网络银行操作风险法律防范研究

摘 要：立足于我国网络银行操作风险法律防范的现状与问题，提出具体的举措，一在立法层面全方位防范。二明晰各法律關系当事人间的权利、义务与责任。三将监管重心进行转移。四利用商业保险缓释操作风险带来的损失。

关键词：网络银行；操作风险；法律防范

一、网络银行操作风险的涵义

（一）网络银行操作风险的定义

银行中的多者都会伴随着这样一个问题，即，操作风险问题，其在虚拟的网络银行中更是多发甚至频发，且至今也没有明确有效的解决方案。该问题存在的最基本的难点就在于定义界定不明。

本文姑且将网络银行操作风险的定义界定为由于网络银行中的内部程序、人员、系统的不完善或失误，以及外部事件而导致网络银行直接或间接损失的风险[1]。

（二）网络银行操作风险的类型

1975年，“十国集团”和瑞士、卢森堡的中央银行行长成立了银行法规与监管事务委员会，也就是巴塞尔银行监管委员会，其主要成员包括十国集团中央银行与银行监管部门的代表。该委员会就有关银行国际监管事宜制定一系列的规定，即大家所称的巴塞尔协议。

巴塞尔委员会将操作风险评估为系统自身缺陷问题，或有问题的内部过程、人员等外因而引发的不确定多方面利益缺失危险。并感知到了操作风险的重要性，故把操作风险作为巴塞尔新协议框架的一部分作为征求意见，随之将其作为分析风险和监管资本的新领域明确纳入新协议，这是一具有重要意义的举措。关于网络银行操作风险的类型，有很多种不同的分类标准，但其中以巴塞尔银行监管委员会的划分最为典型。按照损失类型可对其进行归类，主要有以下七种：内部欺诈、外部欺诈、雇员活动和工作场地危险预警问题、客户、产品和业务活动问题、银行维护资本的失误资金的破坏、业务中断和系统错误、执行、交付和过程管理[2]。

二、网络银行操作风险法律防范的现状与问题

（一）巴塞尔文件对网络银行操作风险的监管规定

1.发展一个适当的风险管理环境

其中两个方面可以作为具体参考：一是实体上，要保证董事会和总经营层的有效监督；二是程序上，有一套流畅的操作风险监管程序。

具体而言，首先，高层要保证由具有相应的经验和技术水平的合格工作人员来操作网络银行的业务，工作人员必须对其工作范围内的事项和职责范围内的事项负起责任。其次，要保证管理者和其他的风险管理者沟通的有效性，已达到内部信息的协调。最后，独立的内部审计是流畅运行的操作风险监管制度举足轻重的一节。

2.对风险进行识别-衡量-控制

风险的识别：可以通过自我“风险评估、风险制图、关键风险指示器、风险门槛和记分卡”等方法对风险进行判断。内部因素与外部因素的变化都会或多或少对银行目标的实现产生影响，因此，同时考虑内部因素和外部因素的变化才能完成有效的风险识别。

风险的衡量：操作损失事件发生的可能性与损失多少的潜在性构成了风险衡量的两个主要方面。首先，需要大量完整且准确的数据；其次，健全的内部报告机制也是必不可少的。只有这样也有可能对这两方面进行有效的衡量。

风险的控制：银行应该根据操作风险的不同的种类，采用不相同的控制措施。可将操作风险分为可控制的和不可控制的两种。面对前者，银行则要处理控制程序的问题或选择用来承受风险的其他适当工具。而面对后者，银行则可直接选择不接受该风险，放弃与该风险进行抗争绝不浪费资源进行无畏的抗争，做法就是将与该风险挂钩的业务通通彻底撤回或者保守地缩小业务范围。

3.对监管角色的定位

只有制定关于操作风险的具体监管策略才够对其进行宏观上一直、均衡并且科学的监管，毋庸置疑的是这个监管策略应当由监管者来制定，同时成立一个对该策略进行定期检查的机构所谓监管者正是监督和管理的人，要想使其监督管理效果显著，就必须赋予其相当程度的决策权。监管者完全可以要求银行作出具体的工作计划，并为银行的发展出谋划策，令该银行付诸行动，并且监管者的“监”绝对不能是空话，必须在其监督过后提供有用处的回馈建议。

4.对信息的披露要求

关于监管过程中市场约束的重要性是新巴塞尔协议着重强调的内容。而如果要使市场的约束能力有所提高，则银行必须经常及时的公开信息，也就是信息披露。因此，提高信息披露是新巴塞尔协议的要求。然而，对操作风险信息披露的范围有必要进一步的确定。

（二）我国网络银行操作风险法律防范的现状与问题

1.网络银行操作风险防范的法律体系不健全

专门的网络银行法律缺位，针对网络银行的法律，国家层面的立法仅有2004年8月通过的《中华人民共和国电子签名法》这一部。专门针对网络银行的部门法规倒是有两部，即：银监会颁布的《电子银行业务管理办法》和《电子银行安全评估指引》，但基于网络银行已经广泛涉及到人们的权利义务关系，因此部门法规明显效力不够，非常有必要针对网络银行操作风险防范制定专门的法律。

