第三方数据拒绝提款 银行金融机构远程签约法律问题分析及建议
摘 要:随着信息技术的发展,银行金融机构以远程签约的方式开展各类业务的趋势越来越强烈。银行金融机构作为受到专门监管的金融机构,需要在符合当前监管规则的情况下对远程签约方式进行规范地运用,并关注远程签约方式可能带来的结果验证、信息治理、业务外包以及线上交易文本配套等问题。本文对银行金融机构远程签约可能面临的法律问题进行分析,并针对这些问题提出若干建议。
关键词:金融科技;银行;远程签约;电子签名
现代信息技术不断发展,金融机构也在不断地将人工智能、区块链、大数据、云计算等金融科技手段引入自身的业务流程中。传统银行金融机构作为我国金融机构的重要组成部分,纷纷布局金融科技板块业务,并向打造银行金融科技生态2.0方向不断进军。在可以预见的未来,银行金融机构将从目前以物理网点、线下营业场所经营为主的模式向“智能银行”“线上银行”“远程银行”“随时随地的银行”加快转型,主动并且更加深入地渗透到用户的各类生活场景中。在银行金融机构业务办理不断线上化的过程中,银行金融机构远程签约问题亦不断凸显,特别是受当前疫情影响之下,银行金融机构以及用户对于交易远程签约的需求更加迫切。
银行作为受到专门监管的金融机构,其本身的运作、交易管理等各方面均需遵守相应的监管规则。银行金融机构如何在现存规范下对远程签约方式进行运用,并确保交易目的的实现成为值得关注的问题。
一、银行金融机构远程签约的规则基础
远程签约,指非现场的,借助计算机、网络、视频、电子签名等手段实现文件签署的签约方式。《合同法》规定合同订立的方式包括书面形式、口头形式和其他形式,而书面形式是指“合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式”,这为交易主体通过电子数据交换、电子签名等方式订立合同提供了法律基础。此外,2015年颁布的《电子签名法》对于当事人在民事活动中以电子签名、数据电文形式签署合同或其他文件的效力予以认可,也为电子文本的效力认定提供了司法依据。
在银行金融机构监管层面,监管规则对于银行金融机构采用远程签约方式开展业务亦存在相关规定或者留有一定的空间。
《电子银行业务管理办法》(2006年3月1日生效) 对银行金融机构开展电子银行业务作出明确规定,客户可以通过网上银行等电子银行自助远程办理特定业务,并在线远程签署交易文本和法律文件。
《中国人民银行关于改进个人银行账户服务加强账户管理的通知》(2015年12月25日生效)在一定程度上放开远程开户,将银行金融机构利用远程签约方式为客户提供远程服务的范围进一步扩大。该规定明确除Ⅰ类户仍需通过柜面受理开立,或在由银行工作人员现场核验开户申请人身份信息时通过远程视频柜员机和智能柜员机等自助机具受理开立外,银行可通过网上银行、手机银行等电子渠道为个人开立Ⅱ类户或Ⅲ 类户。伴随着该规则对远程开户的进一步放开,互联网银行等网络银行也迎来远程开户的破冰,银行金融机构业务向全流程线上化发展迈出了一大步。
对于商业银行代理销售业务以及银行业金融机构销售专区的管理,《中国银监会关于规范商业银行代理销售业务的通知》(2016年5月5日生效)以及《中国银监会办公厅关于印发的通知》(2017年10月20日生 效)规定,商业银行应当要求客户对交易文件逐一签字确认,银行业金融机构销售专区应按照录音录像 的“双录”标准进行交易过程留痕,但对于通过电子渠道销售的理财产品,则按照电子方式进行签署和管理,这些规定对于客户通过电子渠道远程签署文本的方式也予以认可。
据此,银行金融机构以远程签约方式开展业务存在明确且扎实的规则基础。
二、银行金融机构远程签约的实现方式
(一)视频面签远程签约方式
以视频面签方式进行的远程签约,通常借助可进行录像录音的设备进行操作,客户通过该类机器实现与银行工作人员的远程“见面”,与工作人员进行远程互动,并由工作人员对签约过程进行录音录像用以存档。在客户未采用电子签名进行文件签署的远程视频面签模式下,交易文件仍以手写签名或加盖名章/公章 的方式进行签署,这与传统线下签署方式相同。据此, 远程视频面签方式实则为线下现场签约的另一种体现形式,操作上仍需要银行工作人员直接同步参与,并 通过机器设备远程确认客户的真实身份,核验客户证件,通过与客户的对话问答等方式对其真实性进行审查,并与客户确认所签署文件的内容,以及陈述签署文系其真实自愿的意思表示等一系列环节。
与线下现场签约所需步骤相比,这种远程视频面签方式更加注重对客户身份真实性的校验、签约内容的确认以及留痕取证的完备性。在面签过程中,工作人员仅能够看到机器设备所呈现的画面,而仅凭录音录像所记录的签约过程,在证明签约过程方面仍存在一定的难度。在不采用其他身份识别方式进行交叉验证或结合其他能够有效识别客户身份的机制同步操作的情况下,远程视频面签过程本身存在的不确定性及可能导致的风险仍比较显著。
