2006年4月21日晚10时，被告人许霆来到广州天河区黄埔大道某银行的自动柜员机取款。结果取出1000元后，银行卡账户里只被扣1元，许霆先后取款171笔，合计17.5万元。许霆潜逃一年后被抓获，以盗窃罪被判无期徒刑。后经广州市中级人民法院一审重审以盗窃罪改判有期徒刑五年，罚金两万，追讨其取出的173826元。判决结果一出，犹如一石激起千层浪,引发各方人士的高度关注和热议,”，甚至有律师认为不应对嫌疑人追究刑事责任。从支付行为之角度看许霆案件，能给我国完善支付清算法律，规范金融机构行为提供借鉴。

    柜员机的法律地位问题

    反对许霆成立盗窃罪的观点认为柜员机不是金融机构，理由是按《商业银行法》第11条规定“设立商业银行，应当经国务院银行业监督管理机构审查批准。”及第12条规定“设立商业银行，应当具备下列条件：有符合本法和《公司法》规定章程；有符合本法规定的注册资本最低限额；有具备任职专业知识和业务工作经验的董事、高级管理人员；有健全的设立商业银行，还应当符合其他审慎性条件，有健全的组织机构和管理制度；有符合要求的营业场所、安全防范措施和与业务有关的其他设施。而自动柜员机都不具备上述条件，它没有《工商营业执照》和《金融机构金融营业许可证》，至少不是一个单纯的金融机构。

    但实际上，自动柜员机内的资金是金融机构的资金，它本身也是银行的资产，是银行业务的延伸，是归银行所有和管理的，因此可以认定自动柜员机是金融机构特殊的载体，在现实当中，“金融机构”不一定非要狭窄地理解为一定有人在那办公，关键要看它是否处在金融机构的管理控制之下，而这也是金融业界人士的共识。

    许霆的主观恶性与银行的法律责任

    许霆的行为可以分为两个阶段，第一个阶段许霆在第一次取1000元钱时，发现只被扣掉1块。他第一次的取款行为按照“不当得利”这样理解是没问题的。而第二阶段在他发现了ATM机本身存在的故障以后，恶意利用ATM机的故障，一而再、再而三地170次恶意取款，侵吞银行的财产，从而非法占有的17万元款项则不是“不当得利”，而是以非法占有为目的而实施的盗窃行为。《刑法》第264条规定盗窃罪是指以非法占有为目的，秘密窃取公私财物数额较大或者多次盗窃财物的行为。有观点认为对许霆不能适用盗窃罪，理由是许霆使用本人的实名银行卡，到有监控系统的自动取款机上取款，输入的是自己的密码，因此取款行为是公开的，其行为不符合盗窃罪所要求的秘密特征。可实际上，盗窃罪中的“秘密窃取”是指取得财物的当时，财物的占有人并不知道，就如在公共汽车上有人行窃时，小偷在出车门时就被失主发现，但不能改变盗窃时是“秘密窃取”的性质；同样，银行记录和监控录像只是事后让财物占有者知道情况的证据，在许霆取款的当时银行并不知晓，许霆的行为是利用自动取款机的故障在银行当时不知晓的情况下恶意取款，其行为完全符合盗窃罪的特征。

    那么，银行是不是就没有责任了呢？答案是否定的，整个案情来看，由于生产厂家的过失，造成银行设置的取款机是存在质量问题的，这是不争的事实。而银行对客户提供有问题的取款机，也已经对客户构成了侵权；取款机少给钱或储户取不出钱是对客户的侵权，取款机多给钱同样也是对客户的侵权，因为同样给客户造成了麻烦；如果说客户得到了利益，那么也是因为你银行侵权所造成的。一般情况下银行的自动柜员机发生故障造成错取钱后，银行方面会调取自动柜员机中相关数据或者通过监控录像查找取款人，联系取款人向其说明情况后要求其退款。通常银行都是以弥补损失为目的。如果发生数额较大而当事人又不肯退款的情况，银行才会采取报案的方式解决。广州的这家银行不急着先追款，也没有联系许霆协商退款事宜，而是直接报案的办法完全抹杀了银行的责任。就在“许霆案”在审判期间，英国也发生了类似事件，自动柜员机出现错误，取一“赠”一，双倍吐钞，因此吸引了有将近100人排队去取钱。但是之后英国相应银行的反应却是让人大跌眼镜，银行主动上门向民众道歉，表示要为出现这样的差错负责，之后才是进行相关的追款行动，并且发表声明绝不起诉取款民众，表现出了一种负责任的凛然态度。

    对完善电子支付手段的思考

    （一）金融信息软件安全亟待加强。近几年随着互联网的迅速发展和电信网络的普及应用，电子支付手段日趋普及，许霆案也给我们的金融软件安全敲响了警钟，作为自动柜员机运营商，在许霆利用信用卡在自动柜员机上恶意取款案中负有不可推卸的责任。因为从金融信息系统软件设计的角度来看，信用卡在自动柜员机机上取款至少要受五个条件的限制: 一是取款限额限制（如储蓄账户余额或透支额度），二是每日取款总额限制，三是每日取款次数限制，四是取款数额和账户余额减少额均应是50的整数倍且数额相等（自动柜员机机上只能取50元和100元面额的纸币），五是每次取款自动柜员机机所能给出的最多钞票张数的限制。而从许霆恶意取款的情况来看，许霆在两天内恶意取款170余次，取款额17万余元，每次取款额1000元均大于其账户余额，账户余额每次只扣减1元，上述限制条件均没有起到限制作用，自动柜员机机中的软件缺少必要的取款限制条件，显然是软件设计上的重大过失。若自动柜员机机运营者严格按照软件工程设计规范的要求，聘用专业的软件测试单位进行软件测试或软件监理单位进行软件质量控制，或自我进行认真负责的软件测试工作，或者自动柜员机机运营商在将升级软件投入使用前与银行的信息系统进行兼容性测试和系统集成测试，确保银行对信息系统中具有对自动柜员机机的交易报文进行合乎自动柜员机机取款限制条件的数据合法性校验功能运行正常，完全可以做到一旦发现自动柜员机机交易报文中数据异常，立即向自动柜员机机发出禁止交易的指令，类似许霆恶意取款的案件应是可以避免的。

    （二）人民银行与银监机构应及时出台有关大型机械器具如ATM机尤其是IT系统外包风险管理办法等。目前，金融机构IT系统由于自身开发能力有限，许多大型的IT应用系统都实行外包，但外包企业的资质和能力及开发的IT系统等总是存在各种各样的问题，如系统漏洞、程序不完善、病毒破坏等。如果没有IT系统外包风险管理的法律与法规出台，一旦IT系统出现问题时，责任很难划分，且IT系统出现问题时可能会造成金融机构的破产和倒闭。因此，有必要未雨绸缪，与银监机构制定一部如《IT系统外包风险管理办法》，防范风险。

    （三）金融机构应树立平等的服务理念。“许霆案”发生在金融机构和他的服务对象之间，首先应当在平等权的基础上，运用民法条例来解决；而银行直接动用公权力则是一种不恰当的做法，因为公共权力是依靠纳税人的资金来维持的，是一种稀缺资源，稀缺资源不得随便动用。银行在发生类似事件时应该采取一种负责任的态度，勇于承认过失，向储户道歉，平等协商问题的解决方案，展现出高风亮节，即使是作为一种营销公关手段也未为不可。拔一毛惠天下，既可以赢得客户的好感和信任，也可以获得处置自己安全失误的经验。