金融机构客户身份认证号码法律问题探讨
金融机构客户身份认证号码法律问题探讨
蓝寿荣
(华中科技大学法学院 湖北 武汉 430074)
内容提要:文章对金融业务中出现的客户身份认证号码法律问题进行研究,提出其具有不是一种直观的书面文件、对保密的严格性要求很高、能够鉴别客户身份真伪和确认交易内容适当与否、存在潜在不安全性的法律特征,指出金融机构负有及时提醒客户注意保密其个人身份认证号码和严格为其身份认证号码保密的义务、客户负有谨慎的义务,并且还对金融机构与客户签约时提供格式合同中免责条款的效力和客户身份认证号码在证据上的效力进行了探讨。
关键词:客户身份认证号码 法律责任 法律效力
随着经济和技术的高速发展,我们已经进入了所谓的“号码时代”,从打电话、发传真、上网到洽谈商务、物流配送、办理金融业务,都可以不必出示身份证件、亲自签名,而代之以输入数字号码加以确认来完成。尤其是在金融业务中,每个客户的身份已化为数字组成的帐户号码加密码,每个客户都可以在输入自己的号码和密码之后进行存款、取款、转帐、买卖证券、买卖外汇等金融活动。本文从法律角度对金融业务中出现的客户身份认证号码这一新问题进行初步探索。
一、对金融机构客户身份认证号码概念的分析
金融机构的客户身份认证号码是客户向金融机构提出申请,由金融机构在提供金融产品服务时为客户编制或由客户自己编制的一组由数字组成的代表该客户身份性质的号码,一般包括帐户和密码。这种客户身份认证号码在金融业务中广泛存在,如银行为存款人办理存折中显示或不显示的存取款帐户号码加密码,银行为外汇交易人办理交易卡中不显示的交易帐户号码加密码,银行为消费者办理信用卡中不显示的透支帐户号码加密码,证券公司为股民办理证券交易卡中不显示的资金帐户号码加密码、股票帐户号码加密码,等等。可以这样说,没有客户身份认证号码,也就没有今天现代化的金融服务。
关于金融机构客户身份认证号码的概念界定,美国《现代法律专业字典》认为是“个人或单位挑选出来的用于进入金融机构帐户、计算机数据库或其他安全项目、领域的数字号码。”香港1997年颁布实施的《香港银行经营条例》认为,设定金融机构客户身份认证号码是为了鉴别客户的身份和表示客户对输入数据所显示交易内容的认可,有了这一身份认证号码,客户不仅可以通过自动取款机提取现金、支付帐单或进行其他金融交易,并且还认可了在其他终端设备上所进行的支付活动。从《香港银行经营条例》所规范内容来看,金融机构的客户身份认证号码不仅用来鉴别客户身份,还可以用来认定客户认可其输入数据所显示的交易内容,这一规定直接为金融实务中处理纠纷提供了法律依据。
由金融机构客户身份认证号码的概念界定,可分析其具有如下法律特征:(1)不是一种直观的书面文件。签名是直观的,形象的,一份签名就是一份书面文件,但客户身份认证号码是由数字组成,而不是文字、字母、标识、图象符号等,因而不具有直观性,可以一目了然以判断其真伪。(2)对保密的严格性要求很高。在书面签名中,一般是不需要保密的,因为每个人的字体均不一致,仿冒的签名是能够鉴别的。但客户身份认证号码就不一样了,在键盘上,按键上输入数字号码进入系统交易,系统只能鉴别号码正误,而不能鉴别输入者真伪。如果有了获知他人的身份认证号码并以该号码进入金融操作系统,系统将不会拒绝。这就要求每个客户的身份认证号码是唯一的,不为他人所知,金融机构和客户本人双方都有严格保密的责任。在英美法系国家,这属于客户的隐私权所保护的范畴,依据《美国1974年个人隐私法》和《英国1984年数据保护法》,客户的身份认证号码只有交易双方所知悉并需为之保密,金融机构和其他人不得以欺诈或其他隐蔽性的方式非法获取该认证号码。金融机构和客户双方若有过失泄露该号码均要负相应的责任。在大陆法系国家也一样,都有对客户情况保密的法律规定,如德国,“除非客户明确表示同意,否则银行不会泄露其私人客户的有关情况;除了银行保密原则作为私法的一部分,依据私人数据保护法规仍然存在特殊的责任,这种私人数据保护是受德国宪法保证的”。[1](3)能够鉴别客户身份真伪和确认交易适当与否。在传统交易业务中,金融机构的客户身份真伪鉴别与交易内容适当与否的确认应该是分开的,确认客户身份的手段有要求其出示身份证、居民户口证、护照、授权委托书、单位介绍信等,而交易内容是否适当则以其是否签名为证,俗话说的“白纸黑字,不得反悔”即是此意。