手机银行面临的法律风险有哪些思维导图

《电子支付指引》(中国人民银行公告[2005]第23号)第十条规定，“银行为客户办理电子支付业务，应根据客户性质、电子支付类型、支付金额等，与客户约定适当的认证方式，如密码、密钥、数字证书、电子签名等”。由于手机银行的高技术特性，各类安全认证手段日新月异，黑客破解手段也随之变化，银行如果为高风险的移动金融服务，配套安全级别较低的身份认证方式，一旦安全认证手段被攻破或冒用，客户资金损失，出现民事诉讼，客户可能将以银行未能履行与客户约定适宜的安全认证手段要求银行承担赔偿责任。

与传统网上银行相比，手机银行的突出优势是可移动及便携性。我国金融机构对外接或携带的硬件证书或动态口令卡的安全认证方式普遍持观望态度，尽管安全级别高，但便携性大打折扣。目前国内较为普遍的做法是绑定手机的MAC地址等机器设备码，通过加密算法生成设备串号，作为银行识别客户身份的重要认证信息。而这种做法本身有其局限性：

二是黑客一旦嗅探到客户移动终端的MAC地址，也可伪造身份认证信息登录该客户的手机银行。如果银行方没有采取很好的其他认证方式进行辅助认证，或者进行辅助认证的认证方式安全级别较低，同样存在风险隐患。

客户输入与银行约定的交易安全认证方式，包括账号、登录密码、交易密码及动态密码等安全认证方式，银行收到上述信息后按与客户约定对上述电子签名信息进行核实无误，识别客户身份后，按客户指令进行交易。

在实务中，客户的电子签名存在被冒用，银行收到非客户授权的交易的情况，出现这一情况，主要由于以下三个方面的原因：

二是客户网络及终端安全意识淡薄，受到黑客攻击被盗取账户信息及电子签名；

三是客户被不法分子欺骗，主动将账户信息及电子签名泄露给第三方。

按照《中华人民共和国电子签名法》规定银行只要按“发件人认可的方法对数据电文进行验证后结果相符的”，视为发件人发送，银行不是过错方，不承担违约责任。而《电子银行业务管理办法》(中国银行业监督管理委员会[2006]第5号令，以下简称《办法》)中明确：“金融机构在提供电子银行服务时，因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的，金融机构应当承担相应责任。因客户有意泄漏交易密码，或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的，金融机构可以根据服务协议的约定免于承担相应责任，但法律法规另有规定的除外。”

也就是说，只有银行能证明客户存在有意泄漏交易密码，或者未按照服务协议尽到应尽的安全防范与保密义务时才推定银行没有过错，不承担责任，否则将推定银行有过错，应承担责任，由此可见该办法所规定的责任分担机制过分加重了银行责任。

虽然《办法》属于规章，法律效力层级较低，应当按照《中华人民共和国电子签名法》进行责任划分，但在实务中，法院常以客户属于弱势群体，应加强银行责任为由，适用《办法》划分客户与银行的责任，加大了银行的风险。

手机银行是通过移动互联网渠道为客户提供各类金融产品和服务，如果银行未能在手机银行业务开通或使用环节，对手机银行电子签名方式及各类功能进行充分的解释和风险提示，客户在其资金被盗的情况下将可能以银行未履行应尽的提示和告知义务要求银行承担赔偿责任。

[1]《电子银行业务管理办法》

[2]《中华人民共和国电子签名法》