而银行金融机构相对其他金融机构的特殊性更多是体现在其可对客户银行账户的开立进行掌控和管理。Ⅰ类客户的开立必须在柜面进行,该操作是银行对客户进行身份识别的重要过程,也是银行后续为客户提供其他远程服务的基础。实践中,银行为客户提供的远程服务也常以客户在该银行开立了Ⅰ类账户为前提,这夯实了银行后续结合其他方式对客户身份进行远程验证的基础。而由于银行金融机构对客户身份识别的真实、准确性要求,其远程视频面签过程通常结合其他方式进行交叉验证,并常以电子签名方式进行签约,以确保交易目的有效实现。
(二)电子签名远程签约方式
《电子签名法》将电子签名定义为“数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据”,并明确了认定可靠的电子签名的4个要素:电子签名为签名人专有、仅由签名人控制、签署后对电子签名的任何改动能够被发现(即电子签名的不可篡改性),以及签署后对数据电文内容和形式的任何改动能够被发现(即签署文件的不可篡改性)。《电子签名法》对于电子签名的定义、功能和可靠性识别标准作了规定,但是对于电子签名的具体表现形式、通过何种手段生成、电子签名的技术标准等未予以明确。
就验证个人身份而言,个人独有信息(如指纹、掌纹、虹膜、面部识别特征等生物识别信息)能够让收件人识别出发件人的密码、代号,以及由具备认证资质的第三方可信机构认证并颁发的数字签名等方式都可能实现验证效果。在目前的司法实践中,被普遍认可的电子签名为由第三方可信机构基于哈希(Hash)函数和非对称加密算法制作的数字签名。哈希函数实质是一种算法,可将输入端的数值通过算法变换成固定长度的输出值,但是若要根据输出值反向计算推理出输入端的数值,目前在计算上仍不可行。
非对称加密算法是密码学的一种原理,非对称加密需要公开密钥(简称“公钥”)和私有密钥(简称“私钥”)两个密钥。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。公钥是公开的,而私钥为加密人持有。一段数据经哈希函数和非对称加密算法处理后的传输如图1所示。
图1 数据经哈希函数和非对称加密算法处理后的传输
发件人将特定数据电文以哈希函数处理后得到一段输出值,以其持有的私钥对该特定输出值进行加密后作为数字签名与数据电文一起发送给收件人。收件人以公钥对加密后的密文进行解密,并与特定数据电文经哈希函数计算后的结果进行验证,若验证一致, 则收件人可确认其接收的文件是发件人所发送的。
上述方式为第三方认证机构(C e r t i f i c a te ,CA)所用。CA机构为经注册验证身份的用户制作和颁发数字证书,该等数字证书包含公钥和证 书所有者的信息。用户持有数字证书以及私钥,并得以作出可靠的电子签名。
银行金融机构对前述经权威认证机构颁发的电子签名的使用已经较为普遍,包括电子银行为客户颁发的网银U盾、Key宝等。实践中,也存在银行与第三方权 威认证机构合作实现远程电子签约的情况。
三、银行金融科技业务远程签约的应用场景
银行金融机构电子银行业务对于远程签约的使用范围比较广泛,网上已将金融产品销售、日常投资管理、存款转账、部分在线贷款申请及办理业务纳入其 中,客户可通过远程签约的方式进行在线交易。
除传统业务在线办理外,银行在其着力发展的金融科技业务领域也积极探索使用远程签约的交易方式,以提高交易效率,提升客户体验。实践中,银行金融科技业务领域远程签约的应用场景包括但不限于如下情况。
(一)与头部科技平台合作业务场景
银行金融机构作为资金方,具有资金优势,而头部科技平台、电商平台具备多元的场景以及海量用户, 并能够基于用户在平台的表现历史数据对用户情况作出评估。合作中,银行内部系统与合作机构平台系统以API方式对接,合作机构平台将符合银行准入标准的白名单用户推送给银行,银行对客户进行独立调查、审核,并与符合要求的借款人通过在线方式进行签约,借款人在后期申请贷款时,通过科技平台在线发起提款申请,科技平台将提款申请反馈给银行,银行审查通过后对借款人放款。
(二)供应链金融业务场景
基于供应链金融场景下的金融科技业务,一直是银行金融机构关注的重点。银行金融机构基于供应链上下游企业融资场景,开展多样的金融业务。
