跳转到主要内容

(2017)苏02民终1526号

裁判日期: 2017-06-28

公开日期: 2017-07-17

案件名称

无锡恩特路润滑油科技有限公司与中国银行股份有限公司无锡惠山支行银行结算合同纠纷二审民事判决书

法院

江苏省无锡市中级人民法院

所属地区

江苏省无锡市

案件类型

民事案件

审理程序

二审

当事人

无锡恩特路润滑油科技有限公司,中国银行股份有限公司无锡惠山支行

案由

银行结算合同纠纷

法律依据

《中华人民共和国民事诉讼法》:第一百七十条

全文

江苏省无锡市中级人民法院民 事 判 决 书(2017)苏02民终1526号上诉人(原审原告):无锡恩特路润滑油科技有限公司,住所地无锡市惠山区无锡惠山经济开发区堰新路318号1162。法定代表人:周小金,该公司总经理。委托诉讼代理人:冯龙兴,无锡市北塘区慧龙法律服务所法律工作者。委托诉讼代理人:吴树岩,无锡市惠山区惠邦法律服务所法律工作者。被上诉人(原审被告):中国银行股份有限公司无锡惠山支行,住所地无锡市惠山区政和大道186号。负责人:邹晓星,该行行长。委托诉讼代理人:过静、王莉,江苏漫修律师事务所律师。上诉人无锡恩特路润滑油科技有限公司(以下简称恩特路公司)与被上诉人中国银行股份有限公司无锡惠山支行(以下简称中行惠山支行)银行结算合同纠纷一案,不服无锡市惠山区人民法院(2015)惠商初字第00629号民事判决,向本院提起上诉。本院于2017年4月7日立案后,依法组成合议庭进行了审理。本案现已审理终结。恩特路公司上诉请求:请求撤销原判,改判支持其一审全部诉讼请求。事实与理由:1、恩特路公司在中行惠山支行开通网上银行服务,因公司账号被不法分子盗取,盗刷了两笔款项。在此过程中,恩特路公司不存在主观故意和过错,对于盗刷的事实也已由公安立案侦查,虽然到目前仍没有侦查结果,但符合立案条件。2、双方存在服务合同,依据服务合同,中行惠山支行存在违约责任。恩特路公司款项被盗刷的原因是异地IP利用了其公司账户和密码,并且可能伪造或者侵入动态口令牌截取了动态口令牌密码,进入银行网银系统进行非法转账。在此过程中,中行惠山支行存在的过错主要为:系统存在安全漏洞导致可以盗取账户密码、口令牌密码;系统无法识别真实客户,未得到客户授权就提供转账服务。3、本案所涉合同系中行惠山支行提供的格式合同,例如银行提供的《中国银行电子银行章程》第十五、十六条即为免除其责任,加重对方责任、排除对方主要权利的条款,中行惠山支行未履行提示和说明义务,故上述免责条款无效。银行作为专业金融机构及相关技术设备操作平台的提供者,应当承担交易安全保障义务,其应对恩特路公司是否存在过错承担举证责任,银行在没有证据证明恩特路公司存在故意过错的情况下,应当承担举证不能的法律后果,银行应承担先于赔付的责任,然后可向犯罪人追偿。中行惠山支行辩称,1、恩特路公司未能充分举证证明其账户内资金系被他人非法转出,其存在损失。根据一审查明事实,涉案两笔交易,均是以恩特路公司的账户名登陆,通过输入密码、动态口令进行交易,而此时银行的网银系统并未受到干扰或者恶意攻击,完全是正常交易,在银行系统显示进行操作的就是恩特路公司。虽然显示涉案交易的IP地址为省外,但并不能排除恩特路公司将用户名密码及动态口令告知他人进行操作的可能,公安机关立案侦查至今未有明确结论,故无法认定恩特路公司确实存在损失。2、银行在履行双方签订的服务合同过程中,不存在违约或不当的行为,对恩特路公司账户资金的减少不应承担责任。本案不是信用卡交易纠纷,是网上银行款项结算支付,因此不存在银行需要对伪卡进入系统承担法定安全责任的说法。中行惠山支行已提供证据证明网上银行服务系统经过国家信息技术安全研究中心安全评估,具有整体安全性,正常使用前提下,可以保障交易安全。