1.基于2.4G频段的RF-SIM技术RF-SIM是一种新型的移动支付技术,它使用2.4GHz频带实现无线通信。这一技术的优点在于将RFID模块、天线和应用模块全部集成在SIM卡中,用户只需要更换SIM卡即可使用移动支付功能。从成本和控制角度来说是移动支付的最佳选择。这一技术是我国具备自主知识产权的移动支付解决方案,并具有数据传输稳定,存储容量大、安全性高、功能开发完善等优点。这种技术前几年曾风行一时,中国电信、中国移动都依托此技术开发出了自己的移动支付产品。RF-SIM技术最成功的应用案例就是深圳地铁的“深圳通”卡,只需要更换手机SIM卡,而无需更换手机就可以实现完整且安全的移动支付功能,目前,深圳通拥有80万左右的用户。然而,这一技术并没有得到各大金融机构和银联的支持。原因在于银联现有的金融机具和行业应用较少用到2.4G频段,银行、公交等主要行业的POS机都不支持这一频段,而POS终端的改造和更换需要巨大的成本。另外,从安全角度来说,2.4GHz片段的通信范围比较大,机卡之间的感应范围理论上可以达到十几米,因此,对于支付安全方面的担忧也是这一技术没能得到大规模推广的原因之一。
2.13.56M频段的RFC技术方案NFC技术是一种主要用于移动设备的近场识别和互联技术,使用13.56Mhz频段实现通信。其特点就是把RFID读卡器与智能卡的功能整合在一起,可以直接利用各种现有的RFID基础设施,非常适合手机移动支付使用。手机通过内置的NFC芯片,可以实现非接触式交易的功能,并通过SIM卡来实现身份鉴别等安全功能。简单地说,NFC芯片既可以当做传统的非接触式IC卡,实现公交卡、门禁卡的功能,也可以当做微型的POS和读卡器,实现与老式IC卡之间的读卡和交易功能。NFC方式目前是技术最成熟的方案之一,并且得到了银联的认可和推广,但NFC方案最大的问题在于需要定制手机终端,没有NFC芯片的手机无法支持这一功能。而且由于核心专利被日本索尼公司所拥有。技术壁垒和巨额专利许可费用的问题是近几年来NFC技术一直无法得到大规模推广的原因。
3.银联和运营商统一技术标准,共同推动NFC方案技术标准不统一是长期以来手机支付难以推广的根本原因,主要集中在13.56MHz和2.4GHz两种频率之争。采用13.56MHz频率的NFC方案需要定制手机终端,而用户更换终端成本以及相关产业链的不成熟阻碍了NFC的推广;2.4GHz方案不用更换手机终端是主要优点,而且我国拥有自主知识产权,并有了成功的应用案例,但2.4GHz技术的缺陷主要是非传统行业标准,POS终端需要改造、通信范围过大存在一定的安全隐患等。2012年12月,央行的《中国金融移动支付系列技术标准》最终明确推行13.56MHz的NFC技术标准。2013年,中国银联提出了协调产业链各方的利益,推进产业链各方全面合作,实现多方合作共赢的盈利模式:运营商提供租赁空间,资金走刷卡POS机网络,三方就移动支付收益的分配也达成一致:银行及银联延续传统POS机时卡行、收单行及银联手续费7:2:1的分成比例,而运营商可以对使用移动支付平台的银行及特约商户收取一定的租金。这样就解决NFC技术方案得到发展的最大障碍,移动支付的前景逐步看好。
二、NFC技术方案的实现
NFC技术方案的实现依赖于以下几个重要的模块:首先必须有完善的技术规范:包括逻辑链路控制协议技术规范、数字协议技术规范和活动技术规范:这些技术协议用以实现设备之间通信和保障通信的安全性和可靠性。其次必须有合适的终端设备,包括NFC芯片,手机终端和POS交易终端。最后是涉及银行的资金账户和涉及SP的电子钱包账户,以及相对应的身份认证规范,以保障资金和交易的安全。
1.NFC技术方案中的硬件基础(1)POS终端基础NFC支付首先需要大量符合标准的POS,由于NFC技术和银联“闪付”POS都使用13.56M的无线频段,所以可以在支持金融IC卡“QuickPass闪付”功能的POS上完成支付。2011年启动的金融IC卡推广工作同时带动了POS的快速改造升级。数据显示,在中国银联和各商业银行的大力推动下,银联已在全国范围内完成约200万台非接触POS终端改造,未来几年将支持NFC的“闪付”终端改造将达到400万台左右。(2)移动终端支持NFC服务的移动终端也是非常关键的一部分,没有受理终端,所有的移动支付都无法进行。从使用者的角度来看,NFC手机在应用中可以有三种模式:①读卡器模式:可以读取IC卡信息,RFID标签等,实现个人POS终端应用。②智能卡模式:可以实现闪付、小额交易、模拟交通卡、门禁卡等应用。③点对点模式:可以无线和蓝牙配对等应用,实现“当面付”等功能。目前,各大手机厂商都推出了集成NFC芯片的手机。
2.NFC技术方案中的软件基础(1)身份认证机制为了解决交易中的身份认证机制,NFC手机需要两大功能模块:SE和SP。SE是身份认证模块,用以实现客户身份的认证、认证信息的加密和传输,按照中国移动的NFC-SWP方案,SE模块被放在SIM卡上:身份的认证通过运营商的SIM/UIM卡完成,SIM卡和手机上的NFC芯片通过C6单线进行通信,用于放置各种不同应用的钱包数据,这也是银联主推的方案。而SP则是各商户的应用,各SP的密钥都存放在SE里面,而不是在手机上的NFC芯片中,各SP可以共用一个电子钱包账户,也可以分别拥有自己的电子钱包账户。简单的说,这种模式就相当于银行的私人保险箱服务。运营商的SIM卡就相当于金库,金库的钥匙和管理掌握在运营商手里,客户只有通过SIM卡完成身份验证后才能进入金库。金库里还有很多加锁的保险箱,供各商户(SP)租用,保险箱的钥匙掌握在各商户(SP)手里,运营商也开不了保险箱,不同的商户即使进了金库也只能开自己的保险箱,开不了别的商户的保险箱。(2)资金账户机制NFC移动支付对应的资金账户可以属于银行也可以属于运营商,通行的做法是在SIM卡上设置一个或多个“电子钱包”区域,“电子钱包”将用户的常用的各种实体卡(如银行卡、公交卡、校园卡、会员卡等)电子化,分别作为不同的SP封装在SE中。这样用户使用NFC手机即可对不同的SP进行电子现金充值、商户闪付交易以及银行远程账户交易等。并且,用户需要使用运营商定制的专用手机SIM卡,并需要和银行联网加载银行账户。但出于安全的原因,目前还不建议客户使用“电子钱包”进行现场大额交易。
