随着互联网的高速发展，网上银行突破了传统银行的局限性，成为银行服务的新渠道，使得商业银行等金融机构可以通过互联网向客户发布金融信息和提供各种金融交易服务。但是由于某些不确定性因素的存在，使得网上银行存在安全风险，银行和客户的资金有遭受损失的可能性。本案即是一起关于网上银行操作中错误绑定手机号码导致动态密码泄露所引发的存款合同纠纷案。

基本案情

原告张化于2011年12月13日上午在被告A银行承化街支行办理了“轻松理财知性卡”一张，并开通了“及时语短信通知服务”及“个人网上银行”业务，设置了手机动态密码通知，银行同时进行了相关的风险提示。2011年12月14日，原告在被告处办理了修改通知手机号码业务。同日，原告向卡内汇入现金40万元。2011年12月15日，原告的存款被他人分6次通过网上交易转出总共19.99万元。原告认为他人利用其银行卡号从被告处转账，应由被告承担不利后果，故诉至法院。诉讼过程中，原告称其在开通个人网上银行业务时，动态密码通知手机号为他人电话号码，并认为被告的短信通知不及时导致其遭受重大损失。

该案经XX区法院审理认为：原告在被告处开立账户后，被告向原告交付了银行卡，原、被告双方储蓄存款合同已经成立，双方均应按合同约定履行自己的义务。被告依约为原告开通了及时语短信通知服务、个人网上银行等业务。在开户资料中，被告亦对原告进行了相关的风险提示，明确告知原告查询密码、交易密码、动态密码、数字证书等任何时候不可泄露给他人，通知手机号码不可设为他人手机号码。但原告2011年12月13日在被告处办卡时预留的动态密码通知手机号码是他人的，在实际网上业务操作中，动态密码是通过预留的手机号码进行接收，原告的这一设置为他人知晓动态密码提供了可能。原告虽于2011年12月14日修改了通知手机号码，但银行系统交易流水中显示该卡于2011年12月13日23时左右在网上设置了6笔动态密码版定期划转业务，这6笔业务的交易金额与2011年12月15日的实际6笔交易金额一致，以上表明本案所涉银行卡的6笔交易均是原告修改通知密码前通过个人网银设定的划转业务进入自动交易系统完成交易的，私人密码的使用表明交易是在保密状态下进行的，原告亦无证据证明被告在网上银行操作系统存在问题，原告应对自己的不谨慎行为承担责任。原告认可在2011年12月15日早上8时收到被告的及时语短息通知，按合同约定“及时语”短信接收时段是在8：00～23：00，因此被告并不存在迟延通知的违约行为。故原告要求被告返还存款19.99万元，并赔偿损失10000元及交通费1000元的诉讼请求，理由不足，证据不充分，本院不予支持。依据《中华人民共和国合同法》第六十条第一款，《中华人民共和国民事诉讼法》第六十四条第一款的规定，判决如下：（一）驳回原告的诉讼请求；（二）案件受理费4450元，由原告负担。

争议焦点

存款被盗取的过错认定

原告认为，原告在被告A银行承化街支行办理了一张“轻松理财知性卡”，并向卡内存款两笔共计40万元，二者之间形成了储蓄合同关系，他人利用原告的银行卡号从被告处转账，应由被告承担不利后果，被告应当立即返还原告的存款。

被告认为，原告在开通网上银行业务及办理网上银行业务时被告进行了相关的风险提示，在19.99万元转出过程中，被告无过错，不应当承担返还责任。

根据《中华人民共和国合同法》第六十条的规定：“当事人应当按照约定全面履行自己的义务。当事人应当遵循诚实信用原则，根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。”本案中，原被告之间为储蓄合同关系。被告A银行承化街支行及时为原告开通了及时语短信通知服务、个人网上银行等业务，在开户资料中，被告亦对原告进行了相关的风险提示，明确告知原告查询密码、交易密码、动态密码、数字证书等任何时候不可泄露给他人，通知手机号码不可设为他人手机号码。由此可以看出，被告已依法全面履行了通知、协助、保密等义务，在合同的履行过程中并不存在过错。因此，根据上述《中华人民共和国合同法》第一百零七条的规定，当事人一方不履行合同或者履行合同不符合规定的，应当承担违约责任。被告A银行承化街支行已经依约合法履行了合同义务，因此，无需承担违约责任。相反，原告在被告进行了风险提示后，依然将预留的动态密码通知手机号码设定为他人手机号码，明知有风险而故意为之，原告的这一设置为他人盗取动态密码提供了可能，其本身存在过错。

