顽固性失眠的中医治疗:论银行卡帐户资金被盗取的法律责任

论银行卡帐户资金被盗取的法律责任 ——银行卡纠纷案件研讨会实录 上传时间:2009-8-31 浏览次数:80 字体大小：大 中 小     主持人（朱巍）：明德民商法研习社是全国民商法青年学者的学术性组织，我们历来专心于社会热点的法律问题讨论，比如去年艳照门事件我们举办了大型研讨会；512灾后重建我们也举办了大型研讨会，成都中级人民法院和来自地震灾区各地的数十名法官到现场我们进行旁听，我们对其认真进行了解答；轰动一时的“许霆案”，我们迅速跟踪研讨，会议请到了许霆案的上诉律师和许霆父亲到场，我们的研讨为许霆最后的改判发挥了重要作用；前段时间我们对云南许霆案之称的“何鹏案”进行了研讨，也请到了该案律师和当事人到场，CCTV2的今日说法节目进行了录制工作。我们明德民商法研习社作为一个学术组织，正是用自己身体力行的法律专业，为社会中的公平正义呐喊，为和谐社会构建加油。     今天进行研讨的案子，也是关于银行卡纠纷案件讨论的延续。目前国人持有的银行卡超过17亿张，人手一张银行卡还多，引起的纠纷非常多，不是一个很另类的问题，而是一个很现实的问题。银行卡纠纷案件之所以引起人们广泛的关注，是因为现在的《民法通则》还有相关法律没有明确的规定，靠道德自律约束也往往不够。现实中银行告储户，储户告银行的事情非常多，出于这些考虑，我们把这方面领域的专家汇集在一起，试图讨论出一些新的观点和有建设性的意见来影响司法实践和理论建设。 　　此外，本次研讨会创新之处，是请来这方面技术的顶级专家，人民银行相关的领导专家进行讨论，这必将加深我们讨论的深度和广度。 　　研讨会开始之前先介绍一下各位专家： 　　第一位是，银行数据信息传输技术专家、解放军空军第三研究所教授级高级工程师、国家相关专网设计人之一、解放军总参谋部科技进步一等奖及两个二等奖等多个奖获得者，项国务院专家津贴获得者余强灵老师； 　　第二位是，国家数字网标准起草人、国家综合业务数字实验网负责人、教授级高级工程师、国务院专家津贴获得者、原国家信息产业部泰尔实验室高级顾问杜森老师； 　　第三位是，著名金融学者、银行信息安全专家、中国人民银行研究员宋泓均老师； 　　第四位是，中国法学会中国法律咨询中心法律事务部副主任。著名律师任伊珊老师； 　　第五位是，中国人民大学法学院国际法学博士李明奇； 　　第六位是，北京炜衡律师事务所副主任、合伙人、北京律协刑事辩护委员会秘书长李肖霖老师； 李肖霖律师是经验丰富的著名律师，他也是美国全国刑事辩护委员会会员;近些年来，李律师在刑事、行政、经济和民事领域里成功地代理过一些国内著名大案：例如，北京晓庆文化公司偷税案、广西自治区副主席徐炳松受贿案、抚顺市司法局副局长肖元华贪污挪用案、珠海中院经济庭庭长谭显军枉法裁判案、郑州市宋留根黑社会组织案、青海五矿诉香港百益货款仲裁案、韩国新星公司诉荣成鲁丽公司拖欠货款案、山东省惠民县29个村民状告县公安局违法执行公务案。这些案件的辩护成功，奠定了李律师在法律领域的资深专家地位。另外李律师在法律理论与实践的探索中都有丰硕的成果。 第七位是，张宏政律师，北京海铭律师事务所专职执业律师，张宏政律师有着多年辩护的从业经验，也成功代理过多个著名案件。是2006年物权法公布后北京市第一例物权法案例的成功辩护人。张宏政律师在刑事与民事辩护中，思维敏捷、逻辑严谨、表达清晰、辩护丝丝入扣。曾作为法律学者多次参加相关法律研讨活动，并在中央电视台国际频道等多家媒体参加案件说法点评活动，在新华网、人民网、华澳报有多个专题新闻。     第八位是，徐绪辉，北京航空航天大学法学副教授，法学博士，著名律师。     第九位是，陈悦，法学硕士，北京一法律师事务所律师；长期从事民事案件研究与案件代理，对案件的研究深入细致，辩护关键点突出，法律条文应用精当，有很强的逻辑性，是一个非常成功的律师。     第十位是，著名经济学家、法律学者、中国经济名家论坛副理事长、中国管理科学研究院研究员李开发老师，李老师长期以来积极参加法律问题研讨，对国家交强险的法规的调整起了重要作用，是中央台关于广东许霆案一审后的对话嘉宾，他关于该案件适用民法调整、应当宣布当事人无罪的观点对法学界产生了积极影响，为后来二审判处五年有期徒刑起了积极作用。他参与了国家反垄断法的研讨，参与了多项重要法律案件的点评，为推进国家法制建设做出了贡献。　 我是朱巍，很荣幸担任此次研讨会的支持人，我是中国明德民商法研习社社长，律师，中国民商法律网编辑，民商法学博士。　     首先我们有请李开发老师致辞。 　　李开发：各位专家、各位媒体朋友，大家下午好！应该说非常有幸跟各位专家一起研讨银行卡案例的法律问题，就这个问题做一个专项研讨会，今天的会议如果简单归纳一下，至少有四个特点非常有意义。 　　第一，这次会议的主题是前所未有的，也是专业的，专谈银行卡以及银行卡款项被盗的法律问题，这类问题数量很多，涉及面广，但是专业研讨会以前没有，专业会议可以探讨得全面一些，深刻一些。 　　第二，会议的主题关系到13亿人口当中的绝大多数，银行卡款项丢失的案件也屡见不鲜，近期而言我所知道的至少有两个法院正在审理，一个是《京华时报》等很多媒体报道的丰台法院正在审理一起案件，一个持卡人人在北京，也没外出，卡上的七万块钱丢了，状告银行，法院正在审理之中。一个是西城区法院也正在审理一起案件，内容是一样的，中央电视台告诉我的，其它类似的案件我相信也不少。前些年我也曾经有一次突然发现卡上有7500块钱丢失了，我也知道这种事情是求不得爷爷告不得奶奶，只有自认倒霉。我们没有办法为这点资金向那个方面，特别是向银行讨个说法，而且我们没有证据向银行讨个说法。如果要赢得这场类似的银行卡案件的诉讼案，我们需要证明自己，证明你自己没有过错，卡没有丢失，卡上的密码没有泄露，你要证明你许多时候不在现场，要证明卡保护得很好，没有借给别人，没有合伙串通等等。我们没有办法证明，遇到这种事情只有自认倒霉。但是今天的会议不一样，今天到会的法律专家都是非常著名的专家，以前在国内很多重大案件的办理当中常常看见他们的身影，对法律的研讨非常独到非常有深度，也许我们在研讨中可以找出新的方法来保护我们持卡人。 　　第三，今天会上讨论这个问题的时候它的背景有了变化。以往是没有人有能力来批评或者说证明银行在技术方面该存在比较明显的缺陷或者重大缺陷，银行在责任上不会陷入难以自圆其说的困境。但是今天不一样，今天我们在座的嘉宾余强灵教授是解放军总参谋部科技进步一等奖获得者，两个二等奖获得者，他是专网的主要设计人之一，他还设计了跟专网相关的大量技术产品，对于这个网络特别了解，他目前是大唐软件公司银行卡安全项目技术研发总负责人。另外一位嘉宾杜森教授，杜森教授长期在国家信息产业部工作，他是国家数字数据网以及模拟实验网标准的制订人和网络运行的负责人。他们两位的权威性在这个行业里面应该说是毋庸置疑的。他们将会证明银行网络是不是真正切实的安全。 　　第四，以往这些案例的消费者持卡人据我所知基本上是以败诉而告终，主要原因缺少证明缺少技术依据，通过今天这次会议以后广大的持卡人消费者有可能改变被动局面，有一定的依据向银行讨个说法，在今后这类案件的诉讼过程当中有可能有的人能够胜诉。对于这类案件的法律研讨，大家都在为中国法制建设的进步做一些贡献。 　　主持人：感谢各位媒体为我们做宣传，这样才使我们的声音传得更远，下面有请余教授为我们做精彩的技术性讲解。 余强灵：谢谢各位，谢谢主持人。我就银行系统信息安全防护技术问题做一个初步的探讨。信息安全的重要性是众所周知的，现代社会人们通常称其为信息时代，更说明了信息的重要性。同时也表明信息安全处于更加突出的地位。银行系统的信息安全保密在民用系统中占据极为重要的地位。     第一，长期以来,很多人对于银行系统的信息安全保密在认识上存在两个重大的误区。     其一是认为在通信方面组成了自己的专网,信息在自己专网中传输应该是安全的，不会被窃取的;其二是银行在终端上已经做了某种加密的处理,它应该是不会被破译的。正是这样两个认识上的误区,导致银行系统对于多年来出现的信息被盗引发的各类事件采取了回避或不与理睬的态度。很多客户蒙受了损失而无法得到应有的赔偿，更严重的是我们的很多重要信息的丢失而自己全然不知,很可能已经造成或将会造成重大的经济损失。     第二，关于银行通信专网的问题      银行通信专网基本上是由两种方式组成,一种是租用DDN(也就是国家数字数据网)的线路构成,另一种是租用以E1为基本单元通过光纤系统接入国家公用数字网。无论租用那一种链路组成的专网,都没有信息传输的安全保障。就是说第一个认识上的误区实际上是对专网的误解，在E1链路的任何一个分支节点上都可以很容易将双向的信息截获,在DDN的若干节点上能将双向的信息截获。 第三，关于银行终端加密的问题     银行的终端加密是计算机数字加密的一种,而且是属于相对简单的一种,下面我想就整体上对计算机数字加密的安全保密性能谈一些看法。                       1 早期的密电码、密语，后来的模拟语音加密（如倒时、倒频加密机，声码器）等，到上个世纪八十年代,由于电子技术，特别是数字计算机技术的发展，数字加密几乎成了信息安全防护的代名词。人们一提起信息安全，想到的就是数字加密，这表明数字保密已经成了信息安全防护的重要手段，或者说，几乎是唯一的手段。这就无形中形成一个认识上的误区，似乎进行了数字加密，信息安全性就有了保障，同时又导致另一个误区，就是凡是涉及信息安全的，都是以数字加密技术为前提。     数字加密技术从开始应用到现在已经近30年了，在早期计算机技术还不普及，计算机速度也不快的情况下，他确实是难以破译的，但是几十年的发展，加密技术和破译技术都在不断的进步，特别是计算机运算速度的大幅提高，数字存储器的容量极大的增大,对数字加密的破译无疑是一种有力的推进。在这里我想就数字加密的致命缺陷和多重防护技术的应用进行初步探讨。     第四，数字加密的软肋     数字加密技术无疑是一种非常重要的安全防护技术，由于它采用计算机技术来实现数字加密，密钥更换等功能，加上新的密码的研究，在很大程度上保障了信息的安全性或信息的实效性,即破译需要一定时间，但破译了的信息已无意义。但是数字加密也有致命的缺陷，使它的安全保障性能受到质疑，尤其是把数字加密作为安全防护的唯一手段，将会造成无可估量的损失。     1.数字加密破译的先知性     数字加密的密码和加密技术都具有一定的限定性,这种限定性，就为破译提供了先知性。     