3.NFC手机支付的安全性问题从用户角度而言,他们首先关注的除了移动支付的便捷性和支持移动支付的商户数量之外,最主要的技术手机移动支付的安全性问题。对于移动支付来说,安全是最重要的。NFC协议规范所规定的传输范围比RFID小得多,传统RFID的传输范围可以达到几米、甚至几十米,但由于NFC技术采取了独特的信号衰减技术,这一技术要求给NFC带来了一个关键的优点。NFC刷卡手机支付需要在小于0.1M的范围内才能通信,并且只能点对点的通信,这保障在移动支付通信时数据传输的高度的保密性与安全性,减少了被盗刷的可能性。除了设备的安全性之外,手机支付中账户的安全性也有足够的保障,NFC账户交易的安全是基于人民银行PBOC2.0标准和中国金融移动支付系列行业标准,采用中国银联和中国金融认证中心提供的证书体系,充分保障了账户本身和使用过程的安全。手机中的电子账户并不是向公交卡的那样刷卡即付,而是凭密码消费。如果手机丢失,客户只需及时向银行挂失银行卡,并向运营商挂失SIM卡,即可确保银行账户和手机电子钱包账户的安全。
4.影响NFC手机支付发展的因素目前国内电子支付领域使用NFC技术拥有比较成熟的技术标准,并具备识别速度快、交易符合安全距离等特征,但仍然有许多障碍限制了手机移动支付业务的发展。(1)发展用户成本高昂虽然NFC芯片的制造成本很低,但由于用户需要更换手机才能使用NFC功能,所以用户转化成本比较高。据统计,手机在正常使用情况下,人均持有周期约为两年左右。用户如果想要使用移动支付功能的话,不得不去更换带NFC功能的手机,这就造成了用户由于考虑成本问题,不会大规模的更换手机。(2)用户使用习惯的改变周期比较长据相关调查统计,把传统用户从现金支付吸引到信用卡支付上,用了将近10年时间。而用户从银行支付转化到移动互联支付,更加不是短时间就可以实现。虽然随着科技的发展和智能终端的普及,习惯改变需要的时间周期会大大缩短,但如果没有良好的推广方案,等待时间仍然会很漫长。相对手机支付几年来的步履艰难,2014年初由阿里和腾讯主导的打车软件大战在短短三个月里,迅速改变了人们的消费习惯。在这一方面,运营商和银行在业务创新方面还有很多工作可以去做。但在NFC手机大规模使用之前,完成这个转化仍然需要相当长的时间成本。(3)对账户安全的担忧影响移动支付的推广此前,运营商的一些短视的做法影响了客户使用移动支付的信心。手机用户对垃圾短信和短信诈骗的担忧,是阻碍手机支付发展的首要原因,大多数手机用户都遇见过莫名其妙的被定制服务扣费的问题。担忧SP商户利用信息的不对称性对客户进行强行消费,会极大地加重对移动支付的抵触心理,致使用户不愿意通过移动网络发送手机或银行的账户信息。其次,安全技术的发展是否能保障网上购物的安全性和保密性:手机病毒和木马的泛滥和大多数普通客户对计算机安全知识的缺乏,使消费者不愿用手机参与网上购物。特别是在移动支付中,订单、密码等信息都是以无线的方式发送,一旦信息被截取,那么消费者账户安全将得不到保障。在支付过程中,无验证则不安全,严密验证则过于麻烦,繁琐的操作流程会使用户放弃使用移动支付业务,还不如直接用手机银行来支付。最后,是对身份信息泄露的担忧,最近,有媒体披露出NFC手机只要靠近IC信用卡无需知道密码就可以读出最近的十笔交易记录。之后几家相关银行纷纷出来辟谣,说读出的交易信息只有部分并非全部,而且不会造成银行资金的盗用。尽管如此,但客户的个人信息被泄露毕竟是不争的事实。在当前信用卡诈骗频发的严峻形势下,谁能保障不法分子不会使用部分个人信息就能实现诈骗犯罪行为呢?IC卡设计和推出的时候,NFC技术还没有得到广泛的推广。在当前情况下,银行对IC信用卡的安全仍然需要作出改进。(4)移动支付和商户信用体系方面的法律不完善没有法律的保护,消费者必然处于弱势地位,由于移动支付是完全虚拟的过程,通常情况下很难得到物理上的消费凭证。当系统发生错误时,如何保障消费者的资金安全?这种担忧心理使得消费者不能放心地使用移动支付,影响了移动支付业务的快速推广。
三、移动支付在银行业务创新中的应用
移动支付是金融领域的一次重要的创新,必然会造成市场的重新分割与利益的重新分配,直接关系到运营商,银联,银行等产业链各方的切身利益。在移动支付上抢占先机已经成为了大多数银行的共识。近年来,随着无线通信技术和智能移动终端技术的发展,各大银行均推出了自己的移动支付产品,比如手机银行、二维码支付、微信支付等,据统计,国内各家银行推出的手机银行应用多达百余款。在手机银行客户端的累计下载量统计中,建设银行、工商银行、交通银行、招商银行和农业银行的手机银行客户端下载量位居前五名。既然如此,银行为什么还要和运营商一起加入手机移动支付的阵营呢?随着无线通信技术和智能移动终端技术的发展,手机对人们的影响力越来越大。可以毫不夸张地说,在当今社会,人们可以忘记带钥匙,忘记信用卡,甚至忘记带现金,但绝对不会忘记带手机。所以在手机移动支付方面,运营商和银行都可以成为主导者,而关键的问题在于两者之间是竞争还是合作的关系。如果银行仅仅把目标放在“支付”上面,希望能直接从银行账户完成支付行为,甚至用自己的非接触IC信用卡替代服务提供商的储值卡(地铁、公交卡)为目的,那么和运营商、服务商之间只能是竞争的关系。而这些企业在各自的行业范围内占据主导地位,可能挤压银行的空间,让银行在移动支付上步履维艰。”所以对于银行来说,抢占手机移动支付市场的关键并不在于支付环节的创新,而在于未来个人资金账户与移动终端的进一步融合带来的巨大商业机会。所以,银行想要在手机移动支付上取得更大的进展。必须把目光放在交易之外,找到一种能够发挥自身优势的商业模式,不能简单地让移动支付成为手机银行和账单支付的延伸。银行不必与运营商、服务商竞争“交易支付”环节,而是应该集中精力做自己最擅长的事:为客户提供一个安全、可信赖的资金管理环境。利用消费者对银行系统专业性的信任,并通过选择合适的合作伙伴,将这种信任扩展到移动支付领域。把自己的经验、市场渗透力和品牌认知度带到移动支付领域。尽力成为合作运营商电子账户的入口银行,并尽力争取服务提供商的收单、结算业务,以及培养新兴富裕客户群的消费习惯和品牌忠诚度,从而影响和引导客户的消费习惯,先一步抢占市场,带动传统业务的进一步发展和市场份额的提升,借移动支付的创新来做大银行的传统业务。
1.选择正确的战略伙伴关系是成功的关键因素选择正确的战略合作伙伴至关重要:良好的移动支付基础设施,不但能快速整合移动支付系统、而且还能支持移动营销。目前,中国移动通过与中国银联的合作、已经在这方面走在了其他运营商的前面,中国移动的手机支付在功能上已经支持400多项日常开支及账单应用,包括水、电、燃气、暖气等,并覆盖了全国95个大城市。而中国电信和中国联通在与银联的合作方面已经落后。在与服务提供商的合作与业务推广方面,银行及合作伙伴可以通过共同开发和共同营销,分摊研发费用,整合社会资源,达到双方共赢的目的。
2.设计产品方案和推广计划想要在移动支付领域先人一步,对于银行来说,创新产品是关键所在,运营商只提供身份的认证和电子钱包的支付,而银行除了做好电子钱包的充值和账户管理之外,创新有特色的产品,是打动服务提供商的关键所在。
(1)针对公交地铁等公共设施服务商的推广思路当前,对于手机移动支付,最广泛和最容易得到推广的业务就是和公交地铁等公共设施服务商合作的售票支付业务。在这些服务中,运营商需要做的很简单,无非是手机钱包的闪付和提供对老式交通卡的兼容。而商业银行如果仅仅着眼于资金的充值,而没有自己特色的话,很容易就陷入产品同质化的怪圈,泯然众人。那么,如何做出自己的特色呢?就电子钱包充值一块而言,银行可以从客户的角度出发,除了普通的资金充值之外,还可以开发自动充值和自动对账等功能,当电子钱包资金少于限定值后,自动从约定账户扣款充值。扣款金额可以由客户指定;同时,可以为客户提供详细的充值和消费的明细对账单,解决客户对资金使用情况的担忧。同时,银行还可以在地铁站周边发展支持银联闪付的商铺、便利店、自动售货机,让客户可以方便的使用手机移动支付购买小额商品。并对电子钱包的支付制定上限,一方面保障客户资金安全,另一方面引导客户养成“小额支付走手机电子钱包,大额支付走手机银行”的消费习惯,借手机移动支付的东风发展银行自己的电子银行业务。同时,借与中国移动的战略合作优势,争取让电子钱包的充值只绑定或优先绑定固定的银行账户,达到排他性的目的,抢占市场份额。或者与运营商、设备商携手,推出银行定制NFC手机,并与揽储、理财和黄金等销售进行捆绑,对满足一定条件的客户采取赠送或换购方式赠送NFC定制手机,通过和运营商共同分摊产生的营销费用来降低运行成本。另外,可以借助与运营商、服务商在移动支付上的合作优势,以及周边商铺布放闪付终端的机会,积极营销收单、信用卡、存贷款等银行传统业务,促进传统业务的增长。
(2)针对医院、社保等社会服务商的推广思路除了公交地铁等公共服务企业以外,NFC移动支付的另外一个潜在市场领域是医疗行业。目前银行和医院合作推出的“银医通”类项目就是一个很好的开始,但“银医通”也存在自己的缺点。对于银行来说,投入相对巨大,每家医院动辄需要数十万的设备投入,和每年十几万元的线路租用和设备维护费用。而且,每家医院往往同时有几家不同银行同时提供服务,不能达到排他性目的和抢占市场的战略目标,对医院而言,银医通只是相当于增加了挂号和缴费的窗口,虽然一定意义上解决了排队的问题,但功能还是相对简单。当NFC技术应用在医疗行业可以做到些什么呢?首先是最普通的刷手机挂号和缴费结算,在完成这些基本功能时,银行无需投入大量的设备和线路费用,只需投放支持银联闪付的POS终端即可,节约了大量设备和线路费用。同时还可以带动发卡和电子银行业务。另外,患者除了通过闪付挂号之外,还可以通过银行和医院共同设计的APP应用实现预约挂号和远程挂号。另一方面,针对患者就诊中要多次排队、检查和付费的现象,使用NFC移动闪付可以快速完成付费,或者进行社保账户金额的同步暂时冻结,待全部检查、治疗完成后统一解冻和划账。这样既减轻了医院工作人员的工作量,又节约了患者的排队等待时间。同时,对银行方来说,也是把结算、支付等传统业务积极拓展至社保中心、各大医院等相关医疗领域的极好的机会,并由此带动信用卡、存贷款、理财等银行传统业务的发展。最后,如果银行有意向进一步开拓医疗支付领域,还可以通过银行和医院共同设计的APP应用建立完善的医疗应用体系。客户在排队等候时可以通过APP自行输入病情的详细描述、病史和用药要求等信息。这些信息通过APP应用直接反馈给医护人员,节约医护人员问诊和输入病历的时间,同时可以连同仪器诊断、病理化验数据直接进入医院的诊疗数据库当中,同时患者的电子病历、检验数据、消费信息也可以通过APP直接反馈给患者。通过这种方式,不但可提高对单个病人的疗效,而且还可建立起强大的医疗信息数据库。由于电子病历的完善,和银行的中间作用,支持同一应用的医院之间的远程会诊也会变得更加简单,相关的会诊费用支付、医疗账户结算、费用账单查询都可以通过APP应用实现汇聚和归集。因此NFC应用将成为医疗行业下一个爆发点。而首先推出相关应用的银行将在这一领域占尽先机,占据较大的市场份额。对于银行,除了交易、支付带来的中间收入以外,通过在医院和患者之间提供良好的服务体验,还可以带动银行传统业务的发展。