而恩特路公司将原本应当分别保管的两套用户名、密码、动态口令交给一个人保管,由同一人操作,严重违反操作流程,大大增加了网上银行的资金风险。一审审理中,中行惠山支行曾向公安了解过案件进展情况,答复称涉案电脑已在移交给公安前格式化,公安无法查明系何种原因导致款项转出。3、《中国银行电子银行章程》第十五、十六条内容为风险提示和防范措施,条款并不涉及责任的承担,更不存在免除银行责任、加重对方责任、排除对方主要权利的情形,故并非无效的免责条款。一审判决事实清楚,适用法律正确,请求维持原判。恩特路公司向一审法院起诉请求:请求判令中行惠山支行赔偿172500元并支付利息损失16000元。一审法院认定事实:2010年6月30日,国家信息基数安全研究中心出具《中国银行BOCNET网上银行系统安全评估意见》。评估结论为:中国银行BOCNET网上银行系统具有较高的整体安全性,网银客户在正确使用BOCNET网上银行系统的情况下,网银交易的安全性可以得到有效保障。2011年4月25日,恩特路公司向中行惠山支行申请开通网上银行服务,具体服务项目为账户查询和转账汇划,操作人员为经办人王晓君和授权人周小金。恩特路公司在申请表的客户确认栏盖章确认以下内容:已经了解并同意遵守《中国银行电子银行章程》、《中国银行网上银行企业服务业务规则》及相关协议,对因违反协议与业务规定而造成的损失和后果,愿意承担一切责任;已领取“动态口令牌”E-Token2个,密码信封2个,且所领取E-Token序列号与客户认证工具绑定交易打印的“网上银行-企业服务签约单”(客户回执)打印内容确认一致。2011年4月28日,中行惠山支行通过恩特路公司的上述申请。2013年11月20日,恩特路公司通过网上银行向上海友荃实业有限公司转账50000元,向无锡钧铨石化产品有限公司转账41300元。网上银行后台显示,2013年11月20日13时2分6秒,用户标识别为etlwxj、用户姓名为徐红群,通过IP为121.238.93.69的电脑登录网上银行,2013年11月20日13时2分58秒退出登录。2013年11月20日13时3分24秒,用户标识别为etlzxj、用户姓名为周小金,通过上述电脑登录网上银行,2013年11月20日13时3分47秒退出。同日,恩特路公司的网上银行向吴建文转账稿费、演出费等劳务2500元和170000元。网上银行后台显示,2013年11月20日13时23分3秒,用户标识别为etlwxj、用户姓名为徐红群,使用IP为58.22.113.110的电脑登录网上银行。2013年11月20日13时26分42秒,用户标识别为etlzxj、用户姓名为周小金,使用IP相同的电脑登录网上银行。2013年11月21日,恩特路公司员工韦雁翎至无锡市公安局北塘分局北大街派出所报案称,2013年11月20日,恩特路公司存款172500元被分两次非法转至吴建文帐户。2013年11月28日,无锡市公安局北塘分局出具立案告知单,立案受理恩特路公司被盗窃一案。另查明:《中国银行电子银行章程》第九条载明:“凡使用正确的客户身份识别标识和身份认证方式进入中国银行电子银行系统使用电子银行服务的均视为客户本人所为,所产生的电子信息记录为该项交易的合同有效凭证”。第十三条载明:“客户应妥善保管身份识别标识和身份认证信息或工具,不得公开或告知他人。如发生客户安全证书/动态口令认证工具损坏或遗失、密码遗忘或锁码,客户应及时到中国银行营业网点办理重新申领、解锁、挂失或密码重置手续,或致电中国银行客户服务中心按规定办理挂失或注销手续,因未及时办理上述手续造成损失的中国银行不承担责任”。第十六条载明:“客户应采取风险防范措施,安全使用电子银行,相关措施包括不限于:(一)妥善保护电子银行用户名、账号、编号和密码等重要身份识别标识、身份认证信息及工具,确保上述重要信息和认证工具不经口头或其它方式发生泄露或被盗用。