2.数字加密破译的可操作性     数字加密无例外地都是采用计算机技术来实现密码生成，密钥更换等功能，既然加密采用的是计算机技术，破译同样可以采用计算机技术,而且可以用速度更快，功能更强大的计算机来进行破译。因而破译就有了既定的工具，也就是它的可操作性。     3.数字加密破译结果的可识别性.     数字加密由于采用的是计算机技术，对原有的信号进行密码运算而生成新的信号序列送出，通常不对原有信号进行再处理，如对一个数据信号进行加密,一旦解密正确,原始的数据就出现了,而原始信号的特征就为解密的结果提供了可识别性。无论是TCP/IP网络信号还是 HDLC 链路信号等,都具有既定的特征。     举一个PCM基群（E1）信号为例。PCM基群是一个国际统一的帧结构模式，有固定的帧同步码，PCM信号在空闲时有固定的编码信号等等。这些一旦破译过程中，得到了这种帧结构模式（如帧同步码）或PCM空闲码等特征信号时，确认破译成功，而且由于这些特殊信号的存在，还可能为破译提供了捷径，如一个固定的帧同步码结构，有的加密设备可能不对帧同步码加密,这可能大大降低了破译的难度。     综上所述，数字加密不是无懈可击的，密码的相互破译和被破译，这些都是不争的事实，都不是绝无仅有的个别例子。专用的数字加密设备都有可能被破译,更何况银行系统的相对比较简单的加密。     我们上面说到银行通信专网信息在传输的过程中完全有可能被窃取，窃取后的信号有可能被破译，因而客户的存款被盗取或转走就没有什么可奇怪的了，这是一个客观的存在，发生这类事件也不是个别的偶然性事件，而是银行必须面对的现实，赔偿客户的损失固然是重要的，更重要的可能是某些重要信息的被盗，将可能造成无可估量的损失。因此，我个人认为，银行系统有必要采取措施从根本上来消除这个隐患。     第五，采用多重防护技术是安全防护的新途径     上面我们就银行系统的信息安全问题进行了探讨，现就如何从根本上来保障银行的信息在整個系统中的安全，包括数据和语音的安全，谈些个人的看法。     我个人认为，现在的加密技术已经发展到了相当高的阶段，几乎快到极点，相应地破译技术也到了相当高的水平。如果仍然停留在这种单一的防护技术上，势必会有一天最终暴露它的致命的危险性。这决不是否定数字加密技术，而是正确认识使用这种单一技术的危险性。 采用多重防护技术，是信息安全的新途径，也可以说是必由之路。多重防护技术包括两个层面，一是多种防护技术的应用，二是多种防护技术的综合使用。     所谓多种防护技术是指不是单一的数字加密技术，可以有很多种防护技术（从理论上说应该是无穷的）可以开发和应用；所谓综合使用，就是在一个系统中把多种防护技术综合在一起，它可以是串联模式，也可以是并联模式，也可以是混合模式。当采用并联模式时，它可以极大地增强单一模式的安全防护功能，当采用串联模式时，它可以在某种模式被破译后，还得不到有效信息，还需进行下一步的破译。这种多重防护技术可以达到以下的效果。大大提高破译的不可知性，增加破译的难度，因为多重防护本身的多样性，因而在很大程度上失去了先知性，没有既定的范围，或者即使用情报获得了一定的先知性，由于串联后使用，将使其破译的难度成千百倍的增加。增加了破译可操作性的难度，单纯的计算机破译技术不可能对多重防护技术进行破译，因为有许多防护技术必须要有硬件的支持，而破译这种防护也必须有相应的硬件支持，这就大大增加了破译可操作性的难度。由于多重防护技术的综合使用，包括对原始信号的处理，即使在破译了某种安全防护的技术后，所得到的仍旧是一个不可识别的非原始信号，这样可能导致两种结果，一是认为未能破译，一是需要继续新的破译。     总之，多重安全防护是一个新的概念，它可以包揽各种有安全功能的技术，是一个有无限发展空间的领域,它可以使破译者如入浩瀚无边的大海去捞针。采用多种防护技术，综合使用这些技术构成多重防护，能更加有效地保障信息的安全,在这里我们还要特别说明的是，采用硬件、软件相结合，把原始信息信号进行隐含处理是非常重要的安全防护手段。银行系统要想从根本上保障信息安全保密,就需要在整个信息传输链路中采用新的具有多重防护功能的设备,以此来确保用户的利益和银行本身的利益。 　　朱巍：下面有请另外一位专家杜森老师。 　　杜森：刚才余老师系统介绍了关于加密的问题，余老师从军方退下来，对于密码整个加密的过程非常了解，我做的工作里面没有接触到这么多东西，但是有一点是这样的，我是一辈子做技术工作的人，但是技术的问题有时候做到最后需要哲学家需要法学家来支持。刚才谈到泄密的问题，大家认为银行是一个专网或者是一个电信网，一个没心的人绝对不会想方法去窃取你的信息，但是如果一个有心的人或者一个搞过专业的人看起来就很简单。刚才余老师讲到我们专网用DDN网或者用IP网，这些网是电信网构成的网络，这些网络有一个最基本的特征，因为互联，互联要有协议，这些协议是大家都弄好的，否则联不通。只要知道这些协议基本就可以进去了，比如一个互联网想攻击哪个服务器，这个协议了解了，这些协议是公开的是ITU或者是互联网FORM大家规定的都要遵守的，一旦知道就容易进去。因此有一点应该特别注意，过去讲的加密老是在高层二层以上的东西加密，现在不够。我原来做工作的时候老想这个问题，网络的安全加密分成两大部分，一部分是高层，网络信号信源里采取加密，协议里面像现在有些公开的IPSIDE等等东西，另外还有一点更重要的是你的信号不能丢失，一旦信号丢失了在原来的情况，那时候计算机技术不怎么发达的情况下解密起来也能解出来，只要得到信号这个密就能解得出来，但是需要时间的问题，在现在计算机技术非常发达的情况下那就可以很快地解出来。这个事情并不是说现在搞通信的人没有注意到，已经注意到一个问题了，但是没有把这个东西从整个分类里面分出来。街上的公用电话要是像普通电话大家都知道，只要一并机就能打电话，这是从底层想办法用ISD的东西，只要一定上去就不通了，没有办法再工作了，那个地方采取一些措施。相对于我们来讲，我不太知道现在银行的专网用的是什么东西，如果讲到用到这样东西的时候比较危险，比如用到EWON的东西，EWON的东西有一个帧结构，有一段是公用的，后面是我的信息，前面有一个帧头，这个帧头一定是公用的，我把这个信号得到以后后面的东西得到，我得到这个信号通过计算机的方法，有几种加密方法是通用的大家都知道的，我可以快速运算有可能得到信息。整个网络安全应该有一个分类，一方面高层的要加密，原来在信源里面做一些加密。另外，信号丢失以后有可能得到信息，所以信号也要做一些保护。 　　任何技术出来以后先开始是一个技术出现，出现技术以后需要法律的支持，需要法律的保护、正确运行。比如枪支没有法律的话大家都能做，那就坏了。现在电信技术不断发展，所有的东西需要法律更详细的保护，更详细做出一些指导规定。刚才讲到银行卡问题，银行卡一刷把你的信息通过磁的方法或者电的方法读进电脑，传输走了，这个过程有可能有加密的东西，但是这个卡有可能被复制。这个卡在法律上是不是要求，一旦复制这个卡就能发现，这个并不是做不到的。交通卡现在都可能复制，我们搞电的话我们知道怎么弄把信号得出来再写进去，这是很容易的事情。这个东西想办法法律上规定，一旦出现的话有特殊的记号，这个并不难，需要法律来支持。新的技术如果更好地运行的时候，它需要法律的支持和指导。 　　我就谈这么多，谢谢。 　　李开发：我补充两位教授讲的内容，我跟两位专家做过技术方面的专门对话。其实我们的专网并不是个安全网，很多人以为的专网是我们银行系统单独自己运行的网络，实际不是。国家的信息高速公路是有落地的通讯企业，比如原来的中国网通、中国电信来管理，每个单位只能在上面买来一定的带宽，但是这个带宽是随时跳动的，只给你一定的宽度，并不是说这个网只有你唯一的通道。到目前为止，社会上所说的信息安全观念，根据我跟公安部相关部局专门管信息安全的人了解之后，知道现在所有的信息安全就是计算机信息安全，就是办公室里的信息安全。不是传输的安全，不包括通道上的安全。这方面的安全至今也没有什么措施来保障。 　　第二，刚才杜老师讲了，你的信息要进入整个传输网，必须按国际电联的标准规定进行传输，按照规定进行传输的时候，拿任一一个标准设备就可以接收下来，这个标准设备可以说全社会到处可以买得到的。 　　第三，在我们的专用网络里面其实有数以十万个以上的节点，路由器包括我们的基带调制解调器通信距离都是很有限的，很短一段距离要有节点，有的管道在地下铺设，过一段时间就要上来，上面有一个交换站，有一个进入输出的过程，你不能要求我们中国电信或者中国网通节点上工作的都是国家安全人员，更不能要求所以节点都在严格控制之一，接触的人内部人可能进来，外部人也有可能进来。大量的节点有不安全的因素。 　　第四，整个信息传输系统到目前为止其实在国际电联的信息传输标准基础上的一种透明传输，你可以加了一些东西，但是要符合国际电联的标准才能进得去，符合那个标准进得去人家就能在上面接收它。 　　第五，虽然我们有了密码技术，但是对密码技术的解读以及破译密码从现代社会来看越来越容易，凡是专业人员有一定是专业技术的都有可能破译，多重反复技术，单纯靠现在密码加密其实已经有非常多的不安全，我们的卡刷过之后不知道信息通路上面跟我本人没关系，但是有可能信息通路上面有可能传输出去。 　　余强灵教授现在是大唐软件公司银行卡信息安全研发的总负责人，他的发言很有权威性。我就补充这点。 　　朱巍：刚才杜老师反复提到一个技术发展到一定程度上升到哲学和法律的问题，我们承认搞法律的人都知道，法律的的确确面对社会生活的时候有一定的滞后性，值得庆幸的是现在互联网包括网络上的问题，我们国家正在修订《侵权责任法》中在二审稿草案当中已经写了进去，相信不远的将来国家把互联网这个不是法律的无疆地带，把这个空白补充上去。下面有请宋泓均老师发言。 　　宋泓均：我今天的发言只代表个人，不代表人民银行总行。今天听了两位教授的讲话很受启发，我就想到了我们在1977年的时候当时公安部长说公安机关的技术干部要提前进入快车道，要抢在他们前面来控制未来的白领犯罪，这一晃30多年了，说明那时候还是确实有这个预见的。现在我们发现的问题可以这样说，我们十几年以前都已经解决了，为什么？主要是现在有些问题，在计算机时代到来之前有一些领导没有好好去学习，结果在行政上是官僚是将军，但是在技术上是奴隶，所以出现了现在这些问题。 　　过去来讲，按照惯性思维来讲，骑驴子的时代没有车祸，但是现在有了汽车就有了车祸，是不是有这个问题？