在现代金融业务中,客户的身份在金融业务交易中已具体体现为数字组成的号码。当事人只要正确输入其身份认证号码就会得到金融机构操作系统的确认,也就可以进入该系统进行交易;当事人由输入数据而显示的交易内容也同时为系统确认,系统将认为是客户的真实意思在数据库中进行记录并完成交易,不再需要客户进行授权或签名。金融机构系统数据库中的记录将作为交易进行、完成的原始证据。可见,当客户通过输入其身份认证号码进入金融交易系统,即可以认定其为真实客户和认可交易内容。(4)存在潜在不安全性。与书面签名相比,使用客户身份认证号码具有电子网络所具有的通病,即潜在不安全,因为这种计算机储存的电文数据的一个主要特征是能够被修正或补充,各种加密的技术也都有解密或破密的可能,再加上电脑“黑客”泛滥,随时会发生盗用、破译、更改当事人身份人证号码进行金融交易的事情,其结果是金融机构或其他客户遭受财产损失。据《金融时报》1998年8月16日载文称:“网上诈骗已成为世界上第二种最为常见的投资诈骗形式”,并引用法国《费加罗报》说,“借助于网络,犯罪分子可以通过破坏银行信息系统来进行诈骗,再也无需采用传统的方式来抢劫银行”。当损失发生时,金融机构和客户关心的一个问题是追回损失,但有时会发生找不到肇事者的情况,那该由谁承担损失?这也是下面要讨论的金融机构和客户双方应履行何种义务的问题。
二、对金融机构和客户双方应履行何种义务的分析
金融机构与其客户之间基于市场服务而开立帐户,由此形成双方的契约关系。一旦金融机构为其客户设定一个客户身份认证号码,金融机构会给客户一份信用卡或存折或交易卡,客户会为自己办理某种或多种金融业务拥有一个帐号,客户可以凭着这一身份认证号码开展金融交易、取得金融机构提供的服务。在这个业务交易过程中,双方凭着客户身份认证号码进入系统这一事实形成权利和义务关系,任何一方的违约行为,包括过失行为均会招致法律后果,即必须承担相应的法律责任。
在这一权利义务关系中,金融机构负有及时提醒客户注意保密其个人身份认证号码和坚决为其保密身份认证号码的义务。金融机构对客户有关资料负有保密的义务是长期以来银行实践中形成的惯例。最初,银行的这一义务被认为是银行与客户之间所达成契约的默示条款,因而大多银行与客户达成的契约或协议,即客户开立帐户的文件,一般均不规定银行应加以保密,但在实践中,银行负有此项义务。当然,现代的金融机构由于同业竞争激烈,已经自动在与客户的协议中写有应加以保密的条款。关于银行保密义务的最早和最有影响力的判例是英国最高法院1922年Tournier,1924(ALL E.R.)461案,上议院审判庭的勋爵认为:“首要的问题是银行保密义务的外延。显然这一义务不仅限于客户的帐目本身,即客户的帐上存款额或任何一个数额。”银行可以不遵守保密义务的例外:因法例规定或法院要求、因公共利益、因银行自身利益、因客户同意。[2]美国法院在其判例中承认银行的保密义务是银行与客户之间契约的默示条款,认为如果银行泄露其客户的秘密,必须承担法律责任,即赔偿由此造成的损失。美国法院在一个著名的判例中认为:“银行在任何时候均不得认为它有自由向外界透露与客户帐目相关的细节是可以理解的。不容侵犯的保密性是银行与客户关系的内在的和最根本的原则之一。”[3]在涉及客户身份认证号码时,英美判例法还要求金融机构应提醒客户必要的注意事项,以免遭受到犯罪行为,这种提醒义务被视为附随于金融机构所承担的保密义务的一项补充义务。香港1997年《银行业务条例》第25条对此作了详细规定,银行应提醒其客户采取合理措施妥善保管银行卡和个人身份认证号码,以免受到他人不法侵害,具体而言就是要提醒客户:尽快销毁印有客户身份认证号码的原始打印件,不应允许他人使用自己的银行卡和身份认证号码,不要将个人身份认证号码写在银行卡上或其他容易显示识别号码的物件上,不应在没采取任何伪装措施情况下就记载个人身份人认证号码,如果个人身份认证号码(含密码)是由客户自己选择的,则最好不要使用易为他人获取的客户私人信息来组成,如个人电话号码等。我国法律也明确规定了金融机构应为客户的相关信息保密。在1992年国务院发布的《储蓄管理条例》第5条规定了储蓄业务必须遵循“存款自愿,取款自由,存款有息,为储户保密”的原则,并在第34条规定了相应的法律责任;在1995年全国人大通过的《商业银行法》第29、30条规定商业银行为个人储蓄、单位存款保密的义务,“商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外”,第35条规定,商业银行的工作人员不得泄露其在任职期间知悉的国家秘密、商业秘密;在1998年全国人大通过的《证券法》第38条规定:“证券交易所、证券公司、证券登记结算机构必须依法为客户所开立的帐户保密”。在这些保密义务中,首要的应该是不得泄露客户的帐号和密码。