2.重基层人员管理，轻高层管理人员管理

国内银行在操作风险管理上严格对待基层员工，宽泛要求高级工作人员。在他们眼中，只有基层操作人员才有发生操作风险的可能，这显然是一个不容置疑的错误理念。基层操作人员几乎吸引了银行内部部审计部门的全部目光，他们将大部分的力气都用在了对基层员工的纠察上，平日里缺少对高级职工审计的重视，以致内控制度未能对高级管理人员形成有力的监督管理，加之由于我国相关法律法规对高级管理人员的控制不力，以至于形成人治大于法制的局面，行内职工被“胁迫”犯罪。

3.重事后管理，轻事前防范

对于操作风险我国往往是损失事件发生后才有所行动，一般的措施就是不定期并且不规范的临检，在幸运得情况下可能找到局部漏洞，然后就是设法补漏和处置有关人员等等。这是典型的弃事前防范和事中控制于不顾的行为，也即是管理体系不健全。

4.权利义务分配不明确，对客户利益的保护不足

就目前的状况来看，客户想要申请网上银行服务都避免不了要同银行鑒定一份，“网络银行服务协议”。客户绝对不具有选择的余地，据了解在一般情况下，客户根本就不会阅读协议的内容，而是直接点击“同意协议内容”的按钮，该协议一旦签订就被视为接受该服务协议的全部内容。在这样的情况下签订这样的协议对客户来讲是极其不利的。

三、我国网络银行操作风险防范法律制度的完善

（一）新巴塞尔协议对我国网络银行操作风险防范的启示

若想在最大程度上对网络银行操作风险进行防范，必须建立牢固的权责明晰的风险管理架构。第一，建立隶属于董事会的风险治理委员会，由董事会对银行风险管理负终极责任；第二，风险管理部门必须与业务部门分离，并具有独立地位。如果稳妥起见可以设置首席风险管理官，听命于风险管理委员会并对其负责；第三，各具体业务中出现的风险事件由各部门的业务主管或业务经理负责。

（二）网络银行操作风险法律防范的具体举措

1.立法层面全方位防范

（1）加强事前防范。防患于未然，将危害扼杀于萌芽状态无疑是解决问题控制风险的最好举措，不会给客户带来任何现实的损失。

第一，做好事前的普及宣传工作。①不断强化基层职工的法律素养，并规定其工作必须严格按照银行的业务规则进行。②遏制非基层操作人员利用其身上的“大权”对基层工作人员施加压力是指违规操作。

第二，强制性信息披露制度的建立。银行应当设立专门的岗位时刻监控客户账户动向，当客户的账户出现非正常状况时，该岗位的工作人员就需要将此状况向客户披露。在这方面，中国的有关规定应当从美国《银行保密法》中借鉴学习，开通网络银行账户应该设置更加严密的程序和更高的标准，同时银行还应创设判别异常举动的监测体系，并在出现异常情况时向储户告知。比如我国可以对大额转账或短时间内多次转账的账户附加限制操作环节。

（2）填补刑事立法的空白。随着网络犯罪的普及与危害程度的增高，《刑法》也相应地加大了对网络欺诈犯罪的打击力度，但仅加大打击力度是远远不够的，我国对信息网络犯罪的规定是很浅显、粗糙的。在有关操作风险的案例中，高层管理人员虽然不是案件的直接责任人，但其也应该受到法律的制裁，而事后却并没有对这些高级管理人员进行相应的惩罚，高级管理人员仅仅是“引咎辞职”[3]。事实上，关于聘请代理人作为高级管理人员，而高管们又利用职权违法的问题我们忽略了一个可能极为有效的解决办法，那就是利用对代理人至关重要的声誉来约束他们。委托人之所以不惜花重金聘请高管并肯将公司或者企业交到他们手上就是看中了代理人所具有的管理技能和从业经验，职业声誉无疑也是委托人们的关注点。所以良好的职业声誉对于代理人来说极其重要，如果法律法规对高层管理人员的失职行为能够采取类似强制公开赔礼道歉的惩罚办法，那么就能够对高层管理人员起到很好的事前防范作用，并能够使其规范自身行为做好本职工作。

2.明晰各法律关系中当事人的权利、义务与责任

（1）银行与客户间的权利义务关系。银行在网络银行的交易过程中，常常倚仗着其金融大亨的角色，在信息不对称的情况下采取格式合同条款等不正当手段，排斥客户权利，扩大自身权利加重客户义务，减轻自身义务，加大了客户合法权益被侵犯的可能性。并且银行掌控着其与客户进行网络银行业务交易的全部数据、资料，银行如果想要修改或者删除对其自身不利的信息岂不是轻而易举的事。这就使得对客户利益的保障更加困难，使客户彻底地处于弱势境地，我们必须设法改变这种不平等的局面。