以银行金融机构基于保理业务逻辑开展的线上保理业务为例。银行与信用资质相对较好、上下游企业合作相对稳定的核心企业达成协议,并进行系统对接。核心企业根据银行的要求,将符合银行准入标准的上游供应商白名单提供给银行,银行对该类有融资需求的供应商进行独立审查、授信,基于上游供应商对核心企业享有的应收账款,银行为该类供应商提供保理融资服务。上游供应商在与银行通过在线方式进行签约后,于后期每次提款时在线上发起提款申请,将对应的发票和合同资料同时上传至银行和核心企业的对接系统进行审核确认,经银行审核通过的融资企业, 银行将对其放款。
(三)直销银行业务场景
一些商业银行在直销银行平台上,为借款人和出借人之间的借贷交易提供信息撮合和见证服务。由于市场行情不断变化以及关于网络借贷交易的监管趋严,目前多数银行已经停止开展该场景下的业务。就其模式而言,借款人和出借人在直销银行平台上完成注册、账户开立等流程,借款人在直销银行平台上发布融资需求,并由直销银行平台为其提供融资需求信息展示服务。出借人经直销银行撮合、见证,向借款人提供出借资金。银行基于其提供的信息服务以及见证服务收取一定的服务费。
四、银行金融机构远程签约法律问题分析
远程签约在银行金融机构多个业务场景中均得到广泛的使用,目前客户在开通网上银行业务后,能够在线办理存款、转账、投资理财、小额贷款申请等多项业务。前述业务的办理以采用电子签名进行远程签约的方式为主,部分业务的在线办理需采用面部识别、指纹验证等多种交叉验证方式进行在线验证,以提高对客户身份的识别效果。银行远程签约方式在签约主体身份验证、电子签名可靠性验证、数据获取、服务外包、文本配置相关方面均存在值得关注的问题。
(一)远程签约结果验证问题
相较于现场签约方式,远程视频签约首要解决的问题是如何验证签约主体是当事人本人还是其有权代理人。如前所述,单纯的视频面签仅仅是现场面签的远程化处理,若不结合其他验证方式对当事人的身份、签署文本的内容进行交叉验证,难以保证交易目的的有效实现,也无法完全满足银行金融机构严格的风控要求。在银行与其他科技平台、电商平台合作的模式下,若客户的提款申请在合作平台上发起,银行不直接参与客户提款申请文件的签署过程,则其对客户远程签约的身份核实以及签约情况判断有赖于合作平台的风控和审核结果,若合作平台风控和审核失当或出现风险事件,银行可能也会受到波及。
同时,若客户在合作平台系统发起提款申请且进行远程签约,一旦在后期出现争议并需要举证时,银行和合作机构将面临证明客户提款申请真实、有效且是否为客户亲自作出等问题,在客户未直接在银行系统上以电子签名的方式进行签约的情况下,银行和合作机构需要自证客户远程签约的可靠性,这需要银行和合作机构的后台系统在身份验证和加密技术上能够达到和CA机构一样的效果。而CA机构出具的第三 方验证报告可直接作为证据提交司法机关,实践中也会被作为司法裁判的有效依据,银行和合作机构即使有信心进行自证,也可能被要求由第三方机构出具技术鉴定意见,明确签约结果的真实性、完整性和不可篡改性,其时间和成本通常难以有效地预计,而结果更是无法把控。
(二)信息获取和使用问题
远程签约之前以及实施过程中,银行需要从多方面获取客户的数据和信息,对客户身份以及客户行为进行交叉验证,其中可能涉及对客户敏感信息的获取和使用。个人信息作为数据资产的属性越来越明显,随着《网络安全法》的颁布,关于数据治理的监管要求日趋严格。近期不乏银行金融机构因App违法违规收集个人信息问题被App专项治理工作组通报、要求整改或者受到处置。银行金融机构在远程签约过程中涉及对客户信息采集和使用的,应进行专项的合规管理。
除《网络安全法》《全国人民代表大会常委会关于加强网络信息保护的决定》《征信业管理条例》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《关于开展App违法违规收集使用个人信息专项治理的公告》《个人信息安全规范》等文件对个人信息保护和数据治理作出规定外,《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》(2007年8月1日生效)也对金融机构身份资料保存进行了规定。《中国银监会关于加强电子银行客户信息管理工作的通知》(2011年8月9日生效)规定,“商业银行在开展电子资金转移与支付业务过程中,应不断加强客户信息安全的内部控制与管理。未经客户对本机构授权,不得直接或间接将客户名称、证件类型及证件号码、手机号码、固定电话号码、通信地址及其他客户敏感信息提供给第三方机构”,《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(2011年5月1日生效)规定, “银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,……特别是在收集个人金融信息时,应当遵循合法、合理原则,不得收集与业务无关的信息或采取不正当方式收集信息”,同时,还规定“银行业金融机构不得将客户授权或同意其将个人信息用于营销、对外提供等作为与客户建立业务关系的先决条件,但该业务关系的性质决定需要预先作出相关授权或同意的除外”。银行业金融机构在客户信息保护方面需要同时遵守关于信息保护和银行业金融机构客户信息管理两方面的监管规则。
(三)与其他机构合作及业务外包合规性问题
银行金融机构在前述多个场景业务下,存在与外部机构合作的情况。例如,为了与外部平台进行系统对接,银行一方面需要进行内部系统开发,另一方面可能存在寻求外部技术支持的需求;在基于供应链上下游的金融业务中,银行可能需要与核心企业进行合作,委托核心企业协助对货物进行监管、处置,参与应收账款的管理,以及对供应链链条进行管理;为了确保客户能够有效使用电子签名进行远程签约,银行可能需要与外部CA机构合作,为客户提供电子签名等。 对于银行金融机构与外部机构合作、进行业务外包的,监管规则也进行了相关规制。《中国银监会关于印发银行业金融机构信息科技外包风险监管指引的通知》(2013年2月16日生效)对银行业金融机构信息科技外包活动作出规定,明确银行业金融机构信息科技外包活动中应遵守服务提供商的筛选、对信息使用的规范、对客户权利的保护及事故处理的规则。《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(2011年5月1日生效)中规定“银行业金融机构通过外包开展业务的,应当充分审查、评估外包服务供应商保护个人金融信息的能力,并将其作为选择外包服务供应商的重要指标。
银行业金融机构与外包服务供应商签订服务协议时,应当明确其保护个人金融信息的职责和保密义务,并采取必要措施保证外包服务供应商履行上述职责和义务,确保个人金融信息安全。银行业金融机构应要求外包服务供应商在外包业务终止后,及时销毁因外包业务而获得的个人金融信息”。《中国银监会办公厅关于印发》(2010年4月16日)规定,“商业银行董事会对外包负最终管理责任,应推动和完善外包风险管理体系建设,确保商业银行有效应对外包风险……实施数据中心服务外包时,商业银行的管理责任不得外包”,以此明确商业银行外包业务事项。银行金融机构在开展外包业务过程中应注意遵守相关规定。
(四)交易文本的配套问题
银行金融机构远程签约交易具备线上交易的特点,传统线下交易配置的交易文本和法律文件未体现线上交易元素,无法完全满足对交易各方当事人权利义务的妥善约定。银行金融机构开展线上交易、进行远程签约时,交易各方相互之间不见面,线上交易文本作为双方交易情况主要证据的重要性进一步凸显。银行金融机构需要就远程签约交易文本进行专门的配备和管理,确保交易文本和法律文件能够有效实现线上交易的目的。
五、银行金融机构远程签约相关建议
银行金融机构在进行远程签约的过程中,需要关注签约的实现方式、证据保存、数据治理、业务外包规范性、文本配置等各方面的要素。
银行金融机构单纯通过远程视频面签方式进行签约,可能面临因客户身份验证、签约内容无法有效识别导致的商业和法律风险。实践中,银行远程签约通常结合电子签名、生物特征(面部特征、指纹等)识别等方式予以交叉识别和验证。对于银行金融机构开展金融科技业务,与外部平台合作,并与外部平台进行系统对接的,建议客户的提款申请操作和文本签署均在银行自身平台进行。银行可考虑由网银系统同时对接该等业务,客户在网银端进行操作,利用网上银行电子签名进行文本签署。
基于解决后期可能发生的争议这一需要,建议银行金融机构对于客户发起的提款申请,留存电子借据。电子借据主要解决银行放款对应的合同问题,在能够充分举证可置信的客户身份和电子签名合同、放 款流程一一对应的情况下,可在每笔提款时,备注款项对应的合同以确定该笔放款对应的具体合同,为银行主张债权提供有力证明。
此外,如前所述,银行金融机构需要在数据治理、客户信息保护方面采取专门和必要的措施,确保对客户信息的采集和使用均获得客户的事先书面明确授权,避免对客户信息有不当采集或使用。实践中,一些银行金融机构出于信审、风控的需要,可能存在向政务机关、其他金融机构采集客户信息的情况。而政务机关、金融机构对外提供信息也应遵循专门的监管规则,银行金融机构从该等机构获取客户信息时也应注意遵守多方面监管规则。对于银行金融机构在远程签约的实现过程中存在外包需求或合作需求的,也应注意避免将管理责任外包,并独立完成信用审核和风险控制相关工作,不应完全依赖合作机构的信用审核机制和结果。
参考文献:
1.余丰慧. 金融科技:大数据、区块链和人工智能的应用与未来[M]. 浙江:浙江大学出版社,2018.
2.李保旭,韩继炀,冯智. 互联网金融创新与风险管理与未来[M]. 北京:机械工业出版社,2019.