從2001年人民銀行頒布《網(wǎng)上銀行業(yè)務(wù)管理暫行辦法》到2005年4月《電子簽名法》實施，以及人民銀行2005年10月頒布《電子支付指引》到中國銀監(jiān)會2006年2月頒布《電子銀行業(yè)務(wù)管理辦法》，這幾年是我國電子立法、立規(guī)從無到有，起步發(fā)展的階段。特別是《電子簽名法》的頒布實施，不僅拉開了我國電子立法的序幕，而且在我國現(xiàn)行法律體系中首次引入了一個新的法律關(guān)系——電子認證的法律關(guān)系。根據(jù)這些法律規(guī)定，對于采用內(nèi)部認證的商業(yè)銀行網(wǎng)銀業(yè)務(wù)來說，有些問題是需要深入思考的。

自助簽約能完全取代柜臺簽約嗎？

電子銀行業(yè)務(wù)自助簽約，是指客戶不經(jīng)過柜臺簽約過程（包括出示身份證明，閱讀表單、協(xié)議等法律性文件，現(xiàn)場手寫簽名確認等），僅通過電話、自助終端、因特網(wǎng)等非現(xiàn)場方式，以及本人獨有的賬戶號、身份證號、密碼等專屬數(shù)據(jù)信息，以電子方式向銀行做出同意開通某項電子銀行業(yè)務(wù)的意思表示。從廣義上它屬于電子簽名的范疇，那么這種電子簽名在當前的法律環(huán)境下是否具有表示當事人真實意圖的法律效力呢？這個問題屬于電子簽名的法律適用范疇，通俗地說，就是在什么情況下使用電子簽名才是合法有效的，可以達到表示當事人真實意圖的法律效果。這也是各家商業(yè)銀行最關(guān)心的電子銀行自助簽約的法律效力問題。如果電子銀行業(yè)務(wù)能實現(xiàn)合法有效的自助簽約，對于網(wǎng)銀業(yè)務(wù)的市場拓展會是一個重大利好。但是，根據(jù)現(xiàn)有法律規(guī)定，筆者認為，自助簽約在目前還不能完全取代傳統(tǒng)的柜臺簽約。

2005年4月我國《電子簽名法》正式實施，盡管第十四條規(guī)定了：“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”，但根據(jù)該法第三條的規(guī)定：“民事活動中的合同或者其他文件、單證等文書，當事人可以約定使用或者不使用電子簽名、數(shù)據(jù)電文。當事人約定使用電子簽名、數(shù)據(jù)電文的文書，不得僅因為其采用電子簽名、數(shù)據(jù)電文的形式而否定其法律效力”，可以看出電子簽名的適用范圍僅限于當事人的約定，當事人可以選擇使用或不使用，只有選擇使用的，該電子簽名才具有法律認可的效力。而在當前尚未建立全社會統(tǒng)一標準、惟一可識別、可驗證的電子身份標識的情況下，這個“選擇使用”的意思表示本身仍應(yīng)當是通過傳統(tǒng)簽約方式，經(jīng)過傳統(tǒng)的身份確認、手寫簽名等程序做出。具體到電子銀行業(yè)務(wù)就是在柜臺簽約時完成的。在柜臺簽約時，客戶以其傳統(tǒng)的、惟一可識別的真實身份與銀行達成協(xié)議，同意開通網(wǎng)上銀行業(yè)務(wù)，同意將來以網(wǎng)上身份（密碼及/或證書及/或其他數(shù)據(jù)信息）發(fā)出電子指令授權(quán)銀行辦理賬戶查詢、結(jié)算等業(yè)務(wù)，也可以說是客戶對銀行的一個基礎(chǔ)授權(quán)。有了這個基礎(chǔ)授權(quán)之后，銀行憑客戶的網(wǎng)上身份授權(quán)辦理業(yè)務(wù)才是合法有效的，如果沒有這個基礎(chǔ)授權(quán)，那就是客戶沒有與銀行達成使用電子簽名的約定，那么任何以身份證號碼、賬戶號、密碼等數(shù)據(jù)信息為特征發(fā)出的授權(quán)指令都不能被確認為是客戶惟一真實的授權(quán)，銀行為客戶辦理的電子銀行業(yè)務(wù)就是無權(quán)代理，后果應(yīng)由銀行自行承擔，給客戶造成的損害也應(yīng)由銀行做出賠償。