那时候骑驴子的时候没有交警，现在都是交警支队、交警总队还不行，我们的前瞻性不够。信息高速公路，我们看到现在的高速公路，最难的是管理点，我们发现高速公路进口越来越难找，出口越来越难找，主要问题是找不到出口，找不到进口，有时候没走到，有时候走过了。什么问题？是一个管理问题。信用卡的管理点是什么？还是人。主要是在取现和转款两个点上，而且个人的设定信息和自然的生物信息结合上。 　　刚才教授讲到数字密码问题，十几年前生物密码指纹、现在的脸纹，指纹和脸纹结合到的身份证，这个没有问题，15年以前就解决了。但是我们的领导没看懂，我们的技术卖到美国又返回来了，这是事实。线路公共问题，我纠正一下，我们的网络是安全的，我们的网络是两条、三条，现在更多，是卫星网络、地面网络、加密网络三个数据混合到一起才可以的。老百姓这种担心不存在。还有一点，我们公安机关的刑侦部门由于水平差，赶不上犯罪分子的智商高，办案率低了，就把这个问题显现出来了，它跟过去不一样。过去到大学到研究生队伍里面去把最先进的技术一网打尽，然后可能犯什么罪就要往前走了，现在没有这个情况。这里面有很多问题是办案费没有，块块管理。我们国家管理支离破碎，监管权、行政执法权也是支离破碎的，没有人整合它。技术整合也是一个问题，因此我们在管理手段法律手段、行政手段、经济手段、技术手段，往往在技术手段上没有人懂，没有人管。今天早上我的一个同学的儿子告诉我，宋叔叔，我在北邮排行第二，保研读不读？我太不想读这个研究生了，为什么？太苦。我想读经济，很容易就毕业。反过来讲，我们的很多行政官僚根本不懂技术，学理工科的做两天的题就等于做经济的做很肤浅的做一个论文。但是这些人没有人读得懂，到国外非常受欢迎。我是西安交大毕业的，我们同学出去没有问题，出去能找到工作。学金融的到底学了什么东西？现在到底有多少人能接受他们？一个企业家小学三年级文化水平，亿万富翁，掌握三个字，行、不行、最后找个明白人商量商量，其他都不用。我们的领导都变成这样的人，而且做了很大的官，到具体解决具体问题的时候全是找别人商量，因此我们现在的技术官僚变成了外国大企业技术的奴隶，问题就出在这儿。改变现状从学校抓起从技术部门抓起，从哲学层面讲到权利层面，从技术权利层面做这样一个管理链，这样才能把这个问题解决好。 　　准入和退出机制问题，你既然这个东西好要准入，卖奔驰车的奔驰车好不好？保险不保险？但是黛安照样撞死，奔驰600三百多万的车，而且撞死的是英国皇室的王妃。牛车能不能撞死人？但是牛车卖不上价钱，又不允许上路。这是两个极端。信用卡的进入，各家商业银行能不能搞一个保险金的机制，来协助信用卡安全问题的研发，这是第一点。 　　第二点，能提供一些钱、办案经费，为受害者挽回损失。具体问题还是请专家再进行评述。 　　我就说到这里。 　　朱巍：感谢宋泓均老师，宋老师说的现在领导不懂学问这一点，在中国古代已经有了，清末有一个用“学和术”评价有一段话说的特别精彩：康有为是“有学无术”，张之洞是“有学有术”，袁世凯是“不学有术”，岑春轩是“不学无术”，在清末这么复杂的斗争之中，最后获胜的，还是“不学有术”的袁世凯，中国历来就是这样，“学”用很难打得过“术”，现在怎么改变，不能仅仅从法律层面上调和，我觉得不仅是一个法律问题而且是一个中国历史传统问题。 　　宋泓均：确确实实不劳而获乃道之上乘，大家都不想干活儿拿到更多一点，假如有可能每个人都希望当上帝，让别人取得胜利好像自己的胜利，这是罗素的原话。我们往往在技术管理这个领域里面由于这里面经济利益不是很明显，但是特别集中，很多人被外国的大公司打倒了，而且不是很明显。到国外这个考察那个考察，不用说干什么大家都很清楚。中国的技术大量都被干掉了，或者比较聪明的学生把中国的技术用外文翻译之后卖到国外再倒回来，叫做符合中国水土的技术。这都不是新鲜的东西，在学校里面太多了，特别是在工科院校包括很多设计方案都是外国著名的公司挂名，中国的教授和研究生干活儿做出来的。 　　朱巍：衷心希望国家多出一些有学有术的人才出来，下面有请任伊珊博士发言。 　　任伊珊：今天就银行卡资金安全问题做一个研讨，尤其银行卡的安全问题跟大家都息息相关，今天由一个案件多数一个切入点进行研讨我觉得这一点很有必要，而且很有意义。 　　我们拿到这个案子之后我看了一下，也简单做了一个小小的研究，也看了一下现在目前的相关法律法规以及相应的案例还有一些学者的观点，我简单从四个方面简要做一下分析，而且我也看到了今天法律界来的人士很多，有著名的学者还有律师界著名的律师，还有两位人大的学弟。我第一个发言仅仅是抛砖引玉，只是自己的个人见解。 　　我谈谈本案的性质，判决书也没看到，简单地说这个案子还是从法律关系来讲还是储蓄合同的法律关系，存款人把钱存到储蓄机构，储蓄机构根据存款人的请求支付本金利息的合同，根据《储蓄管理条例》第五条的规定，应该满足持卡人自由支取现金的要求，有的通过以财产权被侵犯为由诉诸法院。银行与持卡人双方之间的义务是什么，各自应该承担什么样的义务，由义务再来分析法律责任。工行灵通卡的章程以及相关的法律法规包括一些部门规章的规定，从这个来分析本案双方银行以及持卡人各自应该承担什么样的义务，具体的法规13条，即《人民银行银行卡业务管理办法》第13条规定商业银行开办银行卡业务应当具备安全、高效的计算机处理系统，人民银行关于加强金融机构个人存取款业务管理规定的通知第六条规定，个人办理存款业务，如果超过五万元以上存款机关应该审核你的身份证，而且应该报经储蓄机构负责人审核予以支付。第7条规定一次性提取现金五万元以上或者累计超过五万元以上还应该报审计分行备案等等。人民银行关于个人存取款业务批复里面做了详细说明，审核提取五万元以上，储蓄柜台人员必须要求取款人提供有效的身份证件，并经审核后予以支付。审核内容指取款人提供的身份证件姓名是否与存单存折上的姓名是否一致，这个说的是姓名没有号码，看取款人核对存单上的姓名是否一致，这个是必须要审核的，有人民银行的规章规定。牡丹灵通卡章程第四条也规定了，申请牡丹灵通卡必须设定密码，而且凡使用密码进行的交易发卡银行均视为持卡人本人所为，持卡人必须妥善保管牡丹灵通卡和密码。 　　从上述章程法律法规规定里面可以判断出，银行和持卡人分别应该承担的义务，银行应该承担向持卡人提供达到足够安全的交易系统并且在持卡人取款时尽到谨慎的审核义务。持卡人应该尽到妥善保管好银行卡及密码的义务。 　　我们既然谈到义务，不得不谈到学界的原则，本人行为原则。根据银行卡凭密码交易的特性，本人行为原则可以这么理解，如果银行卡交易是通过正确的密码完成如无免责事由则视为持卡人本人从事的交易行为。你要拿到你的储蓄卡，要去柜台交易或者转帐ATM机上，如果没有免责事由一概密码对了，储蓄卡对了，这就是你本人从事的交易行为，由本人承担责任。这里面《银行卡业务管理办法》第39条以及中国工商银行牡丹卡章程里面也可以体现到这个原则。如果银行是违规办理的转帐手续我们刚才说到了，五万元以上的要审核身份证件你没有审核或者说你审核的没有尽到谨慎的审核义务，你姓名没有核对或者号码不对等等。如果持卡人保管储蓄卡没有尽到妥善保管的义务，那么这个时候视为银行违反了交易规则，应该承担赔偿责任。如果银行也违规了，持卡人也违规了，你也没有尽到妥善保管的义务怎么办？按照过错比例来承担责任。如果银行按照整个规定办理这些手续之后，持卡人没有尽到妥善保管义务，这个时候就应该由持卡人来承担这个责任。还有一种情况，如果银行按规定办理了转帐手续，持卡人也尽到了妥善保管的义务，这个时候怎么办？我们都没有过错，银行也尽到了责任，所有的都审核了，身份证没有问题，密码没有问题，牡丹卡也没有问题，持卡人也保管好我的银行卡，密码没有遗失，这个就属于本人行为的例外，双方都没有过错。如果真是银行卡被破译了，被破译这个问题还是很困难的，如果真是被黑客侵入了这种情况下，法律方面有一个大家比较支持的观点，如果持卡人尽到了妥善的保管义务，而银行由于现有技术的限制无法及时发现或者避免，双方均无过错，这个可以考虑由银行和持卡人均衡来分担损失，按照公平原则。 　　最后谈谈举证责任的问题，这个案子出来了，谁该举证？如何举证？如果银行想免责那么应该承担下面四个方面，银行是留有转帐凭证的保存、交易记录的保存以及网点监控录像，你掌握证据，这些重要的交易凭单应该保存的，当然有一定的期限。银行应该承担这样的举证责任，首先你的交易系统应该符合安全的要求，银行不存在违规办理转帐手续的情形。涉嫌转帐交易确实使用了持卡人的银行卡，输入正确的密码。持卡人方面， 你说有人破译了银行密码不是因为你丢失了这个密码，那么是不是应该由你来承担举证责任，因此由本人来证明我尽到了妥善的保管银行卡及密码的义务，而且需要证明你的密码是别人侵入了银行系统破译了银行系统密码得到了这个密码，应该由持卡人承担这个举证责任。对于本案来说，银行是否应该承担责任关键应该看银行卡中现金的减少是否存在我们刚才讲的违规、违约，办理转帐手续的行为，同时要考察持卡人是否尽到了妥善的保管义务，保管银行卡及密码的合同义务。如果真是损失由银行电子系统遭到非法入侵导致持卡人的密码被破译，而你银行的系统又符合安全等级，是不是应该考虑银行和持卡人按照公平原则来承担。 　　这是我的基本观点。我也看了一下这些案例，基本上能够打赢官司的很少，基本银行是胜诉的。有一起北京建行的，在石景山法院一起案件，银行承担部分责任。那个是因为没有审核身分证号码是错的，那个案子是这样的，银行卡钱不是石景山银行的，通过外地银行提取了大概14万现金走了，当时银行拿到了身份证，银行的交易系统里面外地的交易系统根本就无法看到持卡人存单上的身份证以及他的号码，所以说根本就没有尽到审核义务，这样法院判它没有尽到审核义务，承担了一部分责任。这时我看到唯一银行败诉的一个案例，持卡人赢的案例。 　　我就说这些，谢谢大家！ 　　朱巍：银行败诉其实在中国还是有很多这样的案例，最高人民法院有一个批复，曾经说过有几种情况银行错误给了债权准债务人银行承担责任，比如说是，伪造身份证的、如果当事人以自己的印签签名为准的、挂失但是挂失完之后钱被领走的、明显具有恶意的或者明显疏忽大意的，这四种情况下银行是要承担百分之百的责任。 　　其实，公平责任在《民法》中并不公平，我把钱存到银行里面不知道什么原因钱没有了，因为都没有过错而让我和银行每人承担一半的责任，这是不公平的。“谁主张谁举证”如果应用到这样的案件中，也是不公平的，现实中，储户不仅从程序上，还是从技术上都是无法打探到银行到底有没有漏洞的。过重的举证责任对于储户来说是不是太不公平了？