银行对经营场所安全保障义务的原则:要给予受害人必要的充分的保护,以使其受到损害的法定财产权或人身权得到补偿;同时又必须考虑到大量的经常性的巨额的赔偿对社会经济可能产生的消极作用。不仅要保护受害人(消费者)的利益给予合理的补偿,又要考虑目前经济发展的实际状况,考虑到被告经营者(如企业、商家)的经济赔偿的承受限度。银行保护的主体是指进入银行经营场所的任何人,保护的客体必须包括财产权,保护的区域仅限于其经营场所;对于经营场所以外所发生的侵害事件银行并无安全保障的责任。银行有义务保护储户的存取款信息,保护储户的存取款信息可以避免“见财起意”的突发权(犯罪)案件;同时,对有预谋的犯罪,由于侵害人无法找到“目标”,也可起到防范作用。
现实中,相当一部分侵权及犯罪行为的发生,既有银行在履行安全保障责任时的懈怠,又与当事人的麻痹大意等主观因素有关。因此对这方面进行法律分析,有助于理清责权,明确责任,从而达到更好的避免、杜绝安全问题的产生。结合我国目前社会现实及法律规定,研究这一问题,具有积极的意义。
关键词:银行经营场所安全法律问题风险
正确防范在银行经营场所发生的侵犯客户人身权、财产权的事件,就应当赋予银行安全保障的义务,银行未尽合理限度内的保障义务应承担相应责任。确定银行的安全保障义务应当考虑社会利益的平衡,使银行的安全保障义务具有现实性、必要性。在范围上,银行应对经营场所内的人员的人身权与财产权提供安全保障;在内容上,银行应当保护储户的存取款信息,安装探头等,配备保安等。银行的责任是过错责任,加害人、受害人以及银行应按过错大小承担相应的责任。
银行作为货币的聚散地,是侵犯财产类犯罪的高风险聚集区。近年来,银行在防抢劫、防盗窃方面,做了大量的工作:如在营业网点安装防弹玻璃、监控系统,保证了其的资金安全及职工生命安全。然而,银行所做出的这些努力,主要是围绕银行内部的安全进行的,却忽视了客户在银行办理业务时的资金安全和人身安全。这几年,接连发生了多起客户在银行遭抢劫、抢夺等严重侵犯客户人身权、财产权的案件,在社会上引起了较大的震动。
银行是具有公共性质的企业,是否应保护其经营场所的安全呢?从理论上看,经营者的安全保障义务可以概括为三个方面:(1)维护经营场所设施的安全;(2)使自己提供的产品及服务符合安全要求;(3)保护客户在经营场所免受第三人的侵害。对于第一种情况“维护银行设施,使客户免受侵害”,《民法通则》对建筑物责任已作出了规定,而《银行营业场所风险等级和防护级别的规定》、《银行营业场所安全防范工程设计规范》对此更有详细的规定;对于第二种情况“使自己提供的产品及服务符合安全要求”,《消费者权益保护法》第18条规定:“经营者应当保证其提供的商品或者服务符合保障人身、财产安全的要求。对可能危及人身、财产安全的商品和服务,应当向消费者作出真实的说明和明确的警示,并说明和标明正确使用商品或者接受服务的方法以及防止危害发生的方法。”因此,对前两种安全保障义务,在实践中并无多少争议;对于第三种情况,即银行应当保护客户在营业场所免受第三人侵害,却争议较大,本人仅对此问题进行探讨。
一、银行对经营场所安全保障义务的法律渊源
关于银行安全保卫的规定,目前包括:《关于基层金融单位治安保卫工作暂行规定》、《关于立即采取有力措施切实加强金融保卫工作的通知》、《关于印发公安机关与金融单位联网报警管理规定》、《企事业单位内部治安保卫条例》等文件。文件对银行经营场所的安全设施和措施进行了规范。然而这些文件只能对银行未尽安全保障的义务处理行政责任,并未涉及到对客户责任的承担,即对经营场所发生的第三人引起的侵权案件,并无银行应承担民事赔偿责任的规定。2000年年底,一犯罪人持枪冲进某银行营业大厅实施抢劫,杀害了两储户。案件侦破后,两名遇害储户的家属在刑事诉讼过程中都提出了附带民事诉讼,认为依储蓄合同,银行应当对进入其营业大厅的储户的人身、财产安全负责,要求银行承担赔偿责任。法院审理认为,根据罪责自负原则,对犯罪造成的危害结果,应由犯罪分子承担刑事和民事法律责任。银行在履行合同维护储户的存款利益方面并未违约。银行营业大厅乃公共出入场所,对有组织、有预谋的突发性暴力犯罪行为,被告难以预料和防范。原告的赔偿请求理由法院难以采信。[1]由于当时法律未规定经营者的安全保障义务,理论界对该内容的探讨也极少,客户的权益未能得到较好的保障。
随着法学界对安全保障义务探讨的深入,相关的机构开始着手安全保障义务的立法活动。2002年12月,九届全国人大常委会第31次会议讨论了《中华人民共和国民法(草案)》。草案第8编“侵权责任法”第65条对安全保障义务做出了规定:“旅馆、银行的客户以及列车的乘客,在旅馆、银行、列车内受到他人侵害的,侵权人应当承担侵权责任。”“在无法确认侵权人或者侵权人没有能力承担赔偿责任的情况下,旅馆、银行、列车的所有者或者经营者尽到保护义务的,不承担责任;未尽到保护义务的,应当承担补充责任。”2003年12月4通过的《最高人民法院关于审理人身损害赔偿案件适用法律若干问题的解释》(以下简称《解释》)第6条规定:“从事住宿、餐饮、娱乐等经营活动或者其他社会活动的自然人、法人、其他组织,未尽合理限度范围内的安全保障义务致使他人遭受人身损害,赔偿权利人请求其承担相应赔偿责任的,人民法院应予支持。”“因第三人侵权导致损害结果发生的,由实施侵权行为的第三人承担赔偿责任。安全保障义务人有过错的,应当在其能够防止或者制止损害的范围内承担相应的补充赔偿责任。安全保障义务人承担责任后,可以向第三人追偿。”这一司法解释,基本上从法律的层面上确定了经营者的安全保障义务。
《解释》第6条虽未明文规定银行应对经营场所承担安全保障义务,但是,银行是关系国计民生和公共安全的治安保卫重点单位,设置了治安保卫机构,配备专职治安保卫人员,①法律对其经营场所的安全保障义务有较高的要求;尤其是当前社会治安问题突出,侵财犯罪案件有所上升,突出表现在银行营业场所发生的抢夺、抢劫的案件,以及针对金融机构的抢劫案件有所增加,②因此,保障银行经营场所的安全,不仅是银行对客户应尽的安全保障义务的需要,而且也是维护社会公共安全的需要。
