前面几期我们讨论了电子资金划拨中银行或客户发生错误的责任承担问题。这些损失责任的分配虽然像打乒乓球一样来回转换。其中具体案件的事实可能非常复杂,但法律规则的适用还是顺理成章的。本期将要讨论的是,如果是第三方的欺诈行为造成损失,美国的法律如何在银行与客户之间分配责任。首先请看一个曾经轰动全球的案子:
一、美国花旗银行遭遇俄罗斯黑客
1995年,在俄罗斯圣彼得堡,一名年仅24岁的黑客,利用一家软件公司的电脑终端,向位于美国纽约华尔街的花旗银行发送了一些欺诈性的支付指令,这些支付指令表面上看都是花旗银行的客户发送的,因此得以进入到花旗银行现金管理系统。这个系统允许客户通过计算机联网,将资金从纽约的花旗银行账户划拨到其他金融机构的账户。这名黑客从花旗银行的一些客户的账户中划走大约280万美元,转到其同伙在全球持有的账户中。
1998年,这名黑客被逮住。花旗银行宣布追回了大部分款项,只损失了40万美元。就这40万元损失而言,花旗银行和客户之间如何分配损失责任呢?也许在花旗银行与客户之间存在解决方案,或者已经有存款保险的安排,但是,花旗银行不愿意向公众透露欺诈的具体情形,人们无法知道究竟是谁的责任。那么,美国法律对这种情况是如何规定的呢?
二、安全程序及其确认规则
通常情况下,银行与客户可以协议约定客户为其授权的支付指令承担责任。假如协议中没有约定,从银行与客户的关系中也可以推断出客户应当为其授权的支付承担责任。如果客户没有授权,表见代理或禁反言原则的适用还可能导致客户承担责任。另外,代位清偿和不当得利返还等法律的适用也可能导致客户承担责任。当然,如果既非客户的真实授权亦无法根据代理法或其他法律确定为客户的责任,则银行应当负责任。也就是说,涉及到电子资金划拨的权限及责任问题时,合同法、代理法或者其他法律都可以适用。但是,对于未经授权的欺诈性电子资金划拨,美国统一商法典4A条款创立了独特的安全程序规则,为解决银行与客户之间关于未经授权的电子资金划拨损失责任分配问题,提供了更具可预见性和确定性的解决方案。如果根据安全程序规则能够确定责任的归属,就没有必要再寻求代理法或者其他法律的适用。
(一)什么是安全程序
根据4A-201规定,所谓安全程序,是指客户与银行之间约定采取的程序,用以验证客户发出、撤消、变更付款指示的真实性,以及检验这些指示在信息传送过程中所发生的错误。其方法包括利用文字及数字、编码、回应程序等密码组成的安全措施。该条款明确规定,光有客户的签字并不构成安全程序。安全程序会要求每个支付指令使用不同的密码,不同的支付数量使用不同级别的密码。
4A条款规定了两种安全程序。第一种是为了发现资金划拨指令的错误而设立的;第二种是为了确认客户的资金划拨指令的真实性而设立的,亦即为了发现欺诈而设立。本文讨论的是第二种程序。美国官方评论认为,要求银行遵守商业上合理的安全程序,目的是为了保护客户的利益。但从银行的观点看,假如不提供安全程序,银行很可能因为接受未经授权的欺诈指令而承担责任。因此,使用安全程序对银行也极具意义。每个谨慎从事的银行几乎在所有的交易中都使用安全程序。
(二)安全程序的确认规则
美国统一商法典4A-202(b)规定了资金划拨损失责任承担的一般原则。该原则的要点在于利用安全程序来确认客户资金划拨指令的真实性。首先,银行与客户必须达成协议,使用商业上合理的安全程序来确认客户支付指令的真实性。其次,在接受客户指令时,银行必须证明:(1)遵守了具有商业合理性的安全程序;(2)遵守了客户对银行接受支付指令的限制规定;(3)诚信行事。在欺诈性的资金划拨中,银行必须遵守上述所有的要求,才能够避免承担责任。
1.安全程序的商业合理性
银行与客户之间约定安全程序只是其避免承担责任的必要条件,而不是充分条件。也就是说,光约定安全程序不够,这个安全程序还必须具有商业合理性。
4A条款并没有直接规定什么是商业合理性,但它指出这个问题应当交由法官决定,而不是由陪审团决定。也就是说,这是个法律问题,而不是事实问题。为什么会这样规定呢?一般的解释认为立法者想避免出现不一致的判决。当商业合理性的要求为银行和客户所了解时,商业合理性就具有更大的可预见性,最终可以使资金划拨的效率更高,成本更低。
商业合理性是个法律问题,并不意味着这个问题容易解决。4A条款向法官指出了在确定商业合理性时应当考虑的因素。这些因素包括:客户向银行表达的意向;银行对客户的了解程度,包括规模、类型、正常支付指令的频繁程度;为客户提供的其他安全程序;银行与客户在类似情况下通常使用的安全程序。
在个案中,商业合理性的概念是有弹性的。首先,应考虑确认安全程序的费用支出。确认安全程序所需要的人力劳动和设备成本在很大程度上取决于该程序要求的安全程度。大额资金的客户希望使用具有最大安全性的近乎完美的艺术级程序,但是这类程度对于普通客户或者小额资金的客户来说,由于费用高昂而显得不合适。其次,应当区分银行的类型。大的金融机构和地方性金融机构应有不同的衡量标准:要求大的金融机构采用几乎完美的艺术级程序相对合理,但是,对小的地方性金融机构做此要求可能并不合理。同时,还应当区分支付指令的类型。例如,在批发性资金传递中,正常情况下,每笔资金都是通过电子方式单独传送的,每次传送的检验程序也是不同的。在自动清算所进行的资金划拨中,许多资金支付指令被集中在电子设备中进行物理传送,显然不可能对每个支付指令进行检验。因此,银行要准备多个安全程序以适应不同的客户的需要。
在大多数情况下,银行和客户在防范金融欺诈中具有共同利益,促使他们同意采用商业上合理的安全程序。但是,假如客户认为银行所指定的安全程序过于昂贵,而坚持选择一个便宜的程序,如果银行接受客户的选择,是否可以得到安全程序的保护呢?
