客户杨先生在交通银行借记卡上存入100万元，第二天卡内剩下4950元，而此时借记卡、USBKey(电子钥匙)等文件资料都还保存在他手里。杨先生认为是交行的责任，导致了自己近百万元的损失，遂寻求法律解决。法院经审理后判定，交通银行对客户杨俊文账户上损失的近百万元不承担责任。杨俊文不解：“既然有了密码就可以把钱转走，那还要这电子钥匙做什么？”

　　□《民主与法制时报》记者 廖隆章 发自长沙

　　2007年12月4日，长沙市芙蓉区人民法院对杨俊文状告交通银行股份有限公司长沙潇湘支行合同纠纷案作出一审判决。法院判定交通银行对客户杨俊文账户上损失的近百万元不承担责任。

　　杨俊文明确表示对一审判决结果不服，已经提起上诉。

　　中国电子学会一名电子签名专家指出：“交通银行给客户提供的只是一个没有安装数字证书及对应私钥的USBKey，而以此作为银行配发的USBKey，就是给了客户一个违规的、非法的产品，是典型的欺骗客户的行为。”

　　“双控”近百万元存款不翼而飞

　　杨俊文是湖南长沙某房地产公司的法人代表，因为要和香港某公司合作一笔业务，筹集到100万元作为保证金。

　　为了保证资金的安全，“由双方共同控制这笔资金”，即“资金双控”。

　　经过多次咨询后，今年5月16日，杨在交通银行长沙潇湘支行柜台，办理了太平洋借记卡，存入了100万元现金，并开通了网上银行业务(下简称“网银”)。双方按照约定，由杨掌握着存单、身份证、银行卡，还有银行推荐买的一套“电子钥匙”(USBKey)；密码则由对方单独设定和掌握。

　　就这样，他们完成了“资金双控”的程序。

　　当天办理完这些手续，杨俊文当着香港公司代表的面，对存单、身份证、银行卡和电子钥匙进行了封存。双方约好，在香港见面进一步详谈合作的细节。杨俊文便于当天下午2时45分飞赴香港。

　　到香港后的第二天上午，杨俊文打电话联系与其约定洽谈的香港公司负责人，但电话一直打不通。他预感到事情不妙，便立即通知远在长沙的公司会计，去交通银行查询资金情况。

　　会计按杨的指令带着封存的存单、身份证、银行卡和电子钥匙，匆匆赶到交通银行潇湘支行柜台查询该笔资金情况，这时发现账户上的百万资金已经不翼而飞了，只剩下4950元。

　　杨俊文惊呆了。郁闷过后，他觉得近百万资金不能这样平白无故地蒸发，应该有人对此负责。“银行明知道我这笔资金是需要和香港合作方双控的，他们告诉我有了电子钥匙，即使密码丢了，对方也不可能把钱取走，所以我就选择控制电子钥匙。可是，钱还是被对方转走了！”经过反复思考，他认为交通银行应该对他的损失负责。

　　2007年6月5日，杨俊文以服务合同纠纷为由，将交通银行股份有限公司长沙潇湘支行告上法庭。

　　起诉要求交通银行承担责任

　　长沙市芙蓉区人民法院受理后，于8月28日、29日对此案进行了公开开庭审理。

　　庭审的焦点是：交通银行网上银行系统的安全性、电子钥匙的作用，以及泄密责任等。

　　原告坚持认为，是由于被告一再承诺，在网银环境中一方持有银行借记卡和电子钥匙，另一方持有借记卡密码，可以实现“资金双控”，原告才向被告办理了存款和网上银行业务。

　　被告向法庭提供的实时监控录像显示：原告办理存款和网银业务时，原告借记卡的交易密码、查询密码均由第三人在柜台设置。

　　杨俊文和公司会计曾多次咨询过交通银行其他网点工作人员，得到的答复是，有了电子钥匙，哪怕丢了密码，钱也转不走。杨俊文正是相信了这些，才放心地把钱存入交通银行，让对方设置密码，自己掌握存单、身份证、银行卡和电子钥匙。

　　“我们自始至终都没有动过封存的存单、身份证、银行卡和电子钥匙，对方为什么只凭密码就把钱划走了呢？”杨俊文说，按照交通银行网上银行协议，光有密码是不能将款划走的。

　　庭审时，杨俊文的代理律师出示了一个漂亮盒子包装的电子钥匙(USBKey)——一根数据线和一个类似U盘的电子产品。

　　对于该产品的安全性，杨俊文的代理律师在法庭上表示质疑：“根本就没有看到该电子钥匙的产品合格证和使用说明书。”并拿出了经公证部门封存的一套相同的产品——没有产品合格证和使用说明书。

　　对此，被告交通银行的代理律师认为：交通银行新一代网上银行系统于2006年10月经过中国信息安全产品测评认证中心的系统安全风险评估，认定该行网银系统可以满足银监会《电子银行安全评估指引》关于网上银行的安全要求。对于证书认证版网银系统，该认证中心专家认为：基于数据鉴别方面使用客户证书，保存在自己的USBKey中，别人就无法假冒，从而保证了客户的资金交易安全。本案中，导致该款被转移的原因是因为原告自己把密码泄露给了第三人。

　　一审认定：“双控”不能约束交行

　　“数字证书在用户到交通银行办理网银业务时，即由网银系统产生，但银行并未在办理该业务时，将已产生的数字证书下载到配备给用户的电子钥匙中，而是需要用户自己下载”，杨俊文代理律师认为，银行也未将电子钥匙进行任何特定处理，因此，银行在办理网银时配备的电子钥匙是一个完全空白、无任何特定化信息的物理介质。

　　数字证书下载需要输入三个信息：借记卡卡号、借记卡查询密码和开通网银签约时的协议号。其中借记卡卡号和网银签约的协议号，交通银行均已公开打印在《交通银行股分有限公司个人网上银行业务申请表》中。由于电子钥匙未进行与用户身份相关联的特定化处理，任何人只要知道数字证书下载需要的三个信息，均可将原本应当属于他人的数字证书下载到自己的空白电子钥匙中。代理律师据此分析，“或许，对方正是瞅准了这个漏洞，才得以将巨款转走”。

　　该律师认为，在交通银行的网银环境中，银行配备给用户的电子钥匙“不是用户身份识别的要素，完全不能起到识别用户身份的作用，而开通网银的借记卡的密码成为网银环境下用户身份识别的唯一要素”。因此，“交通银行提供的电子钥匙USBKey产品，完全是画蛇添足。”

　　被告交通银行代理律师则认为：根据交通银行和原告双方达成的《交通银行太平洋借记卡领用合约》及《交通银行股份公司个人网上银行服务协议》，交通银行按照合约已经履行了义务，比如在交易过程中为客户设置交易密码等安全因素，并将形成的各种凭证交客户保管。

  [1]  [2]  [下一页]