網(wǎng)銀內(nèi)部認證會面臨質(zhì)疑嗎？

網(wǎng)銀認證的合法性問題

網(wǎng)上交易當事人的身份認證（authentication）是保證網(wǎng)上交易真實性、安全性的關(guān)鍵。電子簽名認證機構(gòu)（certificate authority CA）負責簽發(fā)、管理網(wǎng)上交易主體的電子證書（也即網(wǎng)上交易當事人的身份證明），產(chǎn)生、管理網(wǎng)上交易使用者的密鑰以及CA密鑰等。在《電子簽名法》頒布前，僅有人民銀行于2001年頒布的《網(wǎng)上銀行業(yè)務(wù)管理暫行辦法》第十七條規(guī)定了“銀行應(yīng)采用合適的加密技術(shù)和措施，以確認網(wǎng)上銀行業(yè)務(wù)用戶身份和授權(quán)，保證網(wǎng)上交易數(shù)據(jù)傳輸?shù)谋Ｃ苄?、真實性，保證通過網(wǎng)絡(luò)傳輸信息的完整性和交易的不可否認性?！逼渲?，銀行采用加密技術(shù)與措施以保證數(shù)據(jù)傳輸?shù)谋Ｃ苷鎸嵤菬o需質(zhì)疑的，但由銀行來“確認用戶身份和授權(quán)”，顯然是將網(wǎng)上銀行交易的身份認證問題作為一項法定義務(wù)完全交付給了交易中的一方當事人——開設(shè)網(wǎng)上交易的銀行。從當前角度來看，這樣的規(guī)定可以說是一個不成熟的制度安排，對交易雙方均有失公平：從客戶的角度考慮，難以從根本上信任交易對方的公正性，從銀行的角度考慮，也大大加重了銀行方的義務(wù)與交易成本，成熟的銀行會認為認證過程本身只是一種工具或手段，而不應(yīng)該成為交易中的義務(wù)。故2006年中國銀監(jiān)會頒布的《電子銀行業(yè)務(wù)管理辦法》第四十條規(guī)定“金融機構(gòu)應(yīng)采取適當?shù)拇胧┖筒捎眠m當?shù)募夹g(shù)，識別與驗證使用電子銀行服務(wù)客戶的真實、有效身份，并應(yīng)依照與客戶簽訂的有關(guān)協(xié)議對客戶作業(yè)權(quán)限、資金轉(zhuǎn)移或交易限額等實施有效管理”，不再提“確認”用戶身份與授權(quán)，只是“識別與驗證”客戶身份的真實有效性，使認證程序不再成為銀行的一項法定義務(wù)。

《電子簽名法》在全篇三十六條中，以多達十六條的篇幅著力于規(guī)定電子認證及認證機構(gòu)，對電子認證服務(wù)設(shè)立了市場準入制度，第十八條“從事電子認證服務(wù)，應(yīng)當向國務(wù)院信息產(chǎn)業(yè)主管部門提出申請”，經(jīng)審查許可并頒發(fā)電子認證許可證書方可從業(yè)。

但鑒于國內(nèi)網(wǎng)銀實務(wù)中兩種認證方式同時存在，既有采用第三方認證機構(gòu)（中國金融認證中心，CFCA）對客戶、銀行進行雙方認證的，也有各家銀行采用自設(shè)的認證機構(gòu)僅對客戶身份進行單方認證的，如招行、工行和建行等，并且這些銀行的網(wǎng)銀市場占比已很大，故該法對這一既成事實做出了遷就，第十六條規(guī)定“電子簽名需要第三方認證的，由依法設(shè)立的電子認證服務(wù)提供者提供認證服務(wù)”，也可以理解為：如網(wǎng)銀客戶同意并信任網(wǎng)銀服務(wù)提供者（銀行）提供的內(nèi)部電子認證，也可以不需要第三方認證。

