谁动了我的股票？

　　近年来，电脑交易、自助委托及密码身份人证技术在股票交易中大量运用，提高了委托代理买卖股票的效率，却也因此导致了一些新型纠纷。让我们看一个典型案例：
　　原告贾铁英于2001年9月18日经查询得知，其存放在被告银河证券公司北京安外证券营业部（以下称“安外营业部”）的股票账户中的爱建和华东医药股份于2001年9月12日被他人卖出，并被他人于同日分两次买入了银广厦股份，导致其直接损失约人民币30万元。而据贾铁英称，9月12日上午，她未下达过也未委托他人下达过该交易指令。贾铁英就此事与安外营业部索赔不成，遂向北京市东城区人民法院提起诉讼。
　　贾铁英主张，安外营业部未履行保障其账户和交易安全的义务，给他人进行恶意交易提供条件，对其股票被盗卖盗买负有不可推卸的责任。安外营业部辩称，首先，在贾铁英开立账户时，营业部已事先告知证券交易的风险。其次，涉诉的三支股票交易是通过交易密码完成的，出现盗卖盗买只能是因为贾铁英自己失密所致，与安外营业部无关。
　　东城区人民法院以贾铁英缺少支撑其主张的证据为由，一审判决驳回其诉讼请求。贾铁英不服一审法院判决，向北京市第二中级人民法院提起上诉。北京市二中院的意见总结归纳如下：一、客户自行设置的密码是客户下达股票交易指令的身份证明，也是电脑自动识别客户的依据。使用该密码交易所产生的后果由客户承担，妥善保管密码、防止密码失密是客户的基本义务和责任。二、贾铁英与安外营业部之间签订的委托买卖有价证券承诺书（以下统称“委托合同”）中约定凡使用密码进行的一切交易均是有效委托，该协议是双方当事人的真实意思表示，合法有效。三、贾铁英不能提供证据证明，涉诉的股票交易指令是安外营业部“监守自盗”，或安外营业部电脑交易系统不安全或管理不善所致，而涉诉的股票交易指令是通过客户自己设定的交易密码由电脑自助完成的，无法排除贾铁英委托其他代理人进行操作或因贾铁英自身原因导致失密的可能。因此，对于贾铁英的请求，法院不予支持。驳回上诉，维持原判（资料来源：中国法院互联网www.chinacourt.org)。
　　一、委托合同中的风险提示及密码条款是否有效？
　　为讨论这个问题，我们先假定涉诉交易是由第三方（如恶意的黑客等）的行为所致，原被告双方均与涉诉交易无直接关系（事实认定会在下面详谈）。在出现第三方责任的情况下，安外营业部以“事先已告知被告存在技术风险”作为抗辩理由，而二审法院也认定双方约定“凡使用密码进行的一切交易均是有效委托”的委托合同属于“双方当事人的真实意思表示”，因此合法有效。但这样的抗辩是否成立呢？这样的约定是否有效呢？
　　第一，众所周知，证券公司与客户之间签订的委托合同一般都是证券公司事先拟定的格式合同，对于此类合同，客户通常只有要么全部接受要么全盘拒绝的选择。而根据深圳和上海交易所的规定，个人只有通过证券公司才能从事证券交易活动，因此，个人如果想进行证券交易就不得不同意证券公司提供的格式合同，无论其对合同中的条款有多么不满意。由此推之，格式合同中的规定是否由双方“自愿约定”，是否属于“双方当事人的真实意思表示”，其本身就是存在疑问的。
　　第二，根据《合同法》第53条的规定，但凡“提供格式条款一方免除其责任、加重对方责任、排除对方主要权利”的格式条款都应该被认定为无效。而委托合同中的风险和密码免责条款是否属于第53条规范之列呢？这一点存在争议。
　　一种观点认为，既然在签订委托合同时，证券公司已经告知客户存在技术风险，如《证券交易委托代理业务指引》（以下称《业务指引》）中所写：“技术存在着被网络黑客和计算机病毒攻击的可能”，“投资者密码泄露或投资者身份可能被仿冒”等，而客户仍然接受了这种方式，并在规定了“任何使用甲方密码进行的委托均视为有效的甲方委托”（即不排除黑客侵入盗取密码使用的可能—笔者注）的委托合同上签字，说明客户自愿承担这种技术风险。因此，该风险和密码的免责条款合法有效。另一种观点则认为，该风险和密码免责条款的实质是免除证券公司责任且加重客户责任，应该认定为无效，其理由是：首先，格式合同的自愿性本身就遭到质疑，且客户对技术风险的认识和对免责条款的法律含义的理解，都无法与拥有技术专业人士和法律顾问的证券公司匹敌，因此委托合同的规定不能成为客户“自愿”承担技术风险的依据。其次，义务包括约定义务和法定义务两部分，在格式合同普及的行业中，由于拟订合同一方常常利用订约优势在格式合同中“故意遗漏”己方义务（如，在《业务指引》提供的合同范本中，我们找不到哪怕一个条款涉及证券公司对电脑系统的安全维护义务），法律只好通过强行法的方式把基本的义务加在拟订合同方身上，从而平衡双方的利益，维护公平。从立法实践上看，但凡格式合同盛行的行业，强行法的规定也越多，比如说消费者权益保护法、海商法等。在这样的情况下，法定义务的地位就更加突出了。证监会在1998年发布的《证券经营机构营业部信息系统技术管理规范（试行）》（以下称《技术管理规范》）中，规定了证券经营机构营业部在电脑网络系统和管理上的非常具体的安全性要求，由此可知，证券公司担负有维护电脑系统安全、防范黑客攻击和计算机病毒的法定义务。因此，证券公司在格式合同中将因黑客攻击、计算机病毒等技术风险强加于客户方，是明显的“免除己方责任，加重对方责任”的行为，应该认定为无效。