2003年2月26日,中国建设银行云南省分行昆明市官渡支行发生持枪抢劫案。致使储户一人死亡、一人重伤、二人轻伤。死者的家属要求银行承担民事赔偿责任。2004年2月6日,法院对该案做出一审宣判,认为营业厅对办理存储业务交易的客户的合法人身及财产权益,负有在合理限度内的安全保障义务。被告银行未在合理限度内尽到对存款人的安全保障义务,具有过错。故在犯罪嫌疑人逃跑,至今未能缉拿归案的情况下,应承担补充赔偿责任。[2]虽然,我国不实行判例法,但这起案件对银行安全保障义务的确立具有重要意义。
二、确定银行对经营场所安全保障义务的原则
设定经营者场所安全责任的本意,是为了促使经营者提供足以保障消费者人身、财产安全的服务,而不是苛求经营者担保不发生任何侵权案件。侵权案件在经营场所发生,经营者本身也是受害人,只应当就其有过错的事由承担民事责任。《解释》第6条规定,经营者未尽合理限度范围内的安全保障义务应当承担相应的赔偿责任,正体现了过错责任原则的要求。之所以制度上要作这样的设计,不使经营者承担无过错责任,主要是为了平衡社会利益。法律制度平衡当事人的利益关系的结果,影响到整个社会经济的发展,甚至会导致一个行业或产业(如第三产业)的兴衰存亡。因此,我们应当清楚地认识到法律制度对社会利益的平衡作用,并正确地把握这个平衡。一方面,要给予受害人必要的充分的保护,以使其受到损害的法定财产权或人身权得到补偿;另一方面,又必须考虑到大量的经常性的巨额的赔偿对社会经济可能产生的消极作用。就我国目前而言,一方面要保护受害人(消费者)的利益,给予合理的补偿,另一方面又要考虑目前经济发展的实际状况,考虑到被告经营者(如企业、商家)的经济赔偿的承受限度。[3]不同治安背景、不同经营项目、不同消费等级的经营者承担的责任应当有所差别。[4]银行作为治安重点保护单位,其安全系数理应大于一般商品出售或服务提供场所。但是,银行对经营场所的防范和控制力度又是极其有限的:首先,银行又不同于其内部的办公区域,它必须向公众开放,不得无故拒绝公众进入;其次,银行也不同于宾馆、旅社要求对方在提供有效身份证明的情况下进入其营业场所;再次,银行的保安并无强制力的保障,其所提供的设备相对于犯罪分子而言也极其简陋。让银行对其经营场所承担过高的安全保障义务,将使已经步入了“微利时代”的银行业雪上加霜。过高的经营成本,有可能使银行退出部分市场区域,尤其是收益相对较低,现有安全保障设施相对较为薄弱的地区,如农村、城乡结合部。在目前银行因经济效益问题而从乡村、城郊大批撤离的情况下,若因安全保障问题而造成进一步的撤离,必将影响到众多消费者的利益,使这些区域的居民必须到遥远的市中心办理存取款等业务,从而使其被抢夺、抢劫的可能性加大,造成社会治安状况的恶化。因此,银行应对其经营场所尽何种程度的安全保障责任,应当充分考虑该银行所在的社会环境以及银行自身条件,即做到必要性与现实性结合。
三、银行对经营场所安全保障义务的范围
(一)保护的主体
对经营场所的安全保障义务不是居于合同法的规定,即只对合同当事人提供安全保障义务;也不是源于消费者权益保护法的规定,即只对消费者(包括潜在消费者)提供安全保障义务。安全保障义务是来源于特别法的规定,经营者是对其经营场所提供安全保障。所以,对进入其经营场所的任何人,经营者都应承担安全保障义务。就银行而言,其保护对象是指进入银行经营场所的任何人,包括:(1)存款人与取款人;(2)陪同存款人、取款人办理业务的人员;(3)其他进入营业场所的任何人员。(以下将这些保护对象统称为客户)其中,携带大额现金的客户容易成为侵害的目标,对他们银行应当承担较高级别的安全保障义务。
(二)保护的客体
银行应对其客户的人身权、财产权提供安全保障。在银行经营场所发生的第三人侵害客户的案件,一般都是侵犯财产的案件。侵权人(犯罪人)其目标是非法占有财产,客户面临侵犯往往会进行相应的反抗,依《解释》的规定,由此造成的伤害或死亡,银行应承担相应的安全保障的责任。但是,如果客户未进行反抗或者根本没来得及反抗(如抢夺行为),其生命、健康、身体未遭受侵害,而只导致财产损失,依《解释》则银行不承担安全保障责任。因此,必须将财产权也纳入安全保障的客体之中;否则就无异于迫使客户与歹徒抵抗,造成人身伤害,这是与保护人身权的宗旨相悖的。
(三)保护的区域
简而言之,银行应承担安全保障义务的区域仅限于其经营场所;对于经营场所以外所发生的侵害事件银行并无安全保障的责任。但是,对于在其营业场所已经出现的治安隐患,银行仍应履行相应的注意与保障义务。如银行发现取款人已经被人跟踪,应当在及时防范的同时,建议取款人将款项再存入银行,不得放任该侵害案件在营业场所之外发生。
银行的经营场所包括银行的营业大厅和自助银行。银行在营业大厅配备保安,其硬件也有专门的要求、如设监控、客户服务区的深度等,对营业大厅银行承担较高的安全保障义务。自助银行是指商业银行在营业场所以外设立的自动取款机(ATM)、自动存款机(CDM)等通过计算机、通信等科技手段提供存款、贷款、取款、转账、货币兑换和查询等金融服务的自助设施。自助银行包括具有独立营业场所、提供上述金融业务的自助银行和不具有独立营业场所、仅提供取款、转账、查询服务的自动取款机(ATM)两类。在自助银行提供非人工服务时,银行是否有经营场所的安全保障义务?负有何种程度的安全保障义务?本人认为,由银行承担安全保障义务的目的是为了减少侵害行为的发生,只要银行有能力提供相应的保障措施,而该措施的提供又是必要的,那么银行就应当在此限度内承担安全保障义务。例如,为了防范发生在ATM旁的抢夺、抢劫案件,银行在ATM服务中应采取一些例如加强照明、安装摄像机、清除障碍物等保护性措施。这些保护措施属于常识性范畴,方法简单、成本低廉。
四、银行对经营场所的安全保障义务的内容
目前,关于银行防范客户被第三人侵害的措施或制度尚属空缺,但银行至少应当尽如下安全保障义务:
(一)保护储户的存取款信息