安全程序的立法目的是为了鼓励银行建立防范欺诈的合理措施,而不是让银行保证客户不受欺诈的侵害。在客户自我选择安全程序的情况下,银行首先必须就使用商业上合理的安全程序向客户发出要约而遭到客户拒绝,而且,客户必须明确书面同意,如果银行采纳并遵守了客户选择的安全程序,那么客户对所有的支付指令承担责任。这样,客户所选定的安全程序才可以被认为具有商业合理性。
2.遵守了客户对银行接受支付指令的限制规定
为了避免承担未经授权划拨的损失责任,银行除了必须证明它接受划拨指令时遵守了安全程序,还必须证明它遵守了客户限制银行接受某些支付指令的“任何书面的协议或者指示”。
限制银行接受支付指令,乃是客户的权利。通过限制银行接受某些支付指令,客户可以保护自己的利益。例如,客户可以禁止银行接受数额过大的支付指令。另外,客户可以向银行提供一个受益人的名单,并禁止银行向名单之外的受益人付款。这些限制可能包含在安全程序中,也可能作为一个独立的协议进行规定。无论哪种情形,银行都必须遵守限定条件。所以,银行应谨慎对待客户用额外文件限制资金划拨。如果发生诉讼,银行应举证其遵守了客户的指示。
3.诚信行事
如上所述,银行必须证明其遵守了安全程序和客户的书面指令。另外,银行还必须证明它是基于诚信行事。4A条款对诚信下的定义是:“忠于事实,并遵守了公平交易的合理商业标准。”美国统一商法典1A-203规定,在执行合同或履行义务过程中,当事人都必须承担诚信责任。
诚信原则要求银行遵守两个行为标准:第一个标准是忠于事实,这是一个主观标准,是指人的思想状态。第二个标准是遵守公平交易的合理商业标准,这是客观标准。从银行的观点看,银行举证它在资金划拨中已经诚信从事是非常重要的。但问题是银行如何证明,它在接受未经授权的指令时,遵守了公平交易的合理商业标准。一般说来,银行主要通过证明以下事项来满足诚信要求:(1)银行从事资金划拨工作的人员都经过良好培训,拥有适当的经验和专业知识,而且受到适当的监管;(2)适用于外来支付指令的方法和程序是有效的,而且能够确保支付指令来自银行的外部,而不可能由内部人伪造;(3)银行内部的资金划拨程序操作是有保障的。
三、安全程序的例外
——“独立第三方”的欺诈行为
从事资金划拨欺诈行为的人,实践中可能有四种类型:客户的雇员或者与客户有关联的人员;银行的雇员或者与银行有关联的人员;跟客户和银行都没有关联的人员;上述三种人员的结合。
当违法者与客户没有关联时,可以将其称为“独立第三方”。这个第三方可能与银行有关联,也可能与银行或者客户都没有关联。根据4A-203 (a)(2)的规定,当客户能够证明违法者是独立第三方时,银行即使已经遵守了安全程序的规则,也应当对这种欺诈造成的损失承担责任。
当然,客户必须提交充分的证据证明违法者是独立的第三方。从事欺诈行为的违法者必须知道程序是如何运作的,并且知道编码、认证设施和相关设备,还必须能够进入传送设施,通过一个接入设备及其他软件,才能突破安全程序。这些秘密信息不是从客户控制的渠道获得,就是从银行控制的渠道获得。根据法律规定,这类案件通常是作为刑事犯罪进行调查,银行内部也要开展调查,以确定安全程序不起作用的原因所在。因为资金数额巨大,刑事调查和内部调查很可能非常彻底。在不少情况下,这些调查将发现违法者及损失的原因所在。客户可以利用这些证据来帮助举证。
美国4A条款规定,客户无须确定谁是违法者,也无须证明违法者跟银行或者与其他机构有关,只须证明:(1)无法确信违法者是代表客户行事;(2)违法者不是通过客户控制的渠道获得客户信息而进入资金划拨系统。这实际上是为完全没有过失的客户提供一个安全港条款。如果客户没有过失,能够证明违法者并不是客户的雇员或者代理人,还能证明违法者并不是利用客户的设施,也不是从客户或其代理人处获得有关秘密信息,如果这些证据具有足够的证明力,那么第三方欺诈造成的损失应由银行承担。
最后再来看美国花旗银行的案例。假定花旗银行与客户之间存在安全程序的协议,这个安全程序在商业上是合理的,而且银行在从事资金划拨时满足了所有的法定要求。在这些假定的基础上,除非客户能够证明违法者是独立的第三方,否则银行可以不承担责任。在这个案子中,违法者在俄罗斯圣彼得堡,表面上看应属第三方。就人们所知,他与花旗银行没有雇佣关系或其他关系,可是,他是怎么弄到可以突破安全程序的信息呢?花旗银行拒绝披露案情细节。从法律上看,如果黑客从客户所控制的渠道得到信息而进人花旗银行的账户,那么这名黑客就不是独立的第三方,客户应当承担损失责任。但是,如果黑客从花旗银行控制的渠道得到信息,或者从不受客户控制的渠道获得信息,银行就应当为损失承担责任。
2001 > 2001年总第42辑