因为储户跟银行相比的的确确还是一个弱势群体，因此我不同意宋泓均的意见。 　　下面有请中国人民大学国际法学博士李明奇发言。     李明奇：现在随着银行卡的增多经常出现这样的奇怪现象，早上我的卡里一万块钱，下午不知道怎么着少了几千，这就是我们现在讨论的问题。出现这样的案件，持卡人和银行打起官司，在法庭上银行的抗辩理由往往是这样几句话，客户你自己不小心，你把密码帐户泄露了，你自己承担一切责任。我看了一些案例，出现这样的情况有的时候客户败诉有的时候银行败诉，对于这种问题如何解决可以说到现在为止还没有一个能够让多数人接受的说法。     这里面牵扯到一个关键的问题，客户和银行的法律关系到底怎么样。客户和银行其实形成一种储蓄合同，当然这个储蓄合同本身会引起一定的争议。十年前也就是1999年当时新《合同法》出台之前有一些专家建议，在新《合同法》里面规定进储蓄合同，但是因为当时各方人士意见分歧太大，所以就没有明确规定。    《合同法》本身对这个问题的回避，导致理论界和实务界仁者见仁智者见智。我自己的看法是，客户和银行他们之间形成储蓄合同之后，客户的资金进入银行，资金是为银行所有，所有权已经转移。如果发生客户帐号和密码被盗事件，表面上是客户卡内的资金减少，本质上讲，小偷偷的是银行的资金，如果出现这样的情况，那银行自己来承受这个损失。那就是说发生这样的案件应该是由银行作为受害者。     持卡人是什么角色？应该是接近于证人，但是你自己不应该是当事人。这是我的基本看法。如果发生银行卡资金被盗案件，原则上讲应该由银行承担这个责任，除非是银行能够证明由于持卡人过错导致帐号密码被盗，出现这种情况才可以让持卡人也替银行分担一些损失。 　　还有一个问题，牵扯到技术问题，这些都需要多请教余老师、杜老师、宋老师。据我所了解，现在盗取银行卡号的帐号密码很普遍很容易，最常见的方法是使用读卡器，在取款机前装上摄象头，这样就很容易获取持卡人的帐号密码。银行应当保证资金的安全，现在小偷盗取帐号密码复制一个银行卡去盗窃，银行居然没有发现这是一个伪造的，这样说起来银行过失很大。 　　原则上讲这种案件银行负主要责任，有一种情况持卡人自己故意泄露帐户密码或者因为持卡人自己的过失泄露了帐号密码，比如什么时候不小心说出去给别人听到了，别人听到之后马上伪造，应该说这个时候持卡人自己过失非常大。即便出现这种情况，仍然需要由银行承担很大一部分责任，大到什么程度要看双方的过失。即便出现我刚才所说的那种情况，银行在向客户支付资金的时候应当认真审查取款人的身份、卡号、密码等一切真实信息，银行没有审查出来仍然是有过错的。 　　 我现在简单总结一下。对于储蓄合同本身中国法律规定的不是十分明确，容易引起争议，这是第一个问题。第二，往往因为银行技术上一些漏洞导致了客户银行卡内资金经常被盗的情况，对此银行应负主要责任。 　　这是我的基本观点，谢谢大家！ 　　朱巍：谢谢明奇。有一个人到ATM机取钱的时候按密码被后面的人看到了，被人取走几万块钱，到法院起诉的时候，法院实际调查发现ATM机自动取款机后面没有铁皮，只有半人高，后来判定银行承担30%的责任，取款人承担70%的责任。有什么依据按过错比例还是按什么判定，我们下半段再进行讨论。下半场的主持人交给李明奇博士。 李明奇：下面有请李肖霖律师发言，李肖霖律师是北京炜衡律师事务所副主任、合伙人、北京律协刑事辩护委员会秘书长。 　　李肖霖：我不是什么专家，我从法律角度和技术角度谈谈，我以前学过通信和电子，自己曾经做过一个加密软件。网上曾经有一条帖子，说的是克隆存折、克隆银行卡案屡屡发生，法院原来是判银行负三成责任，后来变成负五成责任，近两年案例有的是银行要负全责，法院判决没鉴别卡的真伪的银行要赔偿损失，法院认为银行卡是原被告双方储蓄存款合同的凭证，被告必须出具对其出具的银行卡具有识别能力，被告就是银行。作为储蓄合同凭证的真银行卡没有用于交易，视作原告和被告没有交易。 　　我们想是否可以采取一些有效做法，有效防止银行卡被盗用，这个问题就是密码保护还有银行卡的复制问题，只有当这两个问题都得到了保护，这个问题才不会出现。你光有密码或者光有银行卡都不行。还有银行系统陈旧问题，比如说，个人的银行卡和银行卡系统之间会发生问题，银行卡被盗用可能会有银行系统的问题，你能够在网上划转存款，那么将来会有人在网上直接不通过银行卡就把你的钱划走，既是银行系统被黑客侵入和掌握。 　　关于这个案件引发的法律责任问题，我想谈谈我对这些问题有没有一些解读办法。我曾经有一个客户他们一个公司是研究这样一个系统的，这个系统已经在南方得到使用，当你在办银行卡的时候你跟银行商定一下我这个银行卡大额刷卡如果超过两千块就给我一个短信，我给你回短信确认才能够这笔交易才能成功。任何人拿着我的银行卡去刷都会给我留的电话发一个短信，我立刻回复，回复这条短信确认之后这笔交易才完成。这是一种刷卡时的确认。还有一种，指纹识别、眼球识别，生理信息识别，具有唯一性，这种识别也可以有效防止。但这个必须本人亲自去提款，比如我叫我的太太替我去取钱，光知道密码不行，如果我生病在家需要刷卡不能把机器搬到这儿来验证指纹，非常不方便。余老师讲到的多重加密技术是很好的结果方法，多重加密任何破解了一层加以之后得到的仍然是一批乱码，无法知道这个乱码是真的还是假的，对哪组乱码进行下一组的博弈，将使你的破译带来几何级数的增加，没有机器能够胜任这种工作。 　　还有一个办法，在这类案件只要银行不能证明个人有问题，判决银行败诉。这样他们会有较大的损失。网上报道曾经南方一个城市连续在近期内40多个银行卡被盗刷，显然被对方破译了，出现集中的损失，最大的一个人一次被提了88万。银行都败诉的话，银行面临所有败诉花的费用和投资新系统和改进系统方面哪种更合算，迫使它改变自己提高系统的技术含量。对初始的银行卡信息多重加密，一般人有了你的密码之后我不知道现在银行卡里我们拿的磁条里面都有哪些信息，是不是只有个人的身份信息，我的存款存了多少是在计算机里面存着的，身份证信息和银行卡对上之后才启动计算机的信息，如果只有一个名字的话，这个名字很容易复制，因此对于这个名字对于磁卡的信息进行加密，这样一般人看到我输入密码了他也无法复制我的信息做出一个新的银行卡。这个问题解决了，我想两种东西同时具备才能做到，它只能具备一种，这样就可以起到保护。 　　现在有人在复制你的银行卡的时候，有些地方门口有一个门禁刷卡器，必须拿拿你的卡刷一下门禁，把门禁上装了一个识别器，你的信息全部在那个地方读了，回来把你的银行卡复制出来，再在摄象头看你的输入密码。     还有一个简单的方法防止拿到这两样东西，将交易的内容向银行卡上复写。比如我今天刷开了银行门用银行卡做了一笔交易，那么会回复写在我这个银行卡上，我下次再刷银行卡就是这个新的信息有变化的银行卡，此时若他拿着我在交易前的那个银行卡完整复制都无法进行下一个交易。这样可能起到一种保护作用。     多重加密技术是有效的信息传输保护，但是对我在复制银行卡这些内容上几乎并不起到安全的作用，我掌握你的银行卡和密码在各地都可以加入，加入生物信息绝对不可交易，是技术传输层面的一种多重手段保护，实际在操作层面上生物信息技术、短信回复确认技术，这些技术都加起来也是一种多重保护，把这些东西也加上的话那就是一种双重的保护，这样我们的银行卡交易起来会越来越安全。 　　银行卡盗刷案件和社会上的盗窃案件不可能绝对杜绝的，只能相对减少。个人只要承担了证明自己妥善保管了银行卡并且没有丢失密码和银行卡以及身份证，如果我的密码还有我的银行卡还有我的身份证三者同时丢了，那么银行可以免责。如果不是这样的话，你银行就必须承担责任。我拿着债权文书跟你要钱，你怎么不给我呢？这个债权文书绝对是真的，但是不排除把我的密码和信息给别人，用别人来制造这个案件，不排除。这个职能被制造一次，不能备制造两次，否则一定会被怀疑。我们给银行设定更大的责任才能有效保护公众信用卡的安全。 　　谢谢大家！ 　　李明奇：感谢李律师的精采发言，下面有请北京航空航天大学法学副教授、律师徐绪辉先生发言。 　　徐绪辉：法律责任的承担通常和过错、行为的违法行以及所承担的义务相关联，我们谈到银行卡的钱出去的时候通常有几种情形，一个是在转帐过程中，一个是在取现过程中，另外是在消费过程中。在转帐的话有两种形式，有卡的转帐在ATM机上转帐或者POS机，在柜台上转帐。取现同样出现在柜台、ATM机，消费也是有密码的还有有没有签名的要求。现在在人们的观念中和法律中对银行卡的性质是什么，究竟是一个债权凭证还是说权利主张的凭证，这是不同的概念。如果是一个债权的凭证，那么当我不管这个卡里面有没有钱，以前我是存了钱进去的，我拿到银行要做一个权利主张凭证，我来取钱你说钱没有了，我是一个债权凭证必须给我钱。这样的话实际上对银行也是不公平的，因为它本身是可以取钱走的，是不是取钱走的我们并不知道。凡是有密码的交易均视为本人交易，反过来又说有密码的交易均视为本人交易，这时候就要看是不是密码是唯一性的，如果这个卡不能被复制或者即使被复制这个卡给了我卡号就说明你银行当初主张权利的时候这个卡是有唯一性的。即使密码丢失有过失的情况下，密码丢失我是有过失的，但是这个卡我确实没丢掉。原因只有两个，第一没有卡应该说你负担这个，这个卡是真实的，没有真实的卡不能取钱，有这样的设置，只有卡没有密码取不走钱，银行应该承担一半的责任。同时如果说这时候对于银行来说反正卡确实在你手中，我要承担一半责任，可是密码呢？银行不需要来证明，我只要证明这个在系统中确实通过输入密码把钱取走的，这个时候就确实应当由储户自己来证明密码没有丢失，储户不可能证明密码没有丢失的。因为银行不需要举证，只要说这个密码是真实的。转帐过程中因为密码的丢失，这就涉及到行为的违法行以及义务的承担，如果在ATM机上设置了摄象头，那么这个密码的丢失银行又有过错了，你应该对你的ATM机的安全，这是你设置的交易平台，必须对你设置的交易平台的安全负起保护的责任。如果我在网络上进行交易，只有密码交易，网络必须没有病毒，如果有病毒了，输入密码下次被人复制了，肯定银行承担责任，谁设定平台应该承担责任。每次取现都有上限的，不管是法定的还是约定的方式，超过上限不管什么系统，超过上限的部分肯定是银行要承担责任的。在这里面同样在取现过程中也存在柜台取现和ATM机取现，卡应该是有唯一性的，这种义务不应该让普通的持卡人来承担对它唯一性进行保证，必须由发卡部门给我这个号的时候我认为这是唯一的。卡如果被复制即使是自己提供给别人，除非他提供给别人就是为了让他进行复制取现，这种情况下卡被复制银行至少承担一半的责任。