銀行卡被盜刷該誰“買單”

劉澤華?王志永

基本案情

2014年11月30日，《人民法院報》刊登了一則案例《銀行卡被盜刷189萬元，該誰“買單”》。2010年7月，劉女士被騙，與不法分子簽訂購銷合同。在不法分子陪同下，劉女士的妹妹到農(nóng)行六盤水分行（下稱六盤水分行），以劉女士名義開立了借記卡，并將劉女士資金195萬元存入借記卡。不法分子要求到銀行查詢款項是否入賬，劉女士的妹妹便將借記卡給不法分子查看，并由不法分子陪同劉女士的妹妹到ATM上查詢余額，查詢過程中不法分子乘劉女士妹妹不備偷窺了銀行卡密碼。此后，不法分子利用獲取的劉女士銀行卡信息并將銀行卡復制，在澳門通過POS機將劉女士借記卡內(nèi)存款189萬元全部消費。發(fā)現(xiàn)存款被盜后，劉女士向公安機關報案。由于被盜款項未能追回，劉女士將六盤水分行訴至貴州六盤水市中級人民法院，一審判決該行承擔70%責任。劉女士不服，向貴州省高級人民法院（下稱貴州高院）提起上訴。貴州高院二審認為，六盤水分行負有保證儲戶銀行卡內(nèi)信息不被他人竊據(jù)、復制的義務，應通過技術投資和軟硬件改造加強風險防范，確保存儲于銀行卡內(nèi)的儲戶信息安全，對于安全漏洞及技術風險銀行理應承擔責任，據(jù)此，貴州高院判決六盤水分行承擔100%的責任，支付劉女士189萬元。

法律分析

近年來，不法分子使用復制銀行卡（下稱“偽卡”）盜取持卡人資金，持卡人起訴銀行要求支付存款或賠償損失民事案件發(fā)案勢頭十分迅猛，法院一般傾向于保護持卡人權(quán)益，個別地方法院甚至出臺司法文件保護持卡人利益，忽視銀行合法權(quán)益，導致此類訴訟銀行敗訴明顯風險增加。例如，廣東省高級人民法院出臺《關于審理偽卡交易民事案件工作座談會紀要》，強調(diào)持卡人的弱者地位，加重銀行的舉證責任，并明確規(guī)定偽卡民事案件銀行應承擔不低于50%責任。一些別有用心之人甚至利用法院這種審判傾向提起偽卡虛假訴訟，詐騙銀行資金。在此類民事訴訟中，銀行是否有義務識別偽卡、應當如何承擔責任？我們認為，人民法院應當依據(jù)我國《民事訴訟法》第七條關于“人民法院審理民事案件，必須以事實為根據(jù)，以法律為準繩”的規(guī)定，充分查明案件事實，合理界定當事人各自過錯，準確適用法律，公平劃分雙方責任。

銀行是否有義務識別偽卡?！吨腥A人民共和國國家標準——銀行卡磁條信息格式和使用規(guī)范》（GB/T19584-2010）第1條規(guī)定：“本標準規(guī)定了銀行卡磁條的信息格式和使用規(guī)范。本標準適用于中華人民共和國境內(nèi)發(fā)行和使用的各種銀行卡”。中國人民銀行《中華人民共和國金融行業(yè)標準——銀行卡磁條信息格式和使用規(guī)范》等規(guī)范性文件也規(guī)定了磁條銀行卡的制作發(fā)行標準。從我國磁條銀行卡誕生至今，銀行制作發(fā)行的磁條銀行卡一直完全符合國家銀行卡標準。根據(jù)銀行卡標準，磁條銀行卡采用CVN技術對磁條信息合法性進行驗證。CVN以數(shù)據(jù)形式記載于磁條中，由于磁條的物理特性，磁條信息以磁感應形式存儲在磁介質(zhì)表面，只要通過磁感應器，磁條信息就有可能被讀取或記錄，通過磁條本身是無法對讀寫操作進行控制的，這是在最初設計磁條銀行卡時無法預見的，不法分子正是利用了磁條卡的這種物理特性來復制銀行卡。在磁條銀行卡發(fā)明之初，沒有任何其他介質(zhì)比磁條更適合于作為銀行的存儲介質(zhì)，磁條銀行卡這種便于制作、成本較低的特性極大地促進了銀行卡產(chǎn)業(yè)的發(fā)展，產(chǎn)生了積極的社會效果。

這里需要強調(diào)的是，不管真實銀行卡還是偽卡，磁條信息在傳輸過程中都表現(xiàn)為二進制數(shù)字，只有和銀行系統(tǒng)存儲信息是否相同之分，沒有真假之分，銀行是沒有辦法對磁條信息是來自于真實銀行卡還是偽卡進行識別的。因此，根據(jù)國家磁條銀行卡標準，不法分子使用偽卡在ATM、POS機、多媒體終端及各種自助機具等非柜臺交易中，銀行沒有義務而且沒有辦法對磁條信息的真?zhèn)芜M行識別，銀行未能識別偽卡沒有任何過錯。當然，如持卡人在銀行柜面或者商戶POS機使用銀行卡進行交易，那么銀行或商戶就要對銀行卡制作材料、文字表述等真實性進行審核，負有對銀行卡卡片的實質(zhì)審核義務。