(二)对所使用设备的操作系统、杀毒软件、网络防火墙等客户端软件采取有效的措施防范操作系统软件漏洞风险、电子设备中的病毒等。(三)直接登录中国银行门户网站××”,或拨打客服电话95××6,或发送短信到中国银行网站公布的特定号码办理电子银行业务,不要通过其它网址、号码或链接登录电子银行。上述网址和电话如有变更,中国银行将通过适当方式提前公告,不再逐一通知客户。(四)使用电子银行过程中暂时离开或完成电子银行交易后,应及时正确退出电子银行系统,使用客户安全证书的客户应将USN-Key从计算机上及时取出并妥善保管,办理业务后即在电子设备上清楚所有遗留的操作记录。(五)不在网吧或其他公共场所的公用计算机上使用网上银行,不通过具有储存和显示输入号码功能的公用电话进行电话银行操作,更换手机号码前及时修改或注销以原号码开通的短信服务。(六)妥善保管客户安全证书、动态口令认证工具及与电子银行业务相关的重要身份证件、存折、银行卡、企业预留印鉴等资料,不交给其他人保管,不放置在不安全场所。(七)避免使用容易被其他人猜出或破解的密码,避免设置与其他用途相同的电子银行密码,客户应定期或不定期更新其电子银行密码。(八)应经常关注账户内资金变化,如发现任何通过中国银行电子银行从事的未经客户许可的操作及交易,客户应马上通过中国银行客服中心或通过其他有效途径与中国银行取得联系”。2015年1月8日,恩特路公司授权徐红群至中行惠山支行办理企业网上银行相关业务,授权徐红群领取网上银行客户认证工具(“动态口令牌”E-Token/“数字证书令牌”USBKEY)及相应密码信封,并指定徐红群填写《客户认证工具、密码信封领取单》。同日,徐红群在《客户认证工具、密码信封领取单》上确认已领取企业网上银行客户认证工具(“动态口令牌”E-Token/“数字证书令牌”USBKEY),操作员1姓名为徐红群,操作员2为周小金。同日,恩特路公司在《网上银行服务申请/变更表》上确认操作人员为经办人徐红群和授权人周小金。中行惠山支行出具情况说明,载明:网银用户的用户标识是唯一的,恩特路公司将网银经办人由王晓君变更为徐红群后,系统自动将用户标识为etlwxj相对应的用户姓名由王晓君变更为徐红群,故诉讼中提供的后台资料显示用户标识为etlwxj相对应的用户姓名为徐红群。再查明:结合庭审中双方当事人的陈述及事后观看同类型网上银行用户的操作得出该案涉网上银行的使用方法为:1、操作员1在中国银行网上银行官网上输入自己的用户名、密码以及动态口令登录网上银行系统;2、操作员1填写转账金额及收款帐户后退出网上银行系统;3、操作员2输入自己的用户名、密码以及动态口令登录网上银行系统;4、操作员2核对转帐信息后再次输入动态口令确认转账。其中,操作员1、2每人都有自己的用户名、密码以及动态口令牌,动态口令牌的6位密码每30秒变换一次。庭审中,恩特路公司主张,2013年11月20日向上海友荃实业有限公司转账50000元以及向无锡钧铨石化产品有限公司转账41300元系正常操作,IP地址是恩特路公司所属电脑,而向吴建文转账的172500元不是恩特路公司的操作,IP地址与之前的完全不同(据公安部门反馈,该IP应属福建某地),两次操作间隔20分钟,恩特路公司不可能在20分钟内从无锡赶到福建,系网上银行存在漏洞,导致恩特路公司的银行存款被非法转出。上述事实,由汇款凭证、《中国银行BOCNET网上银行系统安全评估意见》、《中国银行电子银行章程》、《网上银行服务申请/变更表》及当事人的陈述等证据在卷佐证。一审法院认为,恩特路公司在《网上银行服务申请/变更表》上盖章确认已经了解并同意遵守《中国银行电子银行章程》,则双方应恪守《中国银行电子银行章程》。