关于“工行网银受害者集体维权联盟声明”的评论

作者：www.chinaeclaw.com

工行网银受害者集体维权联盟声明：

我们都是由于非自身原因，被罪犯利用工行网银漏洞盗取了牡丹灵通卡存款。我们向工行维权，工行不是不予接待，就是推说我们登陆假网站、密码保管不善和电脑感染病毒，把我们推到公安机关。工行不仅给我们造成了经济和精神上的伤害，也严重侵害了法律赋予我们的合法权益，更助长了犯罪分子的嚣张气焰。

工行敢于如此对待客户，是其长期垄断经营的结果，混淆其商业银行的企业身份，对客户侵权。如工行《牡丹灵通卡章程》第五条，“凡使用密码进行的交易，发卡银行均视为持卡人本人所为……”中国消费者协会早在2004年就指出金融领域六大霸王条款，“电话挂失不担责，生效时间往后拖；不可抗力随意用，混淆概念欲免责；章程规定单方改，强迫对方受约束；柜员机记录不算数，存款数额银行定……”但工行至今未对以上条款做任何改正。

对于工行网银安全性问题，既然工行号称其网银系统安全可靠，可以有效对付木马等病毒，那为什么受害者找上门时就推诿说客户中了木马等病毒呢？为什么工行网银在不断进行安全升级，并单方面随意修改《个人网上银行交易规则》呢？为什么叫停大众版网银并限制用户网上支付金额呢？为什么网银的受害者大多是工行用户呢？为什么公安机关已侦破的案件都是罪犯利用工行网银漏洞实施犯罪的呢？为什么媒体报道IT新手都能找到工行网银漏洞呢？

因此，我们联合全国受害者发起集体维权：第一，理顺我们和工行间的合同关系，对工行网银漏洞给我们造成的损失进行集体诉讼索赔，结束工行对客户的侵权行为。按照国外银行惯例，客户在网上银行交易中发生风险，银行必须全部赔偿。第二，敦促工行完善其网银系统，对网银犯罪建立快速反应机制，积极配合公安机关打击犯罪。网上银行发生被盗案件，报案流程应该是工行去报案，而不是客户去报案。第三，呼吁公安机关统一案件受理平台，集中技术和警力，对网银犯罪进行专项打击。

最后，支持我们就是保护您自己，请大家一起来维权。

　　　　　　　　　　　　　　　　（部分语句已在不改变原文意思的基础上做了修改）
【评论】

首先，安全问题肯定是金融业务的重中之重，而对于网上支付，由于增加了网络安全隐患和虚拟主体隐患两大风险，安全风险相对就提高了。最近发生的“工行网银受害者集体维权事件”就再一次给金融服务单位、执法部门、有关管理部门以及广大用户敲响了警钟。

其次，网上支付的主要风险中的系统安全风险方面，一旦发生大规模的系统安全事故，其后果将是十分严重的。但据了解，由于银行系统多年来不断强化安全措施，发生大规模安全事故的概率还是非常小的，更多的风险还是来自操作过程的失误和内部人员的有意而为。就拿“工行网银受害者集体维权事件”来看，如果侵害者是利用工行系统的安全漏洞实施了犯罪行为，就会造成不计其数的受害者。还有，去年人民银行发布的《电子支付指引第一号》第二十六条也明确规定：“银行应确保电子支付业务处理系统的安全性，保证重要交易数据的不可抵赖性、数据存储的完整性、客户身份的真实性，并妥善管理在电子支付业务处理系统中使用的密码、密钥等认证数据。”

第三，对于网上支付的另一个主要风险来源——伪造身份，其危害性更值得我们关注。这种伪造有两种，一种是伪造用户的身份，另一种是伪造银行的身份，后者又被称为“网上钓鱼”，就是侵害者利用伪造的银行网站诱使用户输入关键信息以实施侵害。目前看来，“网上钓鱼”的危害性正在加大，用户上当受骗防不胜防，极大地打击了用户使用网上银行的信心。