偽卡民事訴訟是否存在侵權(quán)責任和違約責任競合。我國《合同法》第122條規(guī)定了違約責任和侵權(quán)責任競合問題：“因當事人一方的違約行為，侵害對方人身、財產(chǎn)權(quán)益的，受損害方有權(quán)選擇依照本法要求其承擔違約責任或者依照其他法律要求其承擔侵權(quán)責任?！背挚ㄈ艘虿环ǚ肿邮褂脗慰ūI取其資金起訴銀行，以及法院審理此類案件，持卡人、相當一部分律師甚至法官也認為存在侵權(quán)責任和違約責任的競合問題。從法理上分析，侵權(quán)責任和違約責任是兩種完全不同的責任類型，它們所違反的義務性質(zhì)是不同的，違約責任違反的是合同約定義務，侵權(quán)責任違反的是法定義務，實踐中，約定義務與法定義務可能會重合，導致了責任競合。

從違約責任與侵權(quán)責任競合的產(chǎn)生原因分析，主要有兩種情形：一是侵權(quán)性違約，即侵權(quán)行為直接構(gòu)成違約的原因。主要是指行為人實施的侵權(quán)行為致使受害人合同利益受損，符合違約責任的構(gòu)成要件。這種情況下，行為人主觀上具有過失，侵權(quán)行為是原因，是條件，而違反合同約定的義務是結(jié)果;二是違約性侵權(quán)，即違約行為直接構(gòu)成侵權(quán)的原因，主要是指行為人的違約行為致使受害人遭受相關損失，同時符合了侵權(quán)責任的構(gòu)成要件。在這種情況下，違約行為是原因，是條件，使受害人財產(chǎn)受到侵害的事實是結(jié)果，因此可以說是行為人的違約行為導致了受害人的財產(chǎn)權(quán)受到侵害。在許多情況下，行為人對侵害受害人財產(chǎn)權(quán)益并不存在故意，僅是因為違反合同約定義務而導致了受害人財產(chǎn)權(quán)益受損。這是由違約引起侵權(quán)而造成的責任競合問題。

需要強調(diào)的是，銀行與持卡人要么存在信用卡合約關系，要么存在儲蓄合同關系?？v覽國內(nèi)各家商業(yè)銀行借記卡章程和信用卡領用合約，均沒有約定銀行應保障持卡人資金安全、應為持卡人提供安全交易環(huán)境等義務。實際上，國家為保障存款人存款安全，已將銀行的這些義務上升為法定義務，例如，《商業(yè)銀行法》第29條第1款規(guī)定：商業(yè)銀行辦理個人儲蓄存款業(yè)務，應當遵循存款資源、取款自由、存款有息、為存款人保密的原則。《侵權(quán)責任法》第37條規(guī)定，賓館、商場、銀行、車站、娛樂場所等公共場所的管理人或者群眾性活動的組織者，未盡到安全保障義務，造成他人損害的，應當承擔侵權(quán)責任。銀行與持卡人儲蓄合同或信用卡領用合約中沒有銀行相關義務條款，直接導致偽卡民事訴訟中，銀行沒有違反任何儲蓄合同或信用卡合約條款，不構(gòu)成違約性侵權(quán)或侵權(quán)性違約，也就不存在侵權(quán)責任和違約責任競合問題。例如，在《最高人民法院公報》（2005年04期）刊登的顧駿訴上海交行儲蓄合同糾紛案中，法院沒有查明顧駿與上海交行之間的儲蓄合同條款，沒有認定上海交行違約。因此，偽卡民事訴訟銀行只可能構(gòu)成侵權(quán)責任，沒有適用違約責任的前提條件。

銀行和持卡人可能存在的過錯。既然在偽卡民事訴訟中應適用侵權(quán)責任，按照我國《侵權(quán)責任法》所確立的過錯責任原則，就要詳細厘清持卡人和銀行在偽卡交易中可能存在的過錯。

其一，銀行可能存在的過錯。我國《侵權(quán)責任法》第37條規(guī)定了銀行的安全保障義務，我國《合同法》第60條規(guī)定銀行的附隨義務，即當事人應當遵循誠實信用原則，根據(jù)合同的性質(zhì)、目的和交易習慣履行通知、協(xié)助、保密等義務。因此，銀行卡法律關系中，銀行負有向持卡人提供安全交易環(huán)境，保證服務場所、系統(tǒng)設備的安全適用，以保障持卡人銀行卡信息、密碼等信息數(shù)據(jù)安全等義務。現(xiàn)實中，一些銀行確實違反了這些義務，其過錯通常表現(xiàn)在，沒有及時清理不法分子安裝在ATM等自助終端上的側(cè)錄設備，導致不法分子竊取了銀行卡磁條信息，并通過MP4等視頻設備偷錄了持卡人輸入密碼的動作從而竊得銀行卡密碼。同樣道理，如果POS商戶沒有采取相應措施保障持卡人用卡安全導致持卡人磁條信息或密碼泄露，則POS商戶存在過錯。