因此，必须将加强对客户利益的维护，严禁银行与客户签订的合同中出现明显不利于客户利益保护的歧视性或不公平的条款等体现对客户倾斜性的保护的规定融入在相关立法工作中。银行与其客户之间签订的合同中有关责任分担的条款应当具体明确。解决这一问题的关键在于对在网络银行运行过程中形成的法律关系中的各法律主体的权利、义务、责任法定化、明确化。同时应当针对网络及及网络交易等问题制定专门的法律法规，提高法律法规的课操作性，使之更为规范化，更好的调整这一新型的法律关系。

同时，将银行无法正确执行客户指令的情形不对主客观因素进行综合考量，而“一刀切式”地认定为不可抗力，从而免除银行的法律责任，明显是对客户利益保护不周。我们理应在法律上设立某项制度对其进行专门的规定，规定银行对网络银行交易流程当中出现的可能没有办法准确实行顾客指令的情况进行预预先认定。分两种情况进行具体设定，首先，对其中认定为不可抗力较为合理情形归于免责条款，同时由双方基于平等自愿约定举证责任相关内容等；其次，对其中视为不可抗力明显不合理的情形，应根据具体情况承担各自的责任。通过这样的方式弥补将所有不能正确执行客户指令的行为笼统的全部归结为不可抗力直接作为网络银行免责条款的规定的缺陷。

（2）银行与网络服务商之间的权利义务关系。在网络银行运行的过程中，银行一般要签订两份协议，一份是与网络服务商之间签订的协议，另一份是与软硬件提供商之间签订的协议。在这两份协议中一定要对以下内容进行具体明确的约定：第一是提供的服务或者产品的质量问题，一定要保证服务和产品的先进性。第二是若发生故障造成损失，故障的排除和损失的赔偿问题，必须对双方的权利义务进行具体确定的约定，以避免事故发生时赔偿、追索等不必要的麻烦。

3.监管重心的转移

随着网上银行运转结构愈加复杂和涉及主体的多元化，监管，作为银行操作风险防范体系中绝对不可或缺的一个组成部分，也将在保障网络银行的安全运转中发挥举足轻重的功效。监管可以检测并且修正在管理操作风险过程体现出来的实体和程序方面的缺陷，将操作风险损失事件发生的可能性降到最低。仅凭监管机构单方面的力量很难充分地实现对网络银行的监管，因此，银行为了达到银行内部、外部审计相互配合发挥作用，合理预测，共同控制风险[4]的目的仍需要引进外部审计。但是我国银行往往将重心放在内部审计上，对于外部审计缺少规范化管理，同时在专门的机构人员的配置上也不完善。我认为为了切实对网络银行的运行进行监管应当加强银行与专业的审计机构在工作中的合作力度增强它们之间的亲密度，合理划分各自的监管义务，并且定期对其义务履行情况进行审查。

除此之外，因为网络银行打破了地域之间的界限，真正实现了网络全球通，相应的监管范围随之扩大。因此，要加强国际监管的合作，将监管的网全方位扩展。

4.利用商业保险缓释操作风险损失

操作风险发生的几率在网络银行这虚拟世界中要高于现实的实体银行。在发生风险事件时，商业保险或多或少能够提供一些经济上的补偿，能够在约定的范围内起到缩小银行由此遭受的亏损的作用。然而，我国的保险市场特别是操作风险保险市场不发达，保险公司推出的针对操作风险的保险产品十分缺乏，这很大程度上制约了商业银行对操作风险的缓释和转移[5]。如今很多外国保险业内已经推行了保障网络安全的险种，并且业务前景一片光明具有较大的发展空间。

就中国而言，应当学习借鉴国外领先的经验，“取其精华，去其糟粕”抓准时机推行符合我国客观实际的险种，以防范操作风险，为其网络银行保驾护航。并在相关法律中加以规定，办理有关的网上银行业务应当配以相应的网络保险，以维护网络银行的健康稳定发展。

参考文献：

[1]张素华著：《网络银行风险监管法律问题研究》，武汉大学出版社2004年版，第123页。

[2]李婧：《网络银行操作风险监管研究》，硕士学位论文，西南财经大学，2007，第24页。

[3]王琪：《防范我国商业银行操作风险的法律问题研究》，硕士学位论文，中国政法大学，2011，第18页。

[4]杨婷婷：《商业银行电子银行操作风险法律控制研究》，载《法制与经济》2010年总第213期，2月，第105页。

[5]梁爽：《网络银行的法律风险防范问题》，载《金融理论与实践》2011年第4期，3月，第117页。

作者简介：

王姣，女，（1992，02～）辽宁阜新人。辽宁大学法学院在读研究生。