《中国银行电子银行章程》载明,客户应妥善保管身份识别标识和身份认证信息或工具,凡使用正确的客户身份识别标识和身份认证方式进入中国银行电子银行系统使用电子银行服务的均视为客户本人所为,同时载明了网上银行风险防范措施,对恩特路公司进行了风险提示,则恩特路公司应知晓使用恩特路公司的客户身份识别标识和身份认证方式网上银行进行操作均视为恩特路公司的行为。虽然,两次登录中国银行网上银行系统电脑的IP地址不同,但双方并未约定登录中国银行网上银行系统需使用固定IP地址,且两次登录均是使用恩特路公司所属的客户身份标识、身份认证方式以及动态口令进入中国银行网上银行系统进行操作,故两次操作均应视为恩特路公司所为。恩特路公司提供的证据不足以证明向吴建文转账172500元并非其操作,故法院对恩特路公司的诉讼请求不予支持。依照《中国人民共和国民事诉讼法》第六十四条、最高人民法院《关于民事诉讼证据的若干规定》第二条之规定,一审法院判决:驳回恩特路公司的诉讼请求。本案受理费4070元,由恩特路公司负担。二审中,双方当事人对原审法院查明的事实均无异议,本院对于原审法院查明的事实予以确认。中行惠山支行提供中国信息安全认证中心出具的信息安全管理体系认证证书复印件,该证书载明“兹证明中国银行股份有限公司信息中心建立的信息安全管理体系符合GB/T22080-2008/IS0/IEC27001:2005及适用性声明(2013年9月11日1.2版),认证范围为中国银行股份有限公司信息中心为中国银行股份有限公司提供的生产信息系统(含灾备系统)运营支持服务、前端支持服务所进行的信息安全管理。颁证日期为2013年10月30日,有效期至2016年10月29日”,证明中行惠山支行的网银系统符合交易安全。经质证,恩特路公司对该证据的真实性无异议,但认为只能证明银行有这样一个系统,但不能证明不存在安全隐患和管理漏洞,并未对系统的安全性作完整认定。本院认为,本案中,恩特路公司明确以双方存在的合同关系主张由中行惠山支行承担违约责任,其诉讼主张成立的前提为2013年11月20日向吴建文转账的172500元系未经恩特路公司授权划拨的支付行为,对恩特路公司造成了实际损失。本案系因网上银行支付引发的纠纷,网上银行由于虚拟化、数字化、信息化等特点,省略了交易双方面对面交流的环节,传统的签名、盖章等认证形式无法再适用,采用有效的方式确认交易双方的身份、资格等成为网上银行交易安全保障义务的重要内容。本案中,双方一致确认系通过两个不同的操作员前后输入不同的用户名、密码以及每30秒变换一次的动态密码作为身份识别方式,恩特路公司也在开通网上银行服务时,对中行惠山支行告知的“凡使用正确的客户身份识别标识和身份认证方式进入中国银行电子银行系统使用电子银行服务的均视为客户本人所为,所产生的电子信息记录为该项交易的合同有效凭证”的内容表示遵守,故在一般情况下,按照上述方式进行的交易操作均应当认定为系经过恩特路公司授权之行为。现恩特路公司以2013年11月20日向吴建文转账的172500元的两笔交易均通过福建某地IP地址的电脑所操作,客观上不可能由恩特路公司自己所为,以及公安已就该情况立案侦查,来证明上述两笔交易系第三人盗刷,未得到恩特路公司授权。对此,本院认为,如前所述,网上银行支付采用虚拟化、电子化的身份识别方式,并不需要信用卡等物理介质,故并不排除得到授权的异地操作,公安机关虽对恩特路公司的报案予以立案侦查处理,但至今未有定论,故恩特路公司现有证据不足以证明本案争议款项系第三人盗刷,恩特路公司存在实际损失,且中行惠山支行也已就其行所提供的网上银行服务系统的安全性进行了举证。综上所述,恩特路公司的上诉请求不能成立,应予驳回。一审判决认定事实清楚,适用法律正确,应予维持。依照《中华人民共和国民事诉讼法》第一百七十条第一款第一项的规定,判决如下:驳回上诉,维持原判。二审案件受理费4070元,由恩特路公司负担。本判决为终审判决。审判长 沈 君审判员 龚 甜审判员 华敏洁二〇一七年六月二十八日书记员 姜 敏 来自: