蔡宁伟,李江鸿
(1.中国工商银行 运行管理部,北京 100140;2.中国工商银行 法律事务部,北京 100140)
中国商业银行ATM管理义务与责任的法律界定
蔡宁伟1,李江鸿2
(1.中国工商银行 运行管理部,北京 100140;2.中国工商银行 法律事务部,北京 100140)
从现有立法和司法案例来看,关于商业银行在ATM机具管理上的义务与责任,主要在三个层面分别展开:一是ATM业务合规管理;二是ATM设备运营维护;三是ATM必要技术保障。研究明确了框架和主要内容,首次梳理了1999年以来中央和地方有关监管机构对商业银行ATM管理的合规要求,根据实际业务案例针对性地提出意见和建议。
金融监管;ATM;商业银行
自1986年中国银行珠海分行第一次引进ATM,并于1987年2月正式投入使用以来,中国的ATM使用已近30年,中国ATM等自助设备发展迅猛(蔡宁伟,2011a)[1]。自动柜员机(ATM,Automated Teller Machine)是为客户提供以现金自助服务为主的自助设备,包括自动取款机(也称自动提款机,也可简称为ATM)、自动存款机(CDM,Cash DepositMachine)、存取款一体机(CRS,Cash Recycling System)等。2007年,中国每百万人均ATM机数量为96台,和世界每百万人均240台相比差距很大。2008年后,借助北京奥运金融服务(2008)、上海世博金融服务(2010)、广州亚运金融服务(2010)、南京青奥会金融服务(2014)等契机,各金融机构加大了对ATM等自助设备的投入。2010年底,中国ATM市场保有量约30万台,取代日本成为全球第二大ATM市场,排在美国之后(杨克灿,2011)[2]。随着国内商业银行ATM布设的持续增长,我国很可能取代美国成为全球第一大ATM市场(杨克灿,2013)。
然而,中国商业银行ATM使用之业务与法律责任仍有待进一步完善,与之联系密切的客户关系和声誉管理也处于管理起步和舆情多发阶段。特别是最近十年,随着ATM布设的大幅增加,针对ATM的各种犯罪行为不断增多,犯案手段层出不穷,使得利用ATM犯罪的案件和纠纷不断增加。轰动一时的“许霆案”(2006—2008)、“假钞事件”(2009)、“假ATM机案”(2010)以及后续的“ATM服务问题”(2012)将ATM业务推向公众和社会关注的焦点,也将相关金融机构推上风口浪尖,ATM的客户关系和声誉管理成为银行经营管理的难点(蔡宁伟,2011b)[3]。虽然,现在已经时过境迁,事态已经逐渐平息,但若让我们回顾这些事件ATM客户关系和声誉管理的全过程,不难发现其中仍然存在大量问题,甚至留有相当数量的法律疑点和一定程度的法规盲点,值得相关金融机构总结和深思。
尽管ATM业务越来越普及,同期商业银行ATM管理和服务越来越完善,但是目前国内还没有针对ATM相关业务的立法。与之同时,针对新情况和新问题,现有法规、制度对ATM业务越来越关注,呈现出从无到有、从少到多、从简单到复杂的趋势。从现有立法和司法案例来看,关于商业银行在ATM设备管理上的义务,大体上在三个层面分别展开,这也是作为研究脉络梳理的三个具体表现:一是商业银行在ATM业务合规管理方面的义务与责任;二是商业银行在ATM设备运营维护方面的义务与责任;三是商业银行在ATM技术保障必要性方面的义务与责任。当然,商业银行对ATM运营管理的责任界定与上述义务的分析和辨识密切相关、一一对应。
在此基础上,我们认为商业银行ATM的相关业务和责任应该进一步明确,从而达到法律目的、法律责任、法律对象三者的有机统一。事实上,ATM作为商业银行渠道的重要组成和延伸,其关注的要点仍然是以此为操作对象的客户及其使用的账户介质,即关注的焦点依然是客户及其使用的借记卡、贷记卡(也称信用卡)、准贷记卡等银行卡及其衍生品,如无介质存款业务等。因此,在相关监管机构的法规和制度中,很多情况下都把可在ATM上使用的银行卡与ATM业务“绑定”,并提出具体监管要求。
图1 研究脉络、框架与内容
按照这一思路,我们设计了如上的研究框架(参见图1),辅以对应的研究内容,以便更好地理解本文的研究目的、思路和过程。现行法律、法规和制度的目的在于提升商业银行ATM运营服务的水平,确保ATM业务安全、高效;而具体法律义务上,则分为合规管理、运营维护、技术保障等三个方面;并以商业银行ATM及其附属设施(如自助银行等)为监督管理的法律对象。其中,又因ATM交易的介质,如银行卡,以及其他相关交易,如无介质存款①近年来,各大商业银行推出了无介质存款这一新产品,有效缓解了客户忘记携带介质(银行卡)的难题。即便客户忘了带卡,只要记得存款或转账的账号,就可以直接输入账号数字,将现金直接存入指定账户。等产品和服务类型为监督管理对象的延伸。这一系列基于业务和产品服务创新的衍生对象,也是监管机构在除了商业银行ATM为“明线”之外的另一条“暗线”;而研究的目的也恰是严谨的逻辑起点。正是基于对ATM运营服务效率和质量提升的基础,才有了包括监管机构、商业银行、客户、媒体、舆论在内的对ATM业务的不断关注。其中,我们认为:商业银行ATM的合规管理、运营维护与技术保障之间存在一定关联,运营维护和技术保障本身就应该遵循一定规则和要求,而运营维护恰恰是实现合规管理和完成技术保障的必要条件,技术保障从一定程度上也可以促进运营维护和合规管理水平的提升,三者互为因果和补充。因此,图1中以虚线展示三者的关联。最后,尝试针对目前法律法规上的问题和实际业务案例中存在的难点,在每一分析单元中针对性地提出若干意见和建议。
如前所述,商业银行在ATM合规管理方面的义务与责任,主要与ATM渠道上开展的业务,即ATM的产品和服务有关。其中,作为ATM交易介质主体的银行卡,又可划分为借记卡、贷记卡、准贷记卡等,监管机构和商业银行均对此十分重视和关注。按照发文的时间顺序,主要表现为身份与业务的真实性、服务费用的标准和减免、存取款和转账业务的反洗钱管理等方面,这些合规要求有助于商业银行进一步完善自身对ATM的运营管理和技术保障。
(一)商业银行ATM业务合规管理的义务
(1)身份与业务的真实性。未经持卡人主动申请并书面确认,发卡机构不得为持卡人开通电话转账、ATM转账、网上银行转账等自助转账类业务;为持卡人开通自助转账业务时,要向持卡人充分提示开通有关业务的风险,并要对持卡人进行更为严格的真实身份核查,确保实名开户;未履行职责,产生资金风险的,要依法承担责任。持卡人开通电话、ATM转账的,每日每卡转出金额不得超过5万元人民币。又如:中国人民银行、公安部《关于开展联合整治银行卡违法犯罪专项行动的通知》(银发〔2008〕109号)等也有类似规定。
(2)服务费用的标准和减免。从2011年7月1日起,银行业金融机构免除人民币个人账户的以下服务收费:通过本行柜台、ATM机具、电子银行等提供的境内本行查询服务收费。
(3)存取款和转账业务的反洗钱管理。存款人通过自动柜员机(ATM)支取现金,每卡每日累计不得超过人民币2万元。上述规定实际是有关制度的延续,依据中国人民银行《关于下发<银行卡业务管理办法>的通知》(银发〔1999〕17号),贷记卡设定为不高于5000元,依据中国人民银行《关于改进个人支付结算服务的通知》(银发〔2007〕154号),借记卡调整为不高于2万元。
(二)商业银行ATM业务合规管理的责任
上述各项规定对商业银行ATM机业务运作提出了具体要求,涉及转账、取现和查询等业务内容。如果商业银行未能遵守上述规定,并导致客户损失的,既可能因过错向客户承担法律责任,也可能因违反监管要求承担其他责任。根据我们的了解,目前各大商业银行对此都有严格的内部规定,用以确保满足反洗钱、风险管理等具体合规要求。同时,商业银行对于涉及ATM现金、账务特别是长短款、吞没卡等操作流程都有具体的内部规定,并以定期和不定期的现场与非现场检查、突击检查等配合实施,确保ATM业务合规。否则,商业银行不仅可能遭到客户、舆论对于有关问题的质疑,也可能受到监管机构对违规操作的处罚。
(一)商业银行ATM设备运营管理的义务
(1)定期检查与安全监控。各商业银行要加强对ATM机和自助银行的定期巡视检查,采取技术防范措施,加强安全监控;对已安装的摄像监控系统,各商业银行必须进行定期检测,保证系统正常有效运行。
(2)设备监控与使用宣传。发卡银行要加强对ATM机的安全维护工作,建立ATM机巡查和实时监控制度,提高ATM机监控设备的安装率;加强用卡安全教育工作,在持卡人申领卡片时应逐一发放安全用卡宣传资料。
(3)定期巡检与风险管理。加强ATM巡检、监控。收单机构布放的ATM终端要符合《银行卡自动柜员机(ATM)终端规范》(JR/T0002—2009年)的要求,确保ATM的安全技术防范能力。收单机构要对ATM建立定期巡检制度,及时发现和排除风险隐患。要加大傍晚、夜间等案件高发时段ATM的巡查和监控力度,完善技术措施,创造条件实现ATM的实时监控。要及时向客户提示犯罪分子利用ATM作案的新手段和新动向,提高客户的安全意识和自我保护能力。发现犯罪分子作案痕迹后,各收单机构应立即向公安部门报案,并协助破案。如,中国银行业监督管理委员会办公厅《关于不法分子利用ATM机具盗取银行卡资金风险提示的通知》(银监办发〔2009〕228号)等也针对实际案例做出了具体安排和要求。
(二)商业银行ATM设备运营管理的责任
与业务上的合规义务相比,商业银行在ATM管理、维护方面的义务缺乏具体、清晰的标准。例如,应以何种频次“定期巡检”没有要求,对ATM的实时监控也还未提高到硬性要求,是否做到向客户提示犯罪分子的“新手段和新动向”也同样不易判断。在这种偏于模糊的监管背景下,司法实践中往往对银行ATM机管理义务做从严要求,犯罪分子利用ATM盗取银行卡资金的一些行为,如安装特殊装置盗取银行卡信息、制造吞卡、不出钞等假相、张贴虚假告示等。在此情况下,商业银行作为相对的“强势群体”通常被直接推定存在管理上的疏忽,并因此承担民事责任。目前,可以查到的司法解释为《最高人民检察院关于拾得他人信用卡并在自动柜员机(ATM机)上使用的行为如何定性问题的批复》(高检发释字〔2008〕1号)明确:拾得他人信用卡并在自动柜员机(ATM机)上使用的行为,属于《刑法》第一百九十六条第一款第(三)项规定的“冒用他人信用卡”的情形,构成犯罪的,以信用卡诈骗罪追究刑事责任,并要求自2008年5月1日起实施。还有个别客户在监控录像、ATM设备流水、交易凭条等证据清楚的情况下,由于记忆差错或者其他原因指责商业银行ATM吞钞、吐假钞等,处于客户关系维护、舆情传播与控制、品牌声誉管理等客观要求,商业银行即使有理也往往不予追究、不了了之。
商业银行ATM技术保障是支持ATM运营管理与业务合规的重要技术手段,监管机构对于商业银行ATM的技术保障依据上文提到的ATM设备本身的“明线”与ATM交易介质的“暗线”,主要针对ATM与银行卡两个方面分别展开。按照发文的时间顺序,前者主要针对ATM的技术标准,监管机构对ATM设备标志规范、定期技术检查和设备验钞与防伪提出了具体要求;后者主要针对银行卡的技术标准,监管机构对银行卡安全管理技术、信息传输与发卡技术提出了管理要求。
(一)商业银行ATM必要技术保障的义务
1.针对ATM设备必要技术保障的义务
(1)ATM设备标志规范。
(2)ATM定期技术检查。商业银行应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA)等。
(3)ATM设备验钞与防伪。各金融机构应全面检查本系统点验钞机具和ATM机使用情况,根据业务需要完善相关机具服务设施,要进一步完善自动存取款设备钞币防伪鉴别系统,切实防止从金融机构ATM机流出假人民币。如:中国人民银行办公厅《关于银行业金融机构对外误付假币专项治理工作的指导意见》(银办发〔2013〕14号)等对假币专项治理及ATM冠字号码技术改造等提出了具体要求。
2.针对ATM介质必要技术保障的义务
(1)银行卡安全管理技术。各商业银行应在2004年9月30日之前完成对ATM机的改造,增加由持卡人自行选择是否打印凭条的功能,并对凭条上银行卡号码倒数第二至第五位数进行屏蔽。各商业银行必须在ATM机等自助设备旁,提供银行卡挂失、投诉服务的联系电话号码,方便持卡人。
(2)银行卡信息传输。应采取措施保障从ATM终端到所连ATMP的数据传输时不泄漏银行卡磁条信息。此外,各地监管机构对相关技术在一些事件或案件发生后,对具体信息传输和技术保护措施也与时俱进地提出了明确要求。例如,四川银监局《关于不法分子截取、修改自助设备传输数据虚增存款案件的通报》(案情通报2012年第3期)等。
(3)银行卡发卡技术。商业银行发行银行卡应遵循国家及金融行业技术标准规范,严格执行信息安全政策和银行卡联网通用政策,通过由中国人民银行组织的发卡技术标准符合性和安全性审核(以下简称技术审核)后方可正式发卡。
(二)商业银行ATM必要技术保障的责任
对ATM机技术方面义务的主要依据是2009年中国人民银行制定的《银行卡自动柜员机(ATM)终端规范》(JR/T0002—2009年),其余有关文件还对打印凭条、假钞辨识、客户引导等技术性内容做了强调或要求。因在商业银行发行银行卡时,人民银行将组织对包括ATM在内的技术符合性和安全性进行审核,因此商业银行在ATM技术合规层面的责任风险基本可控。值得注意的是,现有技术规定并未明确要求ATM须能够辨识伪卡。但在司法实践中,有些法院仅仅从《银行卡业务管理办法》的原则性规定(商业银行开办银行卡业务应当具备“安全、高效的计算机处理系统”)出发认为,银行卡、卡号和密码共同构成一个完整的储户身份标志,银行在三者不完全一致的情况下允许交易,表明其未按规定建立“安全、高效的计算机处理系统”,从而认为应当对由此产生的损失承担责任。例如,广东省高级人民法院《关于审理伪卡交易民事案件工作座谈会纪要》(2012年6月19日)第15条(1)规定:设密码的银行卡被伪造后交易的,银行未识别伪卡,一般应当对卡内资金损失承担不少于50%的责任。在这种银行无过错的情况下,要求银行概括性承担因技术本身局限(ATM无法辨识伪卡,尤其是磁条卡)产生的风险,既不利于银行卡业务的发展,也不利于培养消费者的银行卡安全使用意识,并可能为犯罪分子利用以骗取银行资金。我们认为,伪卡交易引发的责任承担机制需要从现有立法出发,并结合责任机制的社会效应,寻求更为公平合理的解决方案。
尽管本文通过梳理1999年来国内中央和地方有关监管机构对商业银行ATM管理的合规要求,并构建了针对中国商业银行ATM管理义务与责任的研究脉络、框架与内容,这是目前研究中或缺的,却是实际需要解决的问题和社会舆论关注的焦点。我们认为,由于一些客观条件的限制,导致本研究仍然存在一些问题和局限,值得继续研究和讨论。
(一)研究局限
本研究的局限主要体现在以下两个方面。一是因为对商业银行业务的监管机构较多,资料获取渠道相对单一、内容有待完善。除了履行日常监管义务的中国银行业监督管理委员会、中国人民银行外,对于ATM相关业务,如安全保障、收费服务、案件审查等,还有公安部、国家工商总局、最高人民检察院、最高人民法院等机构。因此,一些涉及ATM的法律法规的文件难以全面搜集,对于一些没有公开的资料也难以获取。二是由于中央和地方监管机构面临实际问题的不同,对于一些涉及ATM的情况可能存在不同理解,导致中央与地方监管机构的一些法规要求、司法解释、实际执行存在一定差异。尽管我们构建了研究脉络和框架,对涉及ATM监管的主要内容进行了梳理和分类,但其中的一些细节可能存在差异甚至矛盾。
(二)研究展望
随着中国人民生活水平的提高、对金融自助服务使用的普及以及中国司法体系的不断完善,未来针对中国商业银行ATM管理的义务与责任必将进一步明确。我们认为,主要存在三类发展趋势:一是因业务发展、商业银行和客户需要,可能会针对涉及ATM的相关内容单独立法,用以更清楚地界定各方的义务与责任;二是除了既有法律规定外,各监管机构可能会定期出台更加系统性、及时性的ATM监管要求,如定期修订《银行卡自动柜员机(ATM)终端规范》,建立健全自动柜员机设备安全性要求且有别于欧、美技术规范的国标,以便促进ATM业务更加规范和健康发展;三是中国商业银行等金融机构可以依据日常解决问题的经验和案例,进一步完善针对ATM操作使用的提示和指引,继续完善运营流程和服务标准,加强同业沟通和客户宣传,促进金融自助服务为更多的客户理解、认同和接受。
[1]蔡宁伟.自动柜员机全生命周期分析[J].北京,金融论坛,2011,a(12):113-121.
[2]杨克灿.竞争企稳,前景可观——2010年中国ATM市场发展述评[N].金融时报,2011-04-11(5).
[3]蔡宁伟.ATM客户关系和声誉管理的问题与对策[J].中国金融电脑,2011,b(8):67-69.
(责任编辑:贾伟)
1003-4625(2014)08-0083-04
F832.33
A
2014-06-03
蔡宁伟(1982-),男,辽宁大连人,管理学博士,研究方向:金融运营,组织行为与人力资源管理;李江鸿(1980-),男,陕西宝鸡人,法学博士后,研究方向:公司法,金融法。
注:本文为个人研究观点,不代表所在组织的意见。