要防止储户受侵害,银行一方面应当采取措施,避免客户携带巨额现金,如建议大额取款的储户使用转账的方式,为票据业务、转账业务、银行卡业务提供便利等等;另一方面,银行应当注意保护储户的存取款信息。侵害人(犯罪人)之所以在银行经营场所抢夺、抢劫,是基于在银行容易找到携带巨额现金的“目标”。保护储户的存取款信息可以避免“见财起意”的突发权(犯罪)案件;同时,对有预谋的犯罪,由于侵害人无法找到“目标”,也可起到防范作用。其实,对储户(客户)信息予以保密,《商业银行法》、《合同法》都已经作明确的规定。银行保护储户存取款的信息,不仅是银行对经营场所的安全保障义务,也是银行对储户应尽的义务。违反该义务,造成储户被侵害,不管侵害是否发生在银行的经营场所,银行都应承担责任。
然而,目前银行对储户的存取款信息却未提供任何的保障措施。在营业厅的人都可以轻易了解到储户是否存取了巨额现金,从而,为侵害人提供了可抢夺、抢劫的目标。所以,银行应当在严格执行“一米线”制度的基础上,将办理存取款业务的储户与大厅内的其他人员通过不透明的玻璃、屏风等隔离,以保护储户的存取款信息。
(二)安装探头
目前,绝大多数的银行都安装了探头。然而,由于安装探头的初衷大多是为了解决存取款业务中出现的“长短款”问题,并非保护客户免受侵害,所以,探头往往是只拍摄柜台部分的空间,防范面狭小。故应当对准营业大厅也安装一个探头,并且应当让每个进入银行的人都知道,他处于监控的领域内。这一点,超市的经验值得借鉴:在超市的入口处安装探头与显视屏,让顾客看到自己处于监控的领域内;在许多地方都醒目地标明该领域受到监控,从而一定程度上抑制了盗窃动机的产生,对超市中的盗窃行为起到防范作用。
欲图侵权者如果在显示屏上看到了自己的图像,迫于被追捕的恐惧,就很可能放弃侵害的念头。当然,这种措施不足以防范那些经过一定伪装(如戴墨镜、穿雨衣)的侵权人。但是,由于储户对这些人员,具有更高的警惕性,会采取相应的自我保护措施,以防范侵害。
(三)配备保安
银行柜台的工作人员不能直接到大厅,大厅的安全主要靠保安来保障。当然,保安不同于警察,保安并无法定的制止犯罪行为的义务。③对有预谋的恶性持枪、持械抢夺、抢劫案件,保安的控制与防范能力是很有限的。但是经过专门培训的保安,仍有较强的防范与处理突发性事件的能力:保安在大厅巡逻本身就可以抑制侵害(犯罪)念头的产生;保安敏锐的观察力,能发现、辨别风险,做到及时防范;对已发生的侵害行为,保安可以协助捉拿侵害人,或保护现场;对受人身伤害的客户,保安能提供第一手的帮助。然而,仍有不少的银行,如一些信用社、邮政储蓄等,并未配备保安。雇佣一、二名保安的成本对一个小的储蓄网点而言是较高的。本人认为,地处城市与城郊的银行应尽可能配备保安,但对于地处乡村的农村信用社、邮政储蓄等银行却不应作强制要求。其实,目前,绝大部分地处农村的银行并未配备保安,但在这些区域,针对储户的抢夺、抢劫案件却不多,其原因在于:(1)银行与储户相互熟悉;(2)外来人员少,银行、储户对陌生人有较高的警惕性;(3)在农村大额的存取款较少;(4)侵害人在乡村难以脱逃。鉴于此,银行所提供的安全防范设施,针对不同的区域应有所区别,不能将对城市的要求直接套用在农村,尤其是对硬件的要求上更不能一刀切。
五、银行对经营场所安全保障义务的承担
(一)银行与加害人的责任承担
客户在银行被侵害的直接原因是加害人所为的侵权及犯罪行为;银行在安全保障上的不作为并不是损害后果发生的真正的事实上的原因。银行与加害人之间不形成共同侵权关系,银行不承担连带责任;银行只对其未尽合理限度内的安全保障责任承担补充责任。
在银行经营场所发生侵害客户的案件中,能够确定加害人的,由加害人或其他负有责任的人(如加害人的雇主、监护人)承担责任,安全保障义务人不承担责任;加害人无法确定的,由安全保障义务人承担全部责任;如果能够确认加害人,但是加害人或者对损害负有赔偿责任的人的资力不足以承担全部责任时,则先由银行承担补充责任,银行在承担了补充责任之后获得对加害人或者其他赔偿义务人的追偿权。
(二)银行与客户的责任承担
银行对其经营场所的防范和控制力度是有限的,要防止或减少银行经营场所侵权案件的发生,到银行存款、取款等人员在维护自身安全上也负有观察、注意、自我保护的自警义务:如发现有不安全的隐患时,停止相应的存取款业务;对大额存取款业务应尽量避免为公众知晓;避免老、弱、病、残、孕等人员单独携带巨额现金等。银行只对合理限度内的安全保障承担责任;并且这种责任是银行在有能力为,而不为的情况下的过错责任。
现实中,相当一部分侵权及犯罪行为的发生,既有银行在履行安全保障责任时的懈怠,又与当事人的麻痹大意等主观因素有关。对于双方都负有过错应当首先依据双方的过错程度及比重来分配责任,若在过错程度大体相当或难以区分的情况下,则责任分配主要取决于双方过错行为对损害发生及扩大所起作用的大小的对比。如客户为一般过失,银行严重违反安全保障措施的要求,则由银行承担主要责任;如双方均为重大过失或一般过失则平均分担④如客户为重大过失,银行有轻微违反安全保障措施的某些规定,则应当由客户承担主要责任。
经营者只承担过错责任而不承担无过错责任,那么对于过错的举证责任应当由谁承担呢?本人认为,客户在举证上其难度远远高于银行:(1)对银行所规定的安全保障的要求客户无法知晓。银行关于安全保卫的有关规定,具有高度的行业性,不易为外界所知晓,如《银行营业场所风险等级和防护级别的规定》(GA38-92)、《金融机构营业场所、金库安全防护暂行规定》以及各银行系统自己所制定的安全保卫的规范都很难为一般的客户知晓;(2)银行是否已尽保障义务的资料由银行掌握。在银行大厅往往安装有探头,能记录到侵害案件发生时,加害人、客户以及银行的各种情况。而该情况正是确定当事人过错程度的关键证据。客户无法知晓银行应承担的义务,又无权察看银行的相关记录,必将举证不能,并且,如果确定由客户举证,无异于唆使银行销毁相关的证据。所以,在银行经营场所发生的侵害客户的案件,应当由银行承担举证责任,即举证责任倒置。银行能证明自己不存在过错,则不承担责任;能证明客户有过错,则可相应减轻责任。
参考文献:
[1]姜艳玲.消费者安全保障权刍议[J].江南论坛,2003,(6).