同样在消费过程中现在很多虽然设置了密码666、888，实际输入别的密码也能够取钱，这是第一点。第二，签名基本上是没有那么严格，你的卡拿给家里的人签他自己的名也没有问题，在每个刷卡的地方基本都能通过。这样变成签名是纯粹形式主义的，而它的密码也没有起到相应的作用，而且对于一个商家卖衣服或者商场卖东西的人不管谁来消费都认为这个是一个有效的消费。从这个意义上来说，消费卡这里面的约定比较重要。如果说没有密码也能取，没有真实签名也能取，那么这个卡又成了唯一性的了，这时候就有明确的客户提示义务，如果没有提示义务在这个卡被别人盗刷的情况下，即使真实的卡可能被别人拿到刷去，也应该由银行来承担责任。 　　我的意见就是这样。 　　李明奇：下面有请北京海铭律师事务所著名律师张宏政先生发言。 　　张宏政：我主要从这个案件引发的事务角度来谈一下，不成熟的地方请大家多多指教。这个案例在工行的代理人有几种抗辩观点，其中一点提出的是现在他已经报案，公安机关也立案，此案涉及犯罪应该驳回当事人赵先生的诉求，等公安机关破案之后再向犯罪分子追查。工行代理人的说法是新刑事后民事的，我认为这种说法在本案当中不成立。张三向李四借了十万块，到家之后十万块被盗窃了，于是张三就不还钱给李四，李四起诉之法院要求张三还款，张三抗辩说款项被盗了，先刑事后民事。在这起盗窃案破案之前张三不用还款了，大家觉得听起来很可笑。有关人员没有准确把握这个新刑事后民事的法律本意，在1985年最高间最高法和公安部已经颁布了及时查处在经济纠纷案件中发现经济犯罪的同时对先刑事后民事有一个粗略的规定，87年进行犯罪必须积极移送的通知，98年最高人民法院关于经济犯罪的规定进一步阐述这个原则。正确理解新刑事后民事的责任是适用它的基本前提，应该如何把握？首先若适用这个前提基于同一个法律事实，同一法律事实同时涉及到民事纠纷和刑事案件，而且两者是统一的法律关系。除了案件出现刑事犯罪和民事犯罪交叉外必须同时具备主体关联，民事案件当中双方当事人同时又是刑事案件中的犯罪嫌疑人和被害人，两个按进的主体完全重合。二是在事实上相关联及民事法律行为与刑事犯罪的事实是相同的。三是案件涉及同一个法律关系。只有在这种情况下才有可能涉及到先刑事后民事的问题。 　　作为工商银行的代理人不能够用先刑事后民事来逃避责任，来拖延债务的履行。本案当中具体的法律适用问题，其中前面我听到任伊珊博士讲到举证责任分配，我认为是非常有道理的，按照最高人民法院民事诉讼若干证据的规定来说，最靠近证据的一方应该负举证责任，这是比较公平的。涉及到本案如果适用法律关系到这个案件审理结果的问题，现在无非是两种，适用《合同法》的问题，适用《侵权法》的问题，在我看来适用《合同法》对本案的审理结果，对公民个人是不利的。银行的婆家管理银行的银行人民银行有这个规定，你只要输入了这个密码是正确的，那么你没有其它的免责事由的话银行就可以免责了，视为本人操作的，有这个规定。而且作为牡丹卡的相关规章里面也有这个规定，从而导致如果个人跟银行之间签署了相关协议视为储蓄合同成立了，那么只要是双方按照合同约定的义务去履行那么就可以免责了，按照约定的方式履行这个合同就可以免责，约定方式包括你只要正确输入密码就视为本人行为，如果适用《合同法》对当事人是不利的。如果适用《侵权法》对于保护公民个人有很大的好处，首先我受到杜森老师的启发，本身这个卡如果被复制是能够被识别的，这一点技术上没有障碍可以做到。为什么不去做呢？只要有密码就可以视为本人使用，完全忽略了这个卡的存在。《商业银行法》规定，商业银行应当保障存款人的合法权益不受任何单位和个人的侵害，换句话说保障储户银行卡内的资金安全是银行义不容辞的责任。如果银行不能保证这部分款项的安全，银行不能支付客户卡内当初的存储款项的话那就是为银行是有过错的，银行有过错就应当承担相应的责任，这是其一。 　　第二，如果银行不能够识别自己发出的作为存款凭据的银行卡或者各种银行卡，本身不能够识别自己发出去的卡它自己应该是有过错的，把这个款项放给了一个假卡，这种过错推给它是成立的，它不能够识别自己发出去卡的真假，假卡也付款，我们可以推定它是有过错的。如果适用侵权原则，银行有过错，应该承担相应的民事责任。从这个角度来看，对保护公民个人是有利的。 　　以上是我的观点，谢谢大家！ 　　李明奇：下面有请明德民商研习社社长、律师，朱巍博士发言。     朱巍：我想从民法的基本理论讨论一下这个案子。 这个案子简单来说银行把钱给了一个不是真正债权人的人，民法原理上称之为债权准占有人，在这种情况之下，如果债务人在给付过程中没有过错的话，那么这种对非债权人的给付法律认为消灭了本来的债权债务关系，对于真正债权人的权益，就不能再向原债务人要求，而是应该向冒领人要求了。换句话说，就是因为冒领人持有有效证件或者输入了正确的密码，所以银行把钱给他了，这种对非债权人的给付，民法上叫做债权准债务人给付，法律上认为，此时给付对象虽然是非真正债权人，但是因为要保护财产的动态流动，因此，只要是债务人在给付过程中没有过失，那么就认为是对真正债权人的给付，债务人，即银行就不再对真正的债权人有责任了。此时的真正债权人就转向对债权准占有人，要求其承担侵权责任。     大家都知道法律之所以作为法律是因为它的正义性和公允性，单纯看债权准占有人给付这个制度，貌似是不公平的。因为如果法律免除了错误给付债务人的责任的话，好像是缺乏正义性基础的。罗马法法谚说道，一个人不能够超越本身的权利去给别人权益，这主要是着眼于保护财产静态的安全。随着社会发展，财产的流动性越来越大，单纯静态的保护已经不能适应社会发展需要了。民法发展到日尔曼法时候，其提出“以手护手”，就是说，如果符合债权人表面特征的债权准占有人能够拿出证据证明自己是债权人，此时债务人若是善意的给付的话，那么债务人就算给付错了，也免于再对真正债权人二次给付了。那么，真正债权人受到损失怎么办？那就要从债权准债务人那儿要啦。我们国家在清末《民法》草案和1925年国民政府的《民法》草案当中都提到了这个，但是在新中国《民法典则》制订过程当中没有写进来，现在国家规定中国人民银行有一些关于储蓄的基本办法，有几条相关规定，比如，不计名的存款如果被冒领的话银行不负任何责任等。     新中国第一次将债权准占有人给付制度写进明文规定是1990年，最高法院有一个批复，即如果储蓄所因为过失把钱给了债权准债务人的话，债权债务不因此发生消灭，储蓄所还要拿钱给真正的债权人。反过来理解，如果储蓄所按照正常程序将存款交给符合表面特征的债权准占有人的话，即不存在过失的话，那么储蓄所是不承担责任的。这个解释中提到了“过失”的问题，怎么理解有没有过失呢？是不是民法中提及的善意呢？善意和没有过失是很相象的概念，这里面有一个标准，客观的标准是站在一个第三人的角度来观察，是不是可以看出来在对债务的给付有没有问题。这个第三人应该不是很聪明的人，不是很笨的人，其对专业知识有一定了解，以他的标准不能辨别真假的话，就可以推定他是善意的。在现实中，这个过失现在怎么来看？应该还要看是否符合相关的操作规定，比如，以前没有短信没有手机的时候好办，只要刷过密码就行了，现在有手机了，有的银行卡消费需要短信的回复，包括还有取钱还需要签名辨认等程序。这些东西套在银行对向债权人付款的程序上的安全保障，只有符合这些条件，对债权准占有人的给付才能算是发生实际清偿效果。对此最高人民法院四个批复，这四个批复规定了银行的付款程序，第一，如果储户丢失卡之后挂失了，以挂失时间为限，挂失以前怎么说都有可能，如果挂失以后钱被冒领的话储蓄所就应该承担责任；第二，有一个人说自己卡丢了，但是又伪造一个身份证，如果银行没有能力辨别身份证的真假，把钱付给了债权准占有人的话，那也是银行的责任；第三，如果储户和银行之间协议付款时不仅要见卡还要见印章签名或者短信回复的话，那么银行再付款时就应该严格遵守程序。如果银行该履行的程序都履行了，仍然无法识破债权准占有人的话，那么被冒名的人权益怎么保障呢？那就是要找真正侵犯你权益的人，去告他侵权。     因此，如果发生银行卡储蓄账务纠纷的话，储户首先要以储蓄合同违约诉储蓄单位，如果储蓄单位可以证明自己是善意付款而且没有过失的话，那么此时受损失的储户应该要求银行提供所有相关证据来帮助储户和相关审查机构找到那个冒领的人。在找到冒领人，即债权准占有人之后，储户以侵权之诉来起诉他，要求偿还自己的金钱。     结合实践，作为普通群众怎么样来维护自己的权利。第一，保管好自己的密码。现在大家都喜欢在网上购物，很多人直接在网站上输入密码，是非常危险的。那么应该怎么办呢？应该利用杀毒软件中的“保险箱”功能输入账户等，比如瑞星杀毒软件中就有一个“保险箱”的程序，再保险箱中输入密码的话，黑客侵入的可能性就很小很小了。第二，及时查询。万一发现银行卡有问题的话一定要及时挂失，按照最高人民法院的四个批复，挂失之后发生的损失，储蓄所要承担百分之百的责任。现在有些人怠于挂失，这样就很可能造成不利后果。第三，储户和银行之间尽量要进行更复杂的程序约定，比如约定银行卡消费时需要短信回复，或者消费之时需要储户的个人签名等等，这样做会给冒领者造成很大难度，从而保护银行卡的安全。第四，一旦发生了银行卡账务问题，首先以违约诉银行，在银行证明自己没有责任之后，在要求银行提供冒领人取钱时的相关证据，比如银行都有摄象头，其摄像保留大概保持六个月，这样一来，在很长时间都是有相关资料的，这个证据对找到侵权人是很有帮助的，亡羊补牢为时未晚，在银行的帮助下把债权准债务人抓住的话，那么这个钱就有办法得到相应的补偿。 　　我就说这几点，谢谢大家！ 　　李明奇：感谢朱巍先生，下面有请北京一法律师事务所律师陈悦女士发言。 　　陈悦：我从理论上颌实践上讲一些自己的观点。 　　第一，我个人倾向于客户和银行之间的关系类似于一种民间借贷关系，客户把钱存入银行从该笔存款业务办成完成之时起该笔钱的所有权即由客户转为银行所有，银行占有收益使用处分这笔钱，银行给客户出具的卡、存折，客户有要求返还同等钱、利息的权益。由于货币是一种种类物，客户将来在取出的钱显然不再是当时存入银行的那笔钱了，至于是哪笔钱并不影响客户权利的行使。 　　第二，犯罪分子从银行直接盗取钱款，银行是该刑事犯罪的直接受害人，犯罪嫌疑人侵害的是银行的所有权和银行的金融管理秩序，并非是客户的债权。该犯罪嫌疑人不会导致客户债权的丧失。 　　基于以上的理论基础我从实践深认为这个责任分担可以从以下两点考虑。