在这一权利义务关系中,金融机构的客户也应履行谨慎的义务。在我国的金融业务中,客户自己的帐号和密码应该对他人保密,印章、空白支票等应该妥善保管,如果因为客户自己不谨慎,而被他人获取密码、印章、空白支票,其形成的损失,将由客户自己承担。诚如香港《银行业务条例》中规定的,银行应提醒客户采取适当措施对自己的认证号码加以保密。反之,客户自己更应予以重视,如果客户无意间向他人展示自己的身份认证号码或将号码写在易显示、识别的物件上,则表明由于客户不谨慎已经为他人所获知该号码,他人凭号码进行金融业务交易,金融机构将认为交易者已经由合法持有者授权,客户此时不得主张交易者未经授权而要求金融机构赔偿其损失。在金融机构与客户的关系中,客户自身也要承担一些义务,在法律上是有依据的。这方面的一个著名判例是1918年伦敦联合股票银行有限公司诉麦克米兰和阿瑟案,被告是一家商业公司,在伦敦联合股票银行有限公司开有支票帐户,一次其雇员填写的支票,支票上印有“£”之后的空白金额处只填写上一个阿拉伯数字“2”,在“2”前后均有明显空位,该雇员将支票交于公司负责人签署之后,在上述“2”之前加“1”,之后加上“0”,成为“£120”,并在金额大写处写上一百二十英镑。事发后,麦克米兰和阿瑟公司拒绝不承认该支票效力,认为银行无权划走120英镑。但上议院判银行胜诉,因为客户明显违反了其应向银行承担的谨慎义务,银行可免责地按支票所载金额借记客户的帐户资金,并认为客户在签名发支票时,应谨慎认真,以便不使银行产生误解或给其他人造成伪造支票的机会。[4]英国判例法为全世界各国法院认定客户需负谨慎义务开了先河和借鉴。随着经济和技术的发展,这种客户的谨慎义务的范围也不断扩大,自然其主要的内容是对认证号码和帐户资料的谨慎义务。
在讨论了金融机构和客户双方应负的义务后,实际中还会发生第三方通过不当手段获取相关资料,利用客户的帐号和密码掠取钱款的情况。英国金融实践和法院判例认为:如果客户的身份认证号码是他人以隐蔽的或欺骗的手段从客户那里获取的,客户及时向其办理业务的金融机构报告该情况,此后形成的损失不由客户承担;相反,客户应知道其身份认证号码等信息为他人非法获取而没有在合理时间内报告,形成损失由客户自己承担;如果他人进入金融操作系统破译了身份认证号码并从事欺诈行为时,若因为金融操作系统保密性过低而被破译,应由金融机构承担欺诈行为造成的损失;若金融机构操作系统达到了法定保密性要求仍被他人破译,因双方对此种情况下欺诈行为的发生都去过错,在无法向欺诈行为者索赔时,应适用公平原则,由双方共同分担损失。假如有人以银行客户的名义下达指令,将资金从银行划走,被抓获后大部分款被追回,但仍损失一部分。这些损失是由此人借以进入的客户承担,还是由银行承担?我们认为,首先要了解该人在进入金融系统之前是与客户有关联的人还是与银行有关联的人,或者是与银行和客户都没有关联,即他是从客户控制的渠道获取客户的身份认证号码,还是从银行控制的渠道获取客户的身份认证号码,或者是完全由他自己破译的。如果该人是利用客户的细微疏忽而取得客户的身份认证号码而进入金融系统,则客户应当承担损失;如果客户次能合理说明或证明自己有足够的谨慎,而仍为他人获取信息,或该人是从银行控制的途径取得信息,则银行应承担责任。
三、对两个涉及金融机构客户身份认证号码法律效力问题的讨论
涉及金融机构客户身份认证号码的问题不少,在此主要讨论金融机构与客户签约时提供格式合同中免责条款的效力和客户身份认证号码在证据上是否具有签名的效力。
第一个问题,金融机构提供的格式合同中,关于应同意客户承担认证号码因任何原因被他人知悉所造成结果、损失负责的条款,是否有效?