但隨后信息產(chǎn)業(yè)部于2005年1月28日頒布的《電子認證服務(wù)管理辦法》（與《中華人民共和國電子簽名法》同時實施）中又明確規(guī)定“本辦法施行前已從事電子認證服務(wù)的機構(gòu)擬繼續(xù)從事電子認證服務(wù)的，應(yīng)在2005年9月30日前依照本辦法取得電子認證服務(wù)許可；擬終止電子認證服務(wù)的，應(yīng)當對終止業(yè)務(wù)的相關(guān)事項作出妥善安排。自2005年10月1日起，未取得電子認證服務(wù)許可的，不得繼續(xù)從事電子認證服務(wù)”，那么，商業(yè)銀行的內(nèi)部認證是否取得了國家許可并依法注冊成為合格的第三方？

事實上，現(xiàn)存的商業(yè)銀行內(nèi)部電子認證運作如常，我們是否可以這樣來理解：第一，商業(yè)銀行在網(wǎng)銀業(yè)務(wù)中提供的認證不是一個獨立的服務(wù)，不以盈利為目的，是銀行業(yè)務(wù)的附隨服務(wù)或是業(yè)務(wù)流程的必要環(huán)節(jié)；第二，該認證是銀行與客戶雙方共同約定認可的，不違反央行《電子支付指引》第三十四條“銀行采用數(shù)字證書或電子簽名方式進行客戶身份認證和交易授權(quán)的，提倡由合法的第三方認證機構(gòu)提供認證服務(wù)”，符合其第十條“銀行為客戶辦理電子支付業(yè)務(wù)，應(yīng)根據(jù)客戶性質(zhì)、電子支付類型、支付金額等，與客戶約定適當?shù)恼J證方式，如密碼、密鑰、數(shù)字證書、電子簽名等”，及銀監(jiān)會《電子銀行業(yè)務(wù)管理辦法》第四十四條“金融機構(gòu)開展電子銀行業(yè)務(wù)，需要對客戶信息和交易信息等使用電子簽名或電子認證時，應(yīng)遵照國家有關(guān)法律法規(guī)的規(guī)定”。

但筆者似乎還是感受到各方對于商業(yè)銀行內(nèi)部認證合法性的猶疑與躑躅。

網(wǎng)銀認證的法律責任

根據(jù)《電子簽名法》第二十八條，“電子簽名人或者電子簽名依賴方因依據(jù)電子認證服務(wù)提供者提供的電子簽名認證服務(wù)從事民事活動遭受損失，電子認證服務(wù)提供者不能證明自己無過錯的，承擔賠償責任”，可以看出，法律對認證機構(gòu)采用的是一種嚴格責任，即過錯推定責任。盡管該條款規(guī)定得有失簡單，因為在電子認證領(lǐng)域如何證明自己無過錯，如何說服法官信任你的認證是無過錯的，沒有相關(guān)規(guī)定給出判斷標準，甚至是在技術(shù)與法律兩個層面都在探討之中。在這一法條的規(guī)定之下，銀行如選擇第三方認證，則無需承擔對電子認證的舉證責任。但如采用的是內(nèi)部認證，銀行作為一方當事人，既參與交易又承擔對對方當事人身份的認證，可能首先就會被要求舉證認證無過錯，一旦舉證不能，網(wǎng)銀業(yè)務(wù)本身就成了一件費力不討好還要吃啞巴虧的賠本買賣。這可能就是當前部分商業(yè)銀行在對個人的小額異常交易索賠案例中往往采取“一賠了之”息事寧人思路的主要原因。

那么，一旦客戶質(zhì)疑銀行電子認證的合法性與安全性時，銀行又將如何舉證，以證明自己認證的無過錯？這應(yīng)是各家采用內(nèi)部認證的商業(yè)銀行亟需研究解決的新課題。

（作者單位：中國建設(shè)銀行深圳市分行法律事務(wù)部）