黑客网上盗卖股民股票 券商是否担责

　　■本期主持人：万静(本报公司法务专刊部编辑)

　　■本期嘉宾：胡忠孝（深圳国信证券公司法律部主任）

　　  唐丽子（对外经济贸易大学法学院副教授）

　　瞿丽红（北京市京都律师事务所律师）

　　话题背景

　　三个只有高中文化程度的电脑黑客，用一种叫“证券大盗”的木马病毒，在短短一个多月时间内，截获股民股票账户、密码，盗买、盗卖股票价值1141.9万元，非法获利38.6万元。为此，一杭州受害股民洪某状告浙江金通证券股份有限公司、浙江金通证券股份有限公司义乌化工路证券营业部，请求赔偿损失人民币十万元。他的理由是，证券公司作为网络交易系统的提供者，没有尽到保障客户网上交易安全的义务，理应承担全部赔偿责任。

　　证券公司则认为，损失是犯罪分子造成的，他们才是惟一的获利者。洪先生索赔找错了对象。何况客户因为点击了问题网页，而自身又未使用杀毒软件，导致账户和密码失窃，其本身就有过失。而证券公司并无过错，证券公司的交易系统好比一个房间，房间本身是安全的，但如果是股民在房间外先被窃取了房间的钥匙，这时交易系统是无能为力的。

　　核心提示

　　维护证券交易系统的安全并非证券公司一方的义务，而是证券公司和股民共同的责任，仅仅证券公司一方的努力并不能保证证券交易系统的绝对安全，只有证券公司和股民的合力，方能最大限度维系证券交易系统的安全可靠。

　　【议题一】

　　主持人：本案中，对于股民的损失，证券公司是否有过错，是否应该担责？

　　瞿丽红：根据本案的案情来看，是黑客租用网络空间，仿冒证券公司网站，设置木马病毒，诱使股民误入圈套，盗其账号和密码，而造成经济损失。实施侵权的主体是黑客而不是证券公司和证券营业部，应被追究赔偿责任的对象是黑客而不是证券营业部。

　　其次，如以证券公司作为网络交易系统的提供者，未尽客户网上交易安全的义务为由，认为证券公司有过错责任，是从证券公司的设备是否符合国家有关质量检测部门的许可，以及双方的协议约定和证券营业部对股民客户的网上交易是否尽到风险提示的通知义务中判断。比如证券公司安装的证券交易网络交易系统在进入营业状态之前是否通过国家有关技术部门的审核和批准，是否有相关的质量检验合格证书，或有相关证明文件能够证明该证券公司的网络交易系统是安全的，安全级别是否符合股民网络交易的必备条件，并且证券公司营业部是否对股民从事网络交易的委托方式进行了风险提示。如果说证券公司和证券营业部都已尽到通知义务，只是股民自己误入黑客网站而引起的损失后果应由黑客承担，反之，则应由证券公司及证券营业部承担。

　　唐丽子：2005年3月25日中国人民银行和中国证监会联合发布的《证券公司信息技术管理规范》(以下简称《信息管理规范》)规定：因证券公司操作失误导致的技术事故，经调查核实后，应由证券公司负相应责任。根据《信息管理规范》规定，如因证券公司操作失误导致网上交易系统安全性降低，造成投资者的证券账户和密码被盗用而使其遭受损失，经调查核实后应由证券公司承担相应责任。

　　根据案情介绍，投资者遭受损失的直接原因是其点击或误进他人设有病毒的网站，而非证券公司的操作失误或故意行为。从保护投资者利益是证券法的立法宗旨及证券市场监管目标角度考量，就证券公司提供网上交易途径，赋予其明确告知网上交易系统之域名、网址等信息的义务，并要求其在出现类似案例后以适当方式及时告知广大股民相关信息，否则可以认为证券公司有一定的过失责任，是合理的。当然，目前尚无法律、行政法规对类似情形下股民损失的如何赔偿有明确规定，因此在本案中，如果有证据证明证券公司已履行向股民明示网上交易途径的告知义务，应当免责。