第一，如果客户取款的时候提供了银行所需的必要材料，银行也不能提供相反的证据证明客户对存款持有过错，那客户举证责任到此完成，银行需要无条件向客户支付同等数额的钱款和约定的利息，至于以前的该笔存款的去向可以在所不问。第二，如果客户取款的时候不能提供银行所需的材料，银行有权拒绝客户的要求，如果客户存款丢失了，可以考虑存款丢失不能提供材料，可以推定有一种关系，推定客户对于存款的丢失存在一种过错，至于这种过错的责任大小还有责任的承担还要根据银行提供的相关自行免责的证据来判断。 　　我就是这些观点。 　  李明奇：感谢陈律师。下面进入自由讨论及记者提问阶段。 　　徐绪辉：关于视为本人交易我补充一点，究竟这个钱对于银行来说究竟是被他人盗取的还是自己取走的，你自己授权他人取走的，我们确定被盗取的时候等于事实明确了，银行发现你的帐户资金是没有了，资金被谁取走了不管，只要用密码取走的。因为储蓄管理条例有一条叫做存款自愿取款自由，你用密码取走视为本人交易，某种意义上来说，这条并不是一定是对客户不利的，它是为了保障客户的取款自由的实现，这一条并没有错。视为本人交易，是不是本人交易这是一个事实，事实是不能够被视为的，视为本人交易只是一种推定，但事实本身是不能改变的，是不是他本人交易，是就是，不是就不是，不能视为的。当客户证明确实这个卡没有动，我从来没有用过卡，比如我人这几天都在北京，这个钱在云南西藏被取走的，这个时候不用我去举证了，视为我本人交易，实际不是我本人交易，银行不能说再因为有密码的交易视为本人交易。视为本人交易的前提有一个，卡，银行用这一条失去了它的前提。根据《侵权法》对客户有利，不是《合同法》一定对客户不利，规定有这个合理性，未必对客户不利，为了保障取款自由。这仅仅是推定客户交易，如果有时是相反证明不是他本人交易，银行应该给他钱。如果这个密码被盗客户是有责任的，这个时候确实应当承担一部分责任，因为卡即使被复制了，没有密码也取不走钱。假如密码被盗是因为银行在摄象头里面被别人安装了窃取信息的设备，那么这时候所有的责任都在银行那边。 　　朱巍：你怎么证明这个卡不是你本人，我人在北京，把卡邮到西藏了，人卡分离了。你怎么证明？ 　　徐绪辉：责任要跟义务成正比，我们前面提到柜台取现的时候要审核身份证的，持卡消费的时候要有签名，如果这个签名是虚无的必须提示客户，没有提示不是我本人的签名。唯一在ATM机取现，既不用审核身份证也不用签名，也不要求你的生理人相识别系统，究竟法律在这里安装ATM机安装摄象头仅仅是为了保护我自己或者给公安机关提供一个侦查的便利还是说为银行设置了一个义务，你必须证明取款是它本人的，它这个时候不是他本人。同样对它的录像保存时间多长是不是应该有一个法律规定，同时在这个规定内设置一个除置期间，法律规定是六个月，客户应该在六个月内向银行主张这个权利被侵犯了，过了这个时间设置一个除置期间。ATM机的问题更难解决问题，持卡消费好解决一点。 　　宋泓均：如果没有案例支持，法院这些判断都是一种主观的。首先要有一个案例支持，人在北京，我把卡给一个人到西藏取现，之后到北京报案。内盗、外盗、内外勾结，就这三种方式，有人就敢报假案，而且我在刑警队干了很长时间，报假案的人还很多，感觉公安机关的智商不如他高。在这个案子里面牵扯到第三个不会说话的机器，一个是真案一个是假案，假案的时候律师怎么去辩，真案的时候怎么去辩，机器无法辨识，作为证据来说无法证实它的行为能力，也无法证实银行的行为能力，也无法证实持卡人的行为，不知道哪个是错的。这是一个问题。 　　李肖霖：每次交易的时候在我的卡里面回写，我的卡的数据是变化的，如果这个卡拿到西藏交易，会在西藏那一台编号的ATM机上有一笔回写记录，这个时候你是可以证明的，但这个回写的东西如果有读卡器有计算机知识可以把回写的记录擦掉，这是可以做到的，但是这一点必须内外勾结。我在那儿交易的时候别人盗窃了我的信息，他做的卡只要和我没有连通他是取不了的，他无法犯罪的，回写这个功能我觉得可以很大程度上保护。 　　宋泓均：有两个关联点，一个是报案这个地方相关的关联关系，还有一个是出案的地方，比如西藏那台机器的关联点，再加上利害关系、因果关系、排他关系、综合关系，一下子就清出来了，人都是可以划差不多的。这里面牵扯到刑事调查费，谁来出这个钱的问题。 　　朱巍：举证责任到底在谁？第一储户，第二银行，第三刑事调查机关。 　　李肖霖：这个举证责任具体个案具体分析，任老师提出来储户必须证明自己计算机系统里面自己的信息被盗，这个储户是证明不了的，没法证明，也没这个设备，根本接触不了这个设备，就是有电脑知识都不可能让你进去看。在这个问题上举证责任必须是银行。你这个卡没有寄到新疆去你必须付有举证责任，如果有复写记录，这个卡最后一笔交易是我在北京做的，银行那笔交易和我这个卡无关，那说明银行那个机器里面插的卡绝对不是我这个卡，我这个是真卡，那个是假卡。举证责任是要根据个案的情况来分析到底归谁。不能单纯以谁主张谁举证来规定。 　　宋泓均：证据层是哪个层面的证据，还有相关点，把这个问题搞清楚。 　　徐绪辉：银行为什么来举证责任，案件侦破之前必须银行先把债权人的钱还了。密码视为本人交易这只是对事实的推定，当我证明我是人在北京我没去过西藏，这样的情况下就不是我本人交易，不是我本人交易的情况下为什么把钱给出去了，未必就只有你本人才可以，你可以授权给他人。这时候普通的授权要看授权委托书，这时候的授权我卡是否给到他，密码是否给到他，这个时候如果我能证明我的卡确实在北京，你如何证明我的授权给了他？我既不是我本人交易，也不能证明我授权给到别人，那银行为什么有什么理由不把这个钱还给我？ 　　李肖霖：假定我们俩勾结我把我的卡原样复制一个，把我的密码告诉你，我这个卡上什么记录都不会写，同样可以做到。 　　宋泓均：门没有锁或者门是一个虚锁，我们怎么样再加锁，就是两位专家的意见，怎么样再设置一些新的技术屏障来保障我们的个人和银行的信息安全问题。 　　大唐软件公司：我们在电信行业一直从事软件研究的行业，我们从电信的角度谈谈对这个问题的看法。密码作为银行去宽主要识别的手段被窃取的途径太多了，从几个主要的方式来看怎么能够把这个门所好或者把钥匙变得更难复制。从网络层面在银行的角度对这个核心网这块各种手段做得很完善，相信这块应该是该想到都想到了。但是从接入层面，比如一个超市或者一个商场的POS终端接入刷卡信息到数据到光纤到EWON这段路径泄密的可能性非常大，对接入网的管理在电信方面也是一个难题。在电信方面是难题，对于金融界一样也是难题，金融界更多是租用电信的线路做这方面的事情。刚才提到生物信息加密的措施，唯一的信息是很好的办法，但是任何一个事物，一个是投资回报比，一个是效率问题。你原来的线路上可能加载的只是银行信息，但是加载了更多的视频或者图象信息或者指纹信息来计算的话，对你线路的投资对计算设备的投资可能也是另外一方面考虑。不是唯一的手段就能把所有的事情解决，短信回复也是很好的方法，但是它对消费者对银行持有这个卡享受这种服务额外要支付一些这方面的信息服务费用。任何事物要多种手段供他选择，一方面对密码唯一性手段的确认，一方面各种手段的灵活配置和选择。刚才谈到生物信息，比如在超市里面排队你在刷卡，简单刷一下卡的信息的时间要比对一下眼神，是不是身份证信息匹配，效率和时间上的方便性又有一定的区别。不同手段不能唯一来定，根据不同情况多种手段选择。针对终端的多重加密的方法也可能是比较好的一种方式，从技术角度谈这些观点。 　　宋泓均：前年我们苏宁副行长签署命令，到中央台做了一个专访，全国的储蓄网点在大额取现用身份证，和公安部的身份证网联到一起。短短三个月抓了几十起冒领案，基本上现在全国在五万块钱以上的取现没有问题了，没有人敢去，小偷都不敢去，彻底堵住了。用了很简单的技术，你的身份证号只要一读，互联网上你的信息就出来了，你的照片就出来了，你的第二代身份证照片和你的照片是不是一样。现在基本没人敢去冒领了。 　　余强灵：多了一种防护措施。 　　李肖霖：指纹识别现在已经非常非常普及了，价钱非常低。 　　宋泓均：要不了五块钱，三五块钱放到信用卡里面解决了，而且第二代身份证一张照片还留了一个指纹区间。 朱巍：关于对现有银行卡的改造成本考量，我们应该参考一下汉德公式，汉德是美国的一个法官，他处理一个很有意思的案件的时候，创设了汉德公式。案件是，一个工厂的废气厂里面都是水，形成了一个表面很美的水塘，一个小孩扑通跳到水里面游泳，结果水下面全是钢条，孩子就当场被钢条插死了。汉泽法官考量该废弃工厂管理人责任的时候提出，考虑工厂到底有没有责任把旁边拦上护栏以防有人受伤呢？首先考虑，如果安上护栏的成本是多少，然后再与若是有人受到侵害时候造成的损害成本有多高，如果前者远远高于后者的话，那么工厂没有安装护栏是有情可原的，但是如果后者远远高于前者的话，那么工厂管理人就应该安装相应的防护措施，否则就应该承担责任。 同样道理，如果按照宋老师的意思，只要花五块钱就可以避免银行卡纠纷的话，那我们这个法官和法律界技术界就应该去做，如果需要超级多的成本去加固银行卡的话，和很小比例的纠纷相比，可能就没那么大需要去改进银行卡安全系统了。 　　宋泓均：每一张信用卡上顶多加个三五块钱，这么大成本就能把我们原来的问题全部解决了，这是银行可以承担得了的。我们的指纹技术搞完以后，我的老师到美国开会，结果连人带技术都不让走了，老婆孩子可以过来。这个技术很多部分还是我的，我是学生，他是老师，这是九几年的事。现在完全民用化了，现在几块钱就能解决。 　　李开发：虽然指纹技术以及很多技术都有用，那个发生在终端的事情可能用这种方法来解决，但是终端的事情还有不能解决的。你说你取款机有摄象头，这人能不能整容，比如现在有那种做人脸模型做成某个人的。 　　李肖霖：整容没有用。摄像设备后面跟踪的是脸形识别的话，根据你的两个瞳据还有特征点，你怎么整容都变不了，不可能把两个眼睛给拉开，做不到的。 　　李开发：戴着墨镜能不能取，光线不亮能不能取？刚才这个说法当中，人家盗取信息以后在中途的网上转帐，你是没办法防护的，因为所有的数据就是一个数据，既然人家把数据盗取了，把这个帐转走了。 　　宋泓均：现在网上数据挖掘和追踪都是古老的技术，现在非常厉害，我们的数据中心信息监测中心专门干这个，一天转几百次帐就盯上你，根本跑不了。陈水扁转了多少次，证据全出来了，只要上了网，你不是现金跑到哪儿都能弄回来。 　　李开发：最多很多案例钱转到国外的网站上分解了。 　　宋泓均：全能找回来。一个是国际网银，另外国外的税务警察和刑事警察有专门干这个的，我们国家还没有。 　　余强灵：现在讨论的问题分成两个层面来讨论，一个是法律层面在讨论，法律层面就是刚才很多律师都在法律层面来讨论，这个问题比较难以界定。