　　笔者倾向于采纳后者的观点，因为立法和司法的最终目的是促进效率、维护公平，具体在证券委托代理行业中，其目的是在维护证券交易正常进行的前提下，促进先进科学技术在证券交易中的运用，提高交易的方便性，降低交易成本，从而推动证券交易行业的发展。如果法律允许证券公司通过格式合同的方式免除己方维护电脑系统安全的责任，证券公司就不会投入必要的资金、人力来促使技术革新，重视与黑客和病毒的较量。这无疑是给证券公司以“偷懒”的合法借口，而客户因为承担了更多的自己根本无法控制的风险，尤其在证券公司怠于维护安全的情况下，很可能越来越多的选择放弃自助型交易方式，回到过去的打手势、跑柜台的原始状态。技术的成果没有因为先进得以广泛运用，反而由于一些瑕疵，“一颗老鼠屎，坏了一锅汤”，想必这并不是法律所希望自己起到的作用吧？因此，只有否定这种免责条款的合法性，才能通过立法或司法的态度间接促进技术的发展，实现法律的目的。
　　二、举证责任如何分摊？
　　在本案中，涉诉的事实只记录于电子化的虚拟空间中，除了电脑中的数据，没有任何其他证据如纸质文件、签名等作为辅助的证明，所谓证据主要是原被告双方的“一面之辞”，因此，事实的认定是很困难的。在这样的情况下，举证责任如何分摊就成为决定原被告双方诉讼形势有利或不利的关键因素。
　　二审法院根据“谁主张谁举证”的原则，认为贾铁英不能证明自己所主张的“安外营业部监守自盗，或其电脑交易系统不安全”，属于“证据不足”。而笔者认为，二审法院把电脑系统安全与否和证券公司管理是否不善的举证责任加在客户一方的做法，虽然没有违背当时的法律明文规定，但却是不符合公平原则的。原因如下：根据案情可知，贾铁英只是安外营业部的一个普通客户，除了安外营业部自己的声明外，她没有任何途径得知安外营业部提供的电脑系统是否安全，或者其内部职工是否可能获悉客户密码，这一切证据材料都掌握在安外营业部的手里，而且由于资料大部分以电子数据形式存在，安外营业部很可能不着痕迹删除和修改。在双方信息渠道和控制能力如此不均衡、举证能力有天渊之别的情况下，却要让完全没有信息来源和控制能力的一方来承担举证责任，不但有违公平而且近乎不合情理。民事诉讼法理论有一个最基本的原则，即“不能让不可能举证的人承担举证责任”，二审法院的态度显然有悖于此。而且，此后不久，2001年12月颁布了《最高人民法院关于民事诉讼证据的若干规定》，其中规定“对合同是否履行发生争议的，由负有履行义务的当事人承担举证责任”，这一条款也明确了义务履行方对自己应尽义务的举证责任，否定了二审法院的做法。
　　据此，笔者认为，在本案中应当由安外营业部对其电脑系统是否安全和证券公司管理是否达标的承担举证责任。就电脑系统的安全性而言，安外营业部的初步证明责任至少需要证明其电脑系统如何符合《技术管理规范》第二章第三节关于安全管理的规定，提供的证据至少应当包括电脑软件的源代码、管理员操作记录、整个电脑系统（而不仅仅是交易系统）在涉诉交易时间前后的所有访问记录等。在此基础上，原告才有可能针对这些初步证据，提出反驳意见，比如说安外营业部使用的软件在哪些地方是很容易被常见的黑客技术（如暴力破解、利用漏洞后门等）入侵的，操作记录或访问记录中有哪些疑点等，举个简单的例子，工商银行早期的密码是四位数的，对于四位数的密码最多只需穷举排列9999次即可试探出来，黑客只要获取客户的账号，再通过专门的工具对账号密码进行快速试探，其保密性就岌岌可危了。这种四位数密码的安全性非常差，如果涉诉，就很可能成为反驳的利器。证券公司再针对原告的反驳进行辩护，这样就在诉讼中形成了双方势均力敌的更加公平的对抗，而不是“一边倒”的举证程序了。就证券公司管理而言，安外营业部也需初步证明其管理符合《技术管理规范》关于组织、人员、技术资料和数据管理的要求，以及硬件设施和软件环境的标准。然后如前所述形成举证的对抗。最后法院再根据自由裁量权对双方提出的证据做出的综合性事实认定，就更加依据充分、经得起推敲了。
　　当然，在本案中还涉及其他一些问题，如证监会发布的《技术管理规范》其法律效力如何？在实践中，证券公司使用的电脑软件系统通常会经过一个政府主管部门的检验和认证，而如果得以认证的技术最终被发现确实存在致命的漏洞并导致损失，其责任该由谁承担？如果证券公司承担了主要的技术风险，其本身的利益又如何保障？等等。笔者认为，这些问题就只能通过发展立法、改革相关制度以及建立技术风险的保险制度等来完善机制本身了。或者，也可以通过发展技术本身来解决技术自己孳生的问题。