　　如果非因证券公司操作失误或故意，股民的证券账户与密码在证券公司提供的交易系统中被破译，则属于证券交易过程中的技术风险，根据《信息管理规范》，因不可抗力等原因引发的技术事故，证券公司免责。

　　【议题二】

　　主持人：对于券商一方“证券公司的交易系统好比一个房间，房间本身是安全的，但如果是股民在房间外先被窃取了房间的钥匙，这时交易系统是无能为力”的说法，您怎么看？

　　瞿丽红：我认为券商的观点不够完整。如果房间本身安全，锁不安全，黑客持任一把钥匙都能打开房间，此时就不能说交易系统是无能为力的。一般股民进行交易委托的方式有电话委托、自助终端委托、柜台委托、网络委托等多种委托方式，而委托方式的选择，是由股民在与证券营业部签定证券交易委托代理协议时自己选取。除柜台委托须股民或委托代理人书面认可以外，其他委托包括网络委托交易，仅需账号和交易密码就可进入股民的交易账户进行交易。如因股民保管不善、丢失账号和密码的损失风险由股民自己单方承担；如券商在其中有任何过错，则可根据过错责任大小由券商承担相应的责任；如是因为房间本身是安全的，而锁是不安全的，则券商是有过错的。

　　胡忠孝：对券商的观点基本赞同。

　　客观的讲，证券公司本身的交易系统并不存在导致股民损失的问题或瑕疵，其交易系统从总体上看是安全、可靠的。但是，由于股民的不当登录、进入或链接，导致了股民自身交易信息特别是交易密码的泄密，使得作为第三人的犯罪分子的犯罪目的得逞，侵入股民的证券交易子系统并实施了犯罪行为。毕竟维护证券交易系统的安全并非证券公司一方的义务，而是证券公司和股民共同的责任，仅仅证券公司一方的努力并不能保证证券交易系统的绝对安全，只有证券公司和股民的合力，方能最大限度维系证券交易系统的安全可靠。

　　本来，对于股民而言，其最基本的义务之一是对自身交易密码负有保密义务，股民通过直接有意告知方式或如本案中间接的、非有意的方式透露、泄露或公开密码，均违背了客户承担的保密义务，应当就此承担相应的法律责任，而不能将责任转嫁到证券公司。

　　【议题三】

　　主持人：在日益频繁发生的证券纠纷中，您认为证券公司承担责任的底线是什么？结合此案，您认为券商又该如何提高风险防控能力？

　　胡忠孝：在普通证券纠纷中，证券公司承担责任的底线是证券公司本身存在过错，亦即承担过错责任，如果证券公司本身并不存在过错，而欲对其加责，明显有违民法上的公平原则。对于证券公司而言，欲防范和控制此类技术风险，宜从以下几方面着手：(1)在与股民的证券交易委托代理协议中明确约定，股民对自身交易密码等信息负有保密义务，不得以直接或者间接的方式对外泄露或公开，划清界限，明确义务和责任；(2)随时提醒股民定期更换交易密码；(3)进一步提高服务水平，为股民提供硬件加密措施，如相关安全证书等。

　　唐丽子：2005年修正的《证券法》将证券公司虚假陈述、内幕交易、操纵市场、欺诈客户及擅自发行等行为纳入可追究民事责任之范畴。所谓证券民事责任，实质上是行为人因证券违法行为给他人造成损失时，依法应当承担的民事赔偿责任，即侵权责任。侵权行为的构成要件包括：违法行为，损害事实、违法行为和损害事实之间的因果关系。证券公司承担民事赔偿责任的底线是有违法行为。

　　在信息技术迅速发展的今天，网络安全已成为整个证券交易系统安全的重要组成部分。证券公司应当依据相关法律、行政法规采取各种行之有效的措施和最新技术积极完善内部控制，以加强对交易系统的管理，确保交易系统的安全。此外，证券公司也可以通过各种形式和途径向投资者告知网上交易的重要信息，提示网上证券交易可能存在的风险。