这也不是该判你怎么样，该判他怎么样，这个不是今天马上能够解决的问题。这是第一个观点，这个东西要多方面去努力，多方面去探讨，最后在法律关系上怎么样把这个东西做得更完善更完美，既能保护银行的利益，也能保护持卡人或者是存款人的利益。这是非常难以解决的问题，因为情况是千变万化的，你说的情况都有可能出现，但是有一个概率，大多数的概率是什么。现在很多人把钱丢掉了，总不会都是那我把钱转给他，让他去取款，最后我又去告银行我这个钱丢掉了，你得赔我的钱。概率对大多数人或者绝大多数人都是一个真正的受害者，从法律层面上应该考虑这个问题不是说绝对的照顾某一个特殊的情况，而是照顾绝大多数的情况。这类事情进行规范性调整，最后以法律的东西既能在总体上保证银行的利益，也能保证储户的利益。这是法律层面上应该讨论的问题，而不是说就个别案例来讨论。 　　宋泓均：案例太少，根本不可能讨论法律。人治是法制的基础，法制是人治的规范。 　　余强灵：我们今天再讨论十天八天我们都不可能把这个法律的问题完全讨论清楚，这是从法律层面来讲。第二个问题，我觉得我们是从银行实用的信息安全防护这个系统来说，它有没有漏洞的问题。应不应该在专业层面上做更多的工作来保证信息的安全，这是我们从银行角度来考虑的应不应该做的事情或者怎么来做这个事情。刚才提到比如指纹都是从这个层面来讲的，从这个层面上来讲我觉得银行应该仔细去把整个系统都捋一遍，到底银行在哪些地方有漏洞，哪些地方的漏洞用什么方法克服来解决。这个最基本的东西就是银行保证自己的信息系统安全是一个战略性的东西，而不是一个战术性的东西。我们现在讲的都是银行转帐问题，更多的信息是语音上的行为，而语音通信系统没有一个对它有安全防护的能力，可以讲百分之百不管你是专网还是什么网，现在都没有办法保证你的语音不被人窃取。如果那个是转帐这个是小偷，语音窃取下来关键时刻就是大盗，这种是战略性的东西，为这种战略性的东西银行必须引起足够重视。我现在可以这么讲，如果说我们现在依托于公网依托于现在的模式更不用讲手机了，手机都是明的了，以现在的通信模式绝对没有办法保证你的语音不被窃取。从战略上考虑怎么样保证你的信息系统是安全的，其中最重要的包括语音当然也包括数据，因为数据如果在整体上国家的数据大的数据那就是国家的经济命脉，这个层面上应该来说不只是取暖的问题，从银行角度应该深思自己的系统是否安全。如果从法律层面来讲怎么保护我们的持卡人或者是储户的权益问题，这个是两个层面的东西。这两个层面都设计到了，都需要把这两个层面应该很好地去思考这个问题。作为法律的研究者怎么样使我们法律制订最后的结果能够使大多数情况之下都能够保证它是有益的，既对银行有保护也对持卡人保护，这个是法律上容易做得到的。不要老是想一个法律把所有的情况都包括进去，什么东西不可能百分之百的人都含在里面，百分之百的案例都能包含的，它只能就大多数情况是正确的。 　　宋泓均：关键还是一个新技术的使用和新设备的使用问题，语音技术我们20年前就解决了，我们用视频不就解决了吗，用视频开关就能把所有的问题全部解决，视频等级开关。我就面对面，而且有几个特征我们上下都可以。另外卫星和数据，现在人民银行传输原来两个卫星来交换，还有一个备份中心在无锡，根本不在北京，在北京还有一个更大的备份中心做数据安全的交换。这种东西不会对社会公布的。 　　余强灵：你讲的东西，传输过程当中的信息被窃取，而你是没有感觉的。 　　宋泓均：现在是人工的土的，还有洋的，还有线路的，还有加密的，几个数要对到一块儿，这个屏幕上要出现这一溜东西才行。 　　余强灵：你们这些东西都可以，但是我和杜老师的看法是，我在上面拿一个东西就能把你的信息接收下来，我接收看这个东西的时候跟你那个一点都搞不清楚我在这儿接收，就像手机有窃听的，你跟他打手机另外一个人能听到你们之间所有的讲话，一样的道理。在你们之间你认为信息是安全的，实际被人弄走了，你还不知道。这是最大的问题，这个问题不解决最终发生一个很大很大的事件都不知道怎么产生的。 　　任伊珊：整个金融系统的安全问题。 　　徐绪辉：刚才我们大家都谈到在外地交易，我可能把卡寄给他，把密码告诉他，我又去报案。反过来说这个钱丢了，我们为什么不推定银行出了假钞都是客户的，为什么不推定银行故意没有被人领走了。本人交易、授权交易，如果银行不能证明授权交易还有一个就是过错，你既然是真实的卡有真实的密码，我不管是不是本人交易还是授权交易，即使不能够用本人交易和授权交易的理论说不给你钱，用过错的方式，银行没有过错，这种并不要紧。也就是说这种情况客户还是要自己承担责任，我们现在恰恰应该给银行，你必须要证明这个是我本人交易或者我授权的交易，授权交易必须给他卡，密码是真实的。 　　宋泓均：如果认定问题好半，那就非常清楚了。认不了。 　　徐绪辉：卡在我这里，如果证明在西藏交易也是支持的卡，那我的卡在这里。 　　宋泓均：如果我知道你的卡我的所有信息再做一张卡，让你的卡作废我就把钱取了，你这个卡不管用了，这是内盗。外盗就是刚才说的情况，你把卡给了别人到了西藏把钱取了，然后说我被盗了。我把卡给你，你用读卡器读出来复制完全一样的卡到那边取，我告诉你被盗。很多行为只能推论。 　　主持人：我们的自由讨论时间结束了，我们把时间留给各位记者提问。 　　《中国经济周刊》：请问一下两位专家，我们今天讨论了很多不管是指纹还是影像识别都是未实施的技术，作为一个储户或者一个持卡人我可以做什么来防范自己的卡信息被盗，还是无能为力只能面对自己卡的信息不知道哪一天突然遗失了？ 　　余强灵：肯定是无能为力的。 朱巍：关于银行的摄像系统，最近出了一个真实的案子。一个女士的钱丢了之后找到银行，银行从监控录像查出来了，录像当中她的卡是红颜色的，而她的卡实际则应该是蓝颜色的，这说明冒领人使用的是伪造的卡提款的，因此，银行应该负有责任。所以，当我们银行卡发生异常的时候，一定要把录像调出来，用录像判断责任的归属，或者过错的判断。 余强灵：TCM EWON的线路是一发一收的，如果光发不收，我就能够把所有的信息收下来。你什么感觉都没有。不要觉得我是专网，那都是自己的感觉。专业角度来讲这个是毫不费力气的，因为TCM EWON的针结构都是固定的，你用什么设备同样用一个设备并在上面，只收不发，你什么感觉都没有，我发你有感觉，我收你没什么感觉。就像收音机一千个收音机在收，你知道谁在收？不知道。 　　大家对专网有误区，认为专网就是安全的，实际根本不是这回事。专网只是公网里面的一个部分，这个公网是不设安全防护的。 　　第二个重要问题，现在加密的问题，加密问题不能说加密不好不对，没有作用，不是这个概念。数字计算机加密到了现在这个程度，当初美国定数据加密标准，在当初建立的时候计算机要用一千年的时间才能算出来，到了1999年当时比较好的计算机20多分钟就全部解出来了，要有这个概念。现在计算机的发展可以把所有的东西都做成一个批处理文件，然后在那儿运行。我为什么说可识别性非常重要，只要运行了这个东西一出现就锁死它了，任何东西有一个可操作性、限定性。计算机加密基本是TCP、ICP的加密方式是固定的，就是一个分组加密的方式，大家都在64比特或者128比特，大家搞银行的人都知道该怎么做，把所有加密的这种可能性统统用批处理文件来做，做完以后一旦出现什么什么东西，比如你是字符，字符一旦出现是正确的我就认为是对的，剩下字符就是什么概念了。 　　朱巍：我们今天听到的不是耸人听闻，这是中国顶级专家这么说，我们听可以这么听，我们看的话要看《越狱》里面第三季怎么把卡盗出来的，靠近你身边的信息就盗下来了。 　　《东方早报》：刚才专家提到我们现在中国信用卡用户已经达到17亿，大概每年有多少例信用卡被盗的现象？诉诸比例的有多少例，胜诉的比例有多少？诉诸法律都败诉的话，作为普通的消费者如果想跟银行对簿公堂的话应该采取什么措施提高我的胜诉率？ 　　刚才专家提到生物方面指纹识别的新技术，这些技术在银行卡有推广吗，已经开始逐步推广还是仅仅停留在理论研讨或者纸上谈兵的阶段？ 　　朱巍：并不是银行同时发了17亿张卡，这个数字是银行历史的发卡总量。相关案件拿广东举例，进入21世纪以后，此类案件纠纷一共是三千多万，而且还呈上升趋势。银行告储户的多，储户告银行的也有。比如“何鹏案”，银行的错误导致银行卡发生问题，而反过来让储户承担责任，是不是公平？很多很深刻的问题，现在没办法深刻解决这个问题。 　　宋泓均：硬件非常成熟了，这些技术像指纹技术现在将近20年了，人脸识别技术已经非常成熟，运用到社会，奥运会已经用了。外国人现在都在进口我们的这些技术。 　　信用卡取现只有两万块钱，和大额取现还不是一码事，大额取现要公安部身份证，拿这儿一放人脸还有你的信息全部调出来了，本人照片、身份证还有计算机信息三对照，这个根本没有花钱就是人民银行和公安部的一个协议，允许做一个接口，跟网银都是联起来的，大家可以试一下。五万块钱以上让你身份证复音一下，照片直接调出来，不是你的根本取不出来。 　　在ATM机上，反洗钱信息监测中心控制，1万美元、20万人民币，只要到这个口上老百姓是五万人民币都要报告的，到了20万人民币自动生成报告系统就走了。不是计算机怎么怎么样，全都能跟得上，数据挖掘都是通着的，而且美国硅谷除了印度人就是中国人。印度的德里大学学计算机的也都是中国人，我儿子就在那儿。 　　余强灵：作为银行系统来讲也应该研究一下。 　　宋泓均：计算机的安全技术和计算机的犯罪技术和计算机安全防范技术是三个学科，三个学科都学会不可能，我们只能通过案例来支撑，我们用计算机安全技术来提炼出来计算机新的防范技术，这样才行，不一个模式干成的事，而是一群博士都不一定能干完的事。 　　《法制日报》：刚才徐老师一直在说银行要把我们的卡做成唯一，可不可能把银行卡做成唯一？我是唯一的，除非现在我们有一个克隆技术把我克隆出来，这个卡我们可不可以做成唯一？如果银行卡做成唯一它的成本有多高？ 　　法律层面，进入诉讼这么多的案子，我们最大的法律障碍在哪里？ 　　余强灵：我不做卡，从技术角度没有做不到的事情，理论上应该是这样的。就是你花多大的成本来做，你这个成本值不值得花，这就是一个经济社会的问题。一百块钱人民币有仿的，但是毕竟仿出来的结果不是真的，我们有很多防伪技术，有多重防伪技术在里面。你的卡为什么不可以做多重防伪技术？一样的道理。要把它变成产品需要投入需要研发，第二持卡人如果说花一千块钱买这样的卡你愿意不愿意？这是一个经济上的问题。这是两个层面的问题，不是说技术上达不到，而是这个东西做出来它的实用性怎么样，能不能推向社会。 　　