[2]王莹,冯丽萍.储户银行内遭抢银行一审被判赔[N].法制日报,2004-02-06.
[3]张新宝.经营者对服务场所的安全保障义务[J].法学研究,2003,(3).
【关键词】内部控制;客户存款;风险
继银行暴利之后,客户存款被盗的现象开始引起公众的广泛关注。广东省银监会的数据显示,2011年以来,银行卡克隆案件数量及金额在翻倍增长。仅2011年,四大行的广东省分行涉及克隆卡的投诉高达1280件,涉及金额2919万元,分别比2010年增长9倍和5.7倍。2012年前两个月相关投诉已达425件,涉及金额667万元。另外,银行违规挪用客户存款的案件也时有发生,并且涉及金额巨大。客户的存款行为一直被视为零风险、最安全的投资方式,作为经济契约一方的银行,有义务必须保证客户存款的安全。
早在2008年6月,财政部已经制定《企业内部控制基本规范》,提出了内部控制五大要素,要求各行业加强内部控制,分析、控制并降低企业所面临的风险。因此,针对银行日前如此尴尬的境地,本文拟根据内部控制的五个要素,从内部控制的角度对银行客户存款的安全风险进行分析,并提出对应的防范措施。
一、风险评估
风险评估要求银行识别并系统分析其在经营活动中与实现内部控制目标相关的风险。就银行和客户双方的合同契约而言,银行的内部控制目标就是要保证客户存款的安全。因此,对于银行来说,风险评估就是要对目前客户存款面临的损失风险进行分析。
(一)银行卡被克隆,异地被盗刷卡内存款
目前我国使用的银行卡普遍是磁条卡,磁条卡曾因信息读取简单、成本较低而被普及使用。然而随着技术的进步,磁条卡被克隆的手段也随之跟进。目前盗刷磁条卡的技术已经成熟,甚至可以说盗刷银行卡是轻而易举。早在2003年,中国就已出现团伙克隆银行卡的案件。这也意味着自那时起,磁条卡的安全隐患已经出现。
然而直到2011年3月,中国人民银行才了《关于推进金融IC卡应用工作的意见》,开始推动芯片卡的普及工作。反观全球,早在20世纪90年代末,欧洲就已启动换卡计划,即把磁条卡更换为安全系数更好的芯片卡。2006年英国率先完成,目前欧洲已全面完成。因此,银行卡硬件上的漏洞给不法份子带来了“机遇”,使得银行卡被克隆,卡内资金异地被盗被刷的现象成为现实并且经常发生。
(二)银行控制制度执行力不够,私自挪用客户存款
一般情况下,挪用客户资金需要涉及到存贷两个终端以及多部门的授权,仅仅个别员工的操作是很难完成的。那么为什么在层层严密的控制下,资金仍然可以被转出账户?