其二，持卡人可能存在的過錯。根據(jù)《合同法》第60條關于附隨義務的規(guī)定，持卡人也應當履行一定的合同附隨義務，在使用銀行卡時應對賬號、密碼、身份證件等信息和資料承擔保密責任，特別是預留銀行密碼，持卡人要嚴格保密，不能隨意告訴他人。同時，根據(jù)有關銀行卡章程或信用卡領用合約的約定，持卡人也必須妥善保管銀行卡及密碼。如持卡人將銀行卡信息告訴或泄露給他人，出借銀行卡，或在ATM、POS機交易輸入密碼時疏忽大意，沒有用手遮擋密碼鍵盤造成密碼被他人偷窺。一般來說，偽卡民事糾紛中，除持卡人故意將密碼告訴他人外，其密碼泄露的途徑只有一個，就是持卡人在ATM、POS機輸入密碼時，由于不小心或放松警惕，被不法分子當場偷窺或被不法分子安裝的攝像頭拍下輸入密碼動作，從而竊得密碼。在不法分子能夠使用偽卡盜取持卡人資金風險事件廣為人知的今天，銀行卡可能被不法分子復制、密碼可能被不法分子竊取已經(jīng)成為一種社會常識，持卡人仍然不注意維護密碼安全，放任密碼泄露，則表明持卡人是存在較為明顯過錯的。

偽卡民事訴訟不存在侵權(quán)責任與違約責任競合問題，應適用侵權(quán)責任原則。根據(jù)《民事訴訟法》第7條關于“人民法院審理民事案件，必須以事實為根據(jù)，以法律為準繩”的規(guī)定，法院審理此類案件，應仔細案件查明事實，準確界定雙方當事人過錯，依據(jù)銀行和持卡人各自的過錯劃分責任。如果發(fā)卡行沒有及時清理ATM等自助機具上的非法測錄設備導致持卡人銀行卡磁條信息泄露，就由發(fā)卡行承擔責任，如果收單行沒有及時清理，就由收單行承擔責任，如果POS商戶沒有為持卡人提供安全用卡環(huán)境，就由商戶承擔責任，如果持卡人輸入密碼時沒有用手遮擋密碼鍵盤，密碼泄露，則持卡人也存在過錯，應根據(jù)過錯大小承擔相應責任。監(jiān)管部門也注意到了這個問題，例如，銀監(jiān)會《電子銀行業(yè)務管理辦法》第89條第2款明確規(guī)定：因客戶有意泄漏交易密碼，或者未按照服務協(xié)議盡到應盡的安全防范與保密義務造成損失的，金融機構(gòu)可以根據(jù)服務協(xié)議的約定免于承擔相應責任。

私人密碼在銀行卡交易中的重要作用。銀行卡交易中，私人密碼由持卡人生成且只有持卡人本人知悉，其作用在于辨識客戶身份及對交易內(nèi)容的確認，起到數(shù)字簽名（電子簽名）的功能。在銀行交易系統(tǒng)中，即使在銀行柜臺電腦前的工作人員也看不出來，銀行中心系統(tǒng)機房也無法查到持卡人所設密碼。借記卡章程或信用卡合約通常約定：“凡使用密碼進行的交易，發(fā)卡銀行均視為持卡人本人所為”，即私人密碼交易規(guī)則。實踐中，個別法院認為該條款屬于免除銀行責任的格式條款，宣告其無效。這種隨意否定私人密碼交易規(guī)則的做法是不符合現(xiàn)代商事交易基本原則和交易慣例的。

在現(xiàn)代商事交易中，逐漸形成了私人密碼交易視為本人行為原則，但以下特殊情況除外：一是私人密碼使用涉及的軟件密級程度過低;二是失竊、失密及時向銀行掛失后，有人仍憑此密碼交易;三是操作系統(tǒng)受到黑客攻擊。私人密碼交易視為本人行為原則是現(xiàn)代商事交易的基本原則，中國人民銀行《銀行卡業(yè)務管理辦法》第39條間接確立了這一原則。同時，與國外相比，我國持卡人更加注重交易密碼的作用，國外信用卡持卡人一般不設密碼，而是通過簽名驗證身份，我國持卡人更傾向于通過密碼驗證身份，私人密碼交易原則更加適合我國國情，這早已形成商業(yè)慣例。因此，法院應尊重我國國情，并尊重這一重要的商事交易原則，不應輕易否定其法律效力。本文主張確立私人密碼交易規(guī)則并不是為銀行開脫責任，因為銀行即使依據(jù)該原則要求免責，如果因未履行安全保障義務導致客戶銀行卡信息和密碼泄露，應按照誰泄露信息誰承擔責任原則，銀行也承擔相應的侵權(quán)責任。

債權(quán)準占有人制度在偽卡民事訴訟中的應用。債權(quán)準占有人制度，是指沒有得到債權(quán)人授權(quán)，但持有債權(quán)憑證的第三人（債權(quán)準占有人）向債務人（銀行）主張債權(quán)，債務人按照正常的操作規(guī