《法制日报》：通过今天的讨论每个人如果听到今天讨论的话肯定有一种担心，我的卡不经意使用当中信息流失出去，我的卡一直处于不安全的状态，如果能达到唯一的技术水平技术手段的话，我可能才放心。 　　余强灵：这个要银行部门来投入，投入的最后向社会推出来的时候它的价格是多少。我现在一个卡五块钱或者十块钱，假设你现在要求持卡人必须付一千块钱才能买这个卡，就是这两种关系。要么你出钱买，要么银行出钱来制。这个东西是不是能推得开，这么大数量的储户用卡，你要完全做到每个卡都有它的唯一性，这个是不容易的，这是很难做得到的。技术上不是不能做到，而是很难实现的。 　　李开发：第一条你要做成一个卡片或者什么包括它的芯片技术，有更复杂的识别系统让我们现在最简单的卡就是一个小磁太，特别便宜，只要哪个地方一个门禁一刷说不定人家贴了一个小条，很容易漏掉。我们要完整的个人持有系统，另外要有完整的科学的传输系统，因为个人持有的系统反映的都是数据。图象、数据或者密码存在里面，我们的传输层面必须安全。如果传输层面不安全的话，依靠这个东西可以把原卡复制出一套来，这里也不安全。实际上我认为是两个方面，一个是信息系统本身在制作和加密过程中如何让它更具有安全性，另外传输系统如何更具有安全性。 　　余强灵：其实不是那么悬乎，你的指纹、特征信息在一张卡里面出现，这就是唯一性，这个是能做到的，这个没有什么特别做不到的。每个人买卡的时候把指纹、相片给了他，他去把这个东西变成一个文件，把这个文件放到卡里面，这就实现了。如果每个储户出来的问题都要赔付，他就得作为。 　　杜森：今天大家讨论半天，银行款项的丢失无外乎从四个方面丢失，一个卡体本身被人复制，一个是操作，你在操作的时候被人家盗走，还有你的信号在传输的时候丢失，还有从网络。我估计大概就是这四个方面，从网络入侵以后大概就这四个方面。现在解决从四个方面统统解决，按照毛主席的观点，先打分散孤立之敌，什么东西先容易解决就先解决，什么东西我听听看是比较，就是现在大家不怎么太重视的就是传输接入，这一点把你的信号很容易弄走，这部分解决首先这点我就放心了，或者放心一部分。再接下来解决卡体，随着技术的发展并不是很困难，比如指纹信息打密码的时候大拇指按一个地方就完了。还有回写技术。最简单的你用一次以后你在那个码上做一个运算，这个运算是保密的是不知道的或者每天可以改的，135是多少246是多少。这个东西百分之百的防很难，但是把这个概率减少一点，十个里面就能逮住九个就差不多了。 朱巍：诉讼过程当中最大的法律障碍就是债权准债务人的清偿视为对债权人的清偿，也就是说如果银行没有过失的话，银行是不承担赔偿储户责任的。如果一个人的卡里钱被盗，首先要看银行是不是完全按照付款程序处理的，看看冒领人是否有签名，是否短信没有看到，是否利用假身份证等等，如果银行都做到了注意义务，那么银行在这个层面上就免责了。下一步，银行就是要配合储户提供摄像所有相关的资料，找到冒领人。此时储户就应该提起侵权之诉，要求把非法的损失向冒领人，即债权准占有人要回来。 此外，很重要的一点就是，债权准占有人得到这笔非法不当得利不适用于善意取得制度，也不适用时效占有制度。 　　《法制日报》：完全没有过错责任的情况下是不是有一种银行有义务把我的存款保证存款安全？ 朱巍：银行不能承受之重。如果把银行责任加到无过错责任这种程度的话，这个交易成本就太大了。这会导致银行会大幅度增加储蓄和办理银行卡的成本，过高的成本就会导致谁都不会在银行里面存钱了，这种情况下，银行不但不会给你利息，他还会跟你要钱。 法律是善良和公正的艺术，首先善良放在前面，善良中包含着很多东西，其中有公共利益在里面。银行毕竟是老百姓存钱的地方，存钱之后还可以得到利息。如果真的把银行苛责到这种程度，银行就要大量增加法律顾问来应对各种苛责，每天应付打官司。这是大家不愿意看到的，这是银行不能承受之重。 　　杜森：法律是道德第一还是法律第一， 　　朱巍：法律是最低等级的道德。 　　杜森：你到医院做手术，大夫拿着一大堆这不负责那不负责，二三十项，让你签字。你签了字，那个大夫一定要避免这些东西，那是他的道德，但是如果一旦出现他是不负责的。 　　朱巍：医疗责任已经规定到我国的《侵权责任法草案（二审稿）》之中，您可以看一看。 　　徐绪辉：免除自己责任，加重对方责任或者排除对方主要权利的这样的免责即使签了也没用，这种约定是没有效的，法律不认可它的效力。 　　杜森：盗窃、反盗窃总是一点点往上爬的，银行用什么方法约束它最大限度的他努力防止这些东西，这个有没有什么方法衡量？ 　　徐绪辉：对视为本人交易的理解，确实有保护取款自由这一条，同时我有证据证明不是我本人交易，必须证明是我授权的交易，如果又不是我本人交易，拿不出证据证明是我本人交易，不能证明我是授权交易，这个时候我的债权应该实现。 　　提问：银行把技术手段放上去投入几十亿，不投入技术手段面对的诉讼也就几百万，怎么避免银行的逆向选择问题？ 　　宋泓均：花不了多少钱，已经非常非常便宜了。 　　余强灵：持卡人现在利益损失了，得不到赔偿，法律现在是要解决应该得到赔偿，你现在告银行基本上没有赢的，可以这么说。 　　宋泓均：现在我们要向外国学习，银行储蓄保险有一个公司来专门解决这些问题，先赔了之后再说。不管赔银行业好，赔个人也好，赔完以后再说，由各家银行做保险准备金交过来，这就像撞车一样，你撞我我撞你，谁也不赔谁，保险公司来协调。 　　朱巍：哈哈，那么所有储户也得交强险。 　　宋泓均：这个交得很少，一般的小偷二般的小偷根本达不到这个水平，这都是最起码有各大学毕业才能达到这个水平，所以说白领犯罪是将来困扰我们很长时间的事。 　　余强灵：将来最大的问题就是战略上的问题，我拿一个东西在传输的线路可能有20个结点，这20个结点都曝露在外面，这20个结点都有可能在接收你的信号。 　　提问：关于银行资金安全方面国外有没有好的例子可以学习的？ 　　朱巍：有个有意思的案子，就是英国伦敦郊区的一个提款机坏了，可以无限吐钱。结果整条街的人都去排队取款。结果是银行没去告这些人，而自己承担了损失。这是因为，银行认为自己有错，提款机坏了不能怪大家，银行做出保证，实在不好意思，让大家犯了道德上的污点。这是英国银行勇于承担社会责任的最好体现。 　　主持人：请著名经济学家、法律学者、中国经济名家讲坛副理事长、中国管理科学研究院研究员李开发老师做会议总结。 　　李开发：我不敢说给各位专家的会议做个总结，今天这个会议讨论得非常有意义，总算很专题的把许多问题讨论得很清楚，把解决问题的方向经过讨论以后大家也感觉至少关注点集中到一个点上去了。在今天这个会议的时候我说我没有能力来为大家做一个总结，今天这个会议从技术层面来说有两位技术权威专家，从法律专家来说，这次讨论的东西涉及到债权法、合同法、消费者权益保护法、证据法、侵权方面的法规，虽然案例是这类，但是涉及到的法律层面很宽，各位专家谈的很深。我就法和经济结合谈几点个人想法。 　　第一，什么时候每个人不能被证明，最近信息时代很多新词出现，被就业、被工作，我们现在需要被证明，最近两年爆出来几个典型案例，一个案例是河北省聂树斌不能证明他那天晚上在这个村里面到哪里去了，一个女孩子死掉了被强奸了，把他抓到牢房里面去，这是一个案例。第二个案例，湖北省佘祥林，一具女尸跟她的老婆很相似，找不到最终的杀人犯，他具有这个嫌疑，审判过程当中不能证明自己，被关到牢里面去，十几年后这个女的跳出来好好的，只能把他放出来。我有没有误操作把我的银行号码透露出来，或者丢了，或者我跟人家合谋作案诈骗银行。如果你不能证明，那你的款项丢失了没有得到保证，被证明的空间对我们每个人来说其实都是一种不公平，因为我们确实没有办法时时刻刻让自己处在一种被证明状态之下，存在阳光之下，存在摄像灯之下，你晚上在外逛街没有犯罪，旁边一个什么事情跟你没关系。没有办法证明这一点，这也是法律层面要解决的问题，但是总是需要我们个人来证明自己其实也是一种不公平的，从法律上来讲。 　　第二，对今天讨论的案例我比较倾向于《消费者权益保护法》，因为银行是经营者，经营者要是自己的产品没有过失处在很安全的保护当中，因为它提供这种服务，就像制药厂制这个药的时候知道它有什么副作用，如果我不能避免这种产品的副作用这个产品不能出厂，如果出厂一定要提醒。我银行提供了柜员机上消费的银行卡，银行本身必须没有过失才行。今天几位专家在这里讨论，我们知道银行的加密手段是简单的，银行目前的磁条信息系统特别容易被窃，特别在整个传输网络上面非常不安全，信息通过几十万乃至全国各地的结点很有可能丢失，很有可能被复制，而且我们无法察觉。今天的讨论我比较偏向用《消费者权益保护法》来首先要求银行自己证明自己的系统在安全上有了充分的努力和保障。 　　第三，从操作层面来看，刚才央行的宋教授提出很多安全新措施，其实操作层面应该是两块，一个是计算机安全操作层面，一个是传输层次。操作层面是一种安全防范，但是传输层次目前来说操作层面是十多年来国家投入几百亿乃至上千亿更多资金，网上就用这种国际标准的专业设备，也就是说这个国际标准的专业设备只能用同一种方式来传输，这种方式非常容易被窃取信息。我们建议银行系统首先在传输层面改变这种模式，使更多的方式保护传输安全，另外使我们的银行卡程序操作系统得到保护，能不能有一个读卡的回写系统，识别谁是真卡谁是伪卡。 　　第四，今天是一个信息社会，信息安全应该说不仅对整个经济安全、国防安全，实际上还涉及到每个个人的财产安全。我认为全社会必须特别重视信息安全这项工作，因为每个人老是处在被证明的状态，而完成被证明很难，我们就要想办法使自己被证明，怎么样管好自己的银行卡，管好自己的密码，在取款的时候注意有没有盗窃号码的磁条，有没有假的摄象头。当你输入密码的时候有没有防范系统，这个也是一种自我保护。希望银行从管理和传输方面加强自己的工作，希望经过全社会消费者的努力、经营者的努力，共同来为信息安全为我们整个银行卡的安全做出贡献，希望以后这类银行卡案件越来越少。 　　谢谢大家！ 　　主持人：感谢李老师的精彩发言，各位嘉宾、各位记者，经过今天下午三个多小时的精彩讨论，我们的会议到此结束，感谢大家的光临，下次会议再见！      （责任编辑：李培华）   　　　【关闭窗口】   论银行卡帐户资金被盗取的法律责任 史际春  应对国际金融危机的法治思考 高富平  中国社会转型的困境和问题 张新文等  基金管理公司退出机制研究 杨东  日本投资者保护立法理念的最新发展 张颖  基于《物权法》的投资者权益保护 “应对金融危机 构筑亚洲金融市场新秩序”会议录