这不能不说明,网络银行确实存在管理或技术上的漏洞。
但是,目前网银用户在开通网银的过程中,须与银行签订《个人客户服务协议》,协议中往往有大同小异的规定,即“用户应按照机密的原则设置和保管自设密码……采取其他合理措施,防止本人密码被窃取。由于密码泄露造成的后果由用户承担”。
刘德良分析说,基于技术上的原因,网银被盗引发的经济纠纷案件中,用户因为专业知识的限制,既无法知道是自己客户端的原因,还是银行系统端的原因。而全部网银的交易资料又都由银行控制,用户在举证上明显处于不利地位。
根据现实情况,刘德良建议,最高人民法院应当考虑借鉴医疗事故纠纷的审判原则,在“谁主张,谁举证”的举证责任原则上实现变通,以司法解释的形式将上述原则改为“举证责任倒置”,即由银行方面证明自己的系统没有漏洞,从而增强司法实践的可操作性。
“举证责任倒置”的原则能够切实保护网银用户的利益,体现用户与网银之间的服务合同的平等关系,增强用户使用网银的信心。从长远来看,也有利于银行不断增强网银的安全性能和技术水平,有利于网络银行的健康发展。