又依据中国银监会《电子银行业务管理办法》第八十九条的规定：“金融机构在提供电子银行服务时，因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的，金融机构应当承担相应责任。”本案中，被告A银行承化街支行并不存在电子银行系统安全隐患、内部违规操作等过错，原告亦无证据证明。此次纠纷的造成是由于客户自身的原因，导致动态密码被违法分子使用，造成损失，故依据上述法条的规定，客户自身对此存在过错，被告无需为此承担责任。

取款后延迟通知的责任

在诉讼过程中，原告称被告于2011年12月15日早上8时左右通过及时语短信通知其有6笔网上转账记录，原告认为在存款被盗8小时后其才收到被告的短信通知，让其失去最佳的报案时机和应对措施，造成重大损失。本案中，原告的银行卡在2011年12月13日晚23：25～23：32期间通过网上银行交易约定了6笔动态密码版定期划转业务，但是，按照合同的约定及时语短信的接受时段是在8：00～23：00，故原告在2011年12月15日早上8时收到被告的及时语短信通知符合合同约定，被告依约履行义务，并不存在迟延通知的违约行为，因此根据《中华人民共和国合同法》第一百零七条的规定也无需承担迟延通知的违约责任。

本案对银行的启示

在互联网高速发展的时代，传统银行进入网上银行时代，网上银行在给用户带来高效便捷的同时，安全风险也随之而来。近年来，网上银行案件增长较为明显，对于案件的防止，需要银行的努力，当然也需要客户的配合。

加强对客户的安全警示与风险提示。在开通网上银行业务时，银行需与客户签订网上银行开通协议书，在协议书中注明相关的风险提示，在客户阅读后，让客户予以确认；在网上银行操作中使用小对话框提示客户安全注意事项及方式；在银行网站的显著位置开设网上银行的安全教育专栏；印制并向客户配发通俗易懂的网上银行安全手册，对网上银行客户进行安全和风险教育。

银行应加强电子银行安全风险的宣传和教育。客户操作风险意识淡薄关键是银行与媒体对网上银行安全的宣传力度不够，银行在宣传网上银行产品上，过多的在乎营销结果，而对于客户是否真正了解网上银行的安全问题关心得较少，导致客户对于安全风险问题没有引起足够的重视，对某些重要的操作步骤的安全性和重要性缺乏了解。为此，银行和媒体应当加强对客户进行网上银行安全的宣传、推广和教育，引起客户对网上银行安全风险的注意。

对交易额度进行适当限制。银行应根据业务发展的需要和风险控制的要求对网上银行高风险操作进行具体的界定，如在进行大额交易时，银行应采取有效的措施进行管理，限制交易额度，采取多重身份认证方式，确保身份真实，保障客户资金安全。同时，在风险发生时，对交易额度的限制可以将损失控制在一定范围内，防止损失扩大，本案中，正是由于存在“动态密码版客户每日最高转账限额为人民币20万元整”的规定，才避免了更大的损失。

进一步改进和完善密码技术，推广动态口令卡或动态口令令牌等密码制度。相比较于手机动态密码，动态口令卡和动态口令令牌的使用更简单方便，安全性更高。手机动态口令是基于手机绑定的安全保护措施，其安全RNFbWn+KgYRmLFqdTuYbEA==性完全依赖于手机的安全性，若手机丢失、手机运营商搞破坏或者个人手机号码更换后没有及时更新均会给网上银行的安全性带来巨大的威胁。而动态口令卡或者口令令牌的密码都是随机产生的，无法猜测和破译，并不依赖于其他中间媒介，能有效的防止密码泄露，使网上银行密码的安全性大大增强。

实现交易确认方式多样化，确保与网银交易同时同步。对于客户账户发生的大额交易、频繁支取或转账等风险较大的业务，银行应当开通多条信息反馈渠道，而不仅只局限于通过短信通知到客户，比如及时通过电话、电邮或者信函等方式，请客户予以确认，以避免因一种信息通道出现意外而不能及时通知到客户。同时，信息反馈服务的服务时间应当与网上银行提供服务的时间保持一致，保证信息反馈与网银交易同时同步，信息及时畅通，以免给不法分子留下可乘之机。

（作者单位：清华大学法学院）