对于伪造用户身份的侵害行为，其前提往往是侵害者已经掌握了用户的密码等关键信息，这就要求广大消费者提高防范意识，尤其不要把自己网上银行或银行卡的密码告知他人，如果万不得以，则要在完成业务后马上更改密码；对于“网上钓鱼”，广大用户一定要提高防范意识，不要使用接受邮件中的链接方式登陆银行网站并拒收来历不明的邮件。当然，从另一个方面，银行一定要充分揭示这方面存在的风险，不断提醒用户提高安全防范意识并明确与用户联系的方式，不给罪犯以可乘之机。

人民银行发布的《电子支付指引第一号》中明确规定：“第四十四条：客户应妥善保管、使用电子支付交易存取工具。有关电子支付业务资料、存取工具被盗或遗失，应按约定方式和程序及时通知银行。第四十五条：非资金所有人盗取他人存取工具发出电子支付指令，并且其身份认证和交易授权通过发起行的安全程序的，发起行应积极配合客户查找原因，尽量减少客户损失。第四十六条：客户发现自身未按规定操作，或由于自身其他原因造成电子支付指令未执行、未适当执行、延迟执行的，应在协议约定的时间内，按照约定程序和方式通知银行。银行应积极调查并告知客户调查结果。银行发现因客户原因造成电子支付指令未执行、未适当执行、延迟执行的，应主动通知客户改正或配合客户采取补救措施。”

还有，防范“网上钓鱼”的一个比较有效的方式就是使用数字签名，利用数字签名甄别网站的真实性，目前很多电子认证服务机构都可以提供这种服务，并且有《电子签名法》这一法律保障。虽然人民银行发布的《电子支付指引第一号》已经明确规定：“第二十五条：银行应根据审慎性原则针对不同客户，在电子支付类型、单笔支付金额和每日累计支付金额等方面做出合理限制。银行通过互联网为个人客户办理电子支付业务，除采用数字证书、电子签名等安全认证方式外，单笔金额不应超过1000元人民币，每日累计金额不应超过5000元人民币。”但可惜该条款在实践操作中并未得到切实执行，否则用户的损失应该可以更少，而这次“工行网银受害者集体维权事件”又再一次提醒我们：切实推进电子签名应用刻不容缓！

最后，关于银行方面的责任问题，如果侵害事件的发生与银行系统的漏洞有关，银行当然应该承担相应的责任，如人民银行发布的《电子支付指引第一号》明确规定：“第四十二条：因银行自身系统、内控制度或为其提供服务的第三方服务机构的原因，造成电子支付指令无法按约定时间传递、传递不完整或被篡改，并造成客户损失的，银行应按约定予以赔偿。因第三方服务机构的原因造成客户损失的，银行应予赔偿，再根据与第三方服务机构的协议进行追偿。第三十四条：银行采用数字证书或电子签名方式进行客户身份认证和交易授权的，提倡由合法的第三方认证机构提供认证服务。如客户因依据该认证服务进行交易遭受损失，认证服务机构不能证明自己无过错，应依法承担相应责任。”

如果侵害事件的发生源于用户自己泄露密码或上了“网上钓鱼”者的当，银行方面只要尽到必要的警示与配合调查的义务，应该不承担更多的责任。

总之，网上银行业务一旦发生较大范围的安全问题，应当引起各方面的充分重视，分清责任、及时处理，否则会引起很大的社会负面效应，不利于网上支付这一新生事物的发展。社会各方面及时关注，采取各种相关措施包括公安机关尽快立案、破案，严惩犯罪人；银行方面及时查清问题起因，提高系统安全性，及时发布警示信息避免损害进一步扩大，并积极配合有关机关的调查取证活动；广大用户进一步提高安全防范意识，避免上当受骗；而对于有关管理部门，要切实在网上支付业务中提高数字签名的应用水平，使《电子签名法》带来的法律保障真正发挥出提高网络社会安全性的作用。