在全世界绝大数金融机构提供给客户的开户申请文件中均印有如下内容:客户身份认证号码是严格保密的,客户任何时候、任何情况下都不能向他人告知、泄密该号码,客户同意承担身份认证号码因任何原因被他人知悉所造成的结果、损失负责。这可以认为是金融机构提供格式合同的负责条款。象这类免责条款,在日常生活中经常会遇到,它往往体现为一个固定化的模式,在签约时表现为一方虽然明示该格式合同,但另一方却习以为常,对其中的免责条款及其所含内容毫无所知,或者有时是作为金融机构的客户处于相对弱势而没有协商余地,这种情况在客户向银行申请开户或开办外汇交易帐户、在证券公司申请开户时,可见绝大部分客户飞快走笔签名而很少阅读条款内容。对此,在英美法上,认为免责条款要有法律效力,须具备以下条件:载有免责条款之文件须为契约之构成部分;载有免责条款之文件是否经他方签名,如未签名,是否经适当告知;免责条款有疑义时,应作不利于制作文件之解释,此即所谓“Doctrine of contra proferentem”;免责条款之效力是否及于契约以外之人;免责条款之援用须以契约履行并依本旨履行时为限。在英国《全英判决汇编》所载的Chapelton V. Barry U.D.C.(1940)1 ALL E.R.365., Olley V. Marlborough court,ltd.(1949)1 ALL E.R.127., thornton V. Shoe Lane Parking,Ltd. (1971)1 ALL E.R. 686., Curtis V. Cleaning and Dyeing Co.(1951)1 ALL E.R.631. ,Adler V. Dickson, (1953)3 ALL E.R.397.和《上诉法院判决集》所载的Michell (Geoge) (Chesterhall) Ltd. V. Finney Lock Seeds Ltd.(1983)2 A.C.803.判例来看,英国法院对于一方企图以其契约中免责条款之规避责任并不认同,如果免责条款之内容不合理不公平,另一方可以不受该免责条款限制。这一精神后来直接被写入法律条文之中。1995年的《英国不公平合同法》第5条的规定,在一方作为客户的服务合同中,若法院根据合同成立时的情况发现全部或部分合同条款显失公平,法院可以采取以下救济措施:解除合同,继续履行不显失公平的部分合同条款;限制适用、修改或变更显失公平的条款。根据司法实践,法院在决定合同或部分合同条款依合同成立时的情况是否显失公平时一般要考虑以下因素:客户和对方当事人间的交易地位;对方当事人要求客户遵守的条件是否保护对方当事人的法益所必须的;客户是否能完全理解合同中的义务负担条款;是否使客户承担了不当的义务;客户从其他人获取同样或同等货物或服务需支付的金额或条件。
我国1999年《合同法》也吸收了这一精神,在第39条规定“提供格式条款的一方应当遵循公平原则确定当事人之间的权利和义务,并采取合理的方式提请对方注意免除或者限制其责任的条款”,第40条规定“提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的,该条款无效”,第41条规定“对格式条款的理解发生争议的,应当按照通常理解予以解释;对格式条款有两种以上解释的,应当作出不利于提供格式条款一方的解释”。可见,在金融机构与客户签约时,金融机构提供的协议书上关于客户应同意承担认证号码因任何原因被他人知悉所造成结果、损失负责的条款是没有法律依据的。
第二个问题,客户身份认证号码在证据上是否具有签名的效力?
在金融实务中,以数字号码来代替身份证明和签名的做法其实已有很长的历史了,但号码能否与签名一样具有法律效力是有争论的。《新牛津英语字典》中的签名指确认支票、文件或结束信函时,作为一种认证形式所签写的某人的名字。美国《欺诈行为法》中规定,签名可以是将名字手书或者打印文字,但这些文字本身并不产生“签名”效果,只有将之有意识地,无论是实际上或形式上,使用或采用来认证一份文件时才具有法律意义。由此,一个标记或记号可以是签名,且签名的实施者可以是本人也可以是本人授权的其他主体。签名是一种重要的保证交易安全的形式,它主要起鉴别和证明作用,即在某份文件上签名则表明签名人是所签文件的一方当事人,或者签名人认可做签名文件中记载的交易内容。在英美判例法上,规定“不论系备忘录或作记录用文件,必须有当事人之签字”,“只要是当事人之签字,用印或画押均有效,倘本人不克签字,而授权他人代为签字者,亦有效”[5]。《法国民法典》第1322至第1332条明确规定当事人签字是私印文书证据力的唯一条件,我国原《涉外经济合同法》第7条规定:“当事人就合同条款以书面形式达成协议并签字,即为合同成立”。还有典型的,也是金融业务中常涉及到的票据,各国票据法都规定,票据必须有出票人的签字方能生效,票据的背书、承兑、担保、质押等行为必须有当事人签字才有效。然而,随着网络技术,尤其是电子商务的发展,对签字的认定有了变化。联合国国际贸易法委员会1996年通过的《电子贸易示范法》首先有了突破,第7条规定:“如法律要求要有一个人签字,则对于一项数据电文而言。倘若情况如下,即满足了该项要求:(a)使用了一种方法,鉴定了该人的身份,并且表明该人认可了数据电文内容的信息;和(b)从所有各种情况看来,包括根据任何相关协议,所用方法是可靠的,对生成或传递数据电文的目的来说是适当的。”这一规定是从功能上认同,即只要采用某种可靠方法来证明当事人身份及其信息显示的内容,那么这种方法就符合了法律关于签名的要求。联合国国际贸易法委员会还在2001年3月23日通过《电子签名示范法》,对“电子签名”、“数字签名”作了更详细的规定,在此期间,美国的《统一电子交易法》和《数字签名指南》、欧盟的《关于内部市场中与电子商务有关的若干法律问题的指令(草案)》、澳大利亚《电子交易法例》等均作了相应规定。我国1999年通过的《合同法》对此也采取了“功能等同”的原则,在第10条规定:“书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表示所载内容的形式”,这可以理解为包含对电子签名、数字签名等的认可。再如美国1952年《统一商法典》第5章第104条规定:银行“信用证必须是书面的,且必须由开证人签名”,该法典1995年修订本对此作了修改,允许信用证的各种行为可用签字、协议或标准银行实务以证实其真实性的任何方式发生。从以上分析可见,在金融机构与客户就凭身份认证号码发生金融业务,该身份认证号码应为“电子签名”或“数字签名”之一种,具有法律上的证据效力。
注释:
[1]见《中国与德国:银行法律制度》,中国政法大学出版社,1999年版,247页。
[2]见Tournier V. National Provincial and Union Bank of England, 英国《王座庭判决集》(K.B),1924年,第1卷,第461页。
[3]见 Peterson V. Idaho First National Bank, 美国《爱达荷判决集》(Idaho),第83卷,第578页。
[4]见 London Joint Stock Bank Ltd. V. Macmillan and Arthur, 英国《上诉法院判决集》(A.C.),1918年,第777页。
[5] 见楊桢著:《英美契约法论》,北京大学出版社,1997年版,293—299、188页。
本文原载《中南民族大学学报》2005年第2期
蓝寿荣,男(1966――),浙江省金华市武义县人,华中科技大学法学院副教授,主要研究金融法。
On Legal Issues of Clients’ Identification Numbers
LAN Shou-rong
(School of Law ,Huazhong University of Science and Technology, Wuhan 430074 , China )
[Abstract] In this article the author makes a research on the legal issues of clients’ identification numbers in financial business. He enumerates the legal characteristics of identification numbers such as indirect observation; high demands on security; capability on identifying the clients’ identification and the suitability and potential unsafety of the trades. The author also points out that it is the financial organizations’ obligation that keeping secret for their clients’ identification numbers and reminding their clients to deal with their identification numbers with caution. The clients should also keep the prudent obligation. Meanwhile he discusses the legal validity of the exonerative terms in format contract that the financial organizations provide to their clients, and discusses the legal validity of the clients’ identification numbers as the evidence.
[Key Words] Clients’ identification numbers Legal responsibility Legal validity