实际上,最近几年在《企业内部控制基本规范》的指引下,在客户存款流动的控制制度建设上,已经取得了一定的成就,可以说在制度层面上是可以相信银行的。究其原因,只能是在内部控制的执行层面。有关客户存款流动的控制制度的执行力不够,就会导致内部人员有机可乘去挪用客户存款,进入到民间市场进行套利或者作为其他用途。
(三)网上支付系统脆弱,网络交易频见钓鱼网站
根据中国反钓鱼网站联盟的数据统计,2012年10月,在钓鱼网站仿冒对象分布情况,中国银行为9.00%,工商银行为6.65%,中国建设银行为2.22%;在钓鱼网站涉及行业分布情况中,金融证券类占到18.66%,金融业已经成为钓鱼网站的重点侵害行业。随着电子商务的不断发展,网络支付的比重集聚增加,网络交易的安全性更需要得到保障。由于利用钓鱼网站盗取客户存款有很大的无形性,因此给风险的防范带来了一定的难度。
二、内部环境
内部环境是实施内部控制的基础,支配着全体员工的内控意识,影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。因此,银行内部要建立良好的企业文化,树立全心全意为客户服务的理念,进而影响银行从业人员行为,从多个角度保障客户的存款安全。
我国银行依靠其垄断经营,利用客户存款资源不断获取高额利润的同时,对客户的存款丢失等事件既不愿意升级系统的安全性,又不愿意承担责任。相比中国银行霸道的“免责”思维,国外的一些银行就显得更守信、更有人性。新加坡一家名叫DBS的银行,在发生客户银行卡被盗刷的情况后,银行在调查的同时,及时弥补了客户的损失,并且立即对全新加坡的DBS银行卡进行升级,另外还发了电邮给所有客户,告诉客户如何去保护自己的存款。相比之下,我国银行的做法却不敢恭维,在面临客户存款被盗时,总是推脱责任。
因此银行应该以身作则,在面临客户存款被盗的情况时,对客户、社会负责,及时补偿客户损失,做好善后工作。从长远角度来看,银行在追求高额利润的同时,应该树立全心全意为客户服务的理念、注重良好企业文化的培养、加强社会责任感。
三、控制活动
控制活动要求银行根据风险评估的结果,采用相应的防范措施,将风险控制在可承受度之内。针对以上三种常见的盗取客户存款的行为,银行可以采取以下措施保证客户存款安全。
(一)加快银行卡的升级改造,有效防止银行卡被克隆
银行业的垄断经营,加上更换芯片卡的高成本,使得我国的芯片卡普及很缓慢。但是银行业的高利润其实是足以支付更换芯片卡的成本,银行不应过度重视短期利益。长远来看,更换芯片卡是保障客户资金安全以及留住客户的重要手段,率先启动芯片卡更换工作,其实是对市场的又一次争夺,对银行的长远发展是有利无弊的。银行可以借助推广金融IC卡的普及,相应推出增值服务,以提高客户的满意度和忠诚度。因此银行应该主动开展银行卡的升级改造,从根源上避免银行卡被克隆,保护客户存款的安全,并且能够提高市场份额。
(二)加入额外多重验证模式,提高资金流动的安全性
在取现和消费的过程中,引入“加锁”或“动态密码”额外验证模式来提高资金流动安全性。采用临时动态密码验证方式,签约客户进行高风险操作时,不再使用原有账户密码进行验证,而是使用手机短信或动态口令牌等方式获取密码进行验证,此类密码短时间内就会过期,能有效避免泄露后对卡内资金造成后续的影响。
对于“加锁”功能,主要是限制签约账户的资金支出交易,但不限制资金转入。消费者在需要进行取现、转账或消费等资金支出操作时,可通过在银行预留的手机号码以短信或电话方式临时解除账户锁定,资金支出操作完成后再以上述方式锁定账户,确保资金支出操作在客户本人的授权范围内进行。
(三)对客户进行风险分级,实行“用卡行为”的分级管理
通过统计客户消费、转账、取现时的单笔支出金额、每日累计金额等信息特征,加以数据特征的分析,对客户“用卡行为”进行分级,对高风险、低风险不同的操作设置不同等级的风险控制措施,实现对客户“用卡行为”的分级管理;针对一些高风险的刷卡做法进行电话确认等措施。
(四)加大控制制度执行力度,强化内部稽查审计
第一,加大内部控制执行力度。对于已经建立好的有关客户存款流动的控制制度,要切实执行到位。在银行内部,纵向上下级之间、横向不同部门之间要进行相互监督、相互制约。建立监督责任追究制,加大审计查处力度,提高领导和员工的自觉守法性。第二,强化内部稽查审计。加强内部审计和内部检查,以便及时发现内部人员私自挪用存款的现象。稽核审计是内部控制的最后一道防线,要积极发挥其作用,防患于未然,尽早发现可能存在的风险。
(五)增强网络交易系统安全
网络钓鱼骗术其实十分简单,只是拷贝一个与银行网站一样的页面就能骗到很多人的银行账号和密码。因此,风险防范的关键是要识别出银行网站是不是真实的网站。对此,可以借鉴美国银行的做法。用户在开户时自己设置一个图片和标题文字,例如可以是自己的宠物照片和名字;然后当用户登录银行网站时,会要求先输入用户名,网银系统会根据用户名显示出用户的个性图片和文字,这样用户就能分辨该网站是否为真实的银行网站;确认是真实的网站后,用户才可以输入自己的密码,因此可以有效地避免登录钓鱼网址,保障存款安全。
(六)建立风险化解机制,保障客户利益
即使银行建立非常完全的内部控制体系并执行有力,也难免有客户存款被盗的案件发生。因此,银行可以在日常的经营活动中建立存款风险金,即以营业收入或者营业利润为基础,根据一定的比例,结合当前存款损失的实际情况,提取存款风险金。这样在客户存款被盗之后,可以为客户先行赔付,充分保障客户的利益。
另外,银行可以尝试建立存款保险制度,通过商业化保险来分散风险,通过保险公司支付客户的损失。可以积极推进由保险或专项基金形成的补救机制,以应对高技术性犯罪对银行造成的损失。2012年7月,人民银行在其的《2012年金融稳定报告》中称,我国推出存款保险制度的时机也基本成熟。
四、信息与沟通
信息与沟通要求银行及时、准确地收集、传递与客户资金安全风险相关的信息,确保相关信息在银行与客户之间进行有效沟通,以保障客户存款的安全。
由于银行和客户之间有关风险信息的不对称,客户对其所面临的风险并不是了解得十分全面,因此,银行与客户之间,应该向客户更全面地履行风险安全告知义务。对于犯罪分子常用作案手段及时进行社会通报,提醒客户加以防范;在客户进行非经常大额交易时,加以提醒;提醒客户正确使用网上银行,学会使用银行短信提醒业务,不在聊天软件、手机短信中传递银行卡信息和密码;在客户办理网上银行时,应向客户提供书面和电子风险预警及安全提示等。
五、内部监督
内部监督要求银行对内部控制的建立与执行情况进行监督检查,评价内部控制的有效性,对于发现的内部控制缺陷,应该及时加以改进。银行应建立内部监督管理体系,并且保证内部监督的独立性和权威性。第一,要不断进行自我评价。依据实际发生的客户资金被盗的案例,不断总结经验教训,找出内部控制环节中的不足,及时加以改进。第二,不断开展内部控制和风险评价工作,将监督关口前移。针对可能存在的客户存款资金风险进行分析预测,使风险管理由事后监督向事前、事中甚至向同步监督转变。
保证银行客户存款资金的安全任重而道远,仅仅依靠上述措施来加强内部控制是远远不够的。金融经济在不断变化之中,银行会面临更多意想不到的风险。对于银行来说,建立以风险为导向的内部控制制度,并强有力地去实施是很有必要的。银行要消除垄断思想,转变经营理念,在经营活动中为客户着想、对客户负责、为客户忠诚服务。
【参考文献】
[1]中华人民共和国财政部.企业内部控制规范[M].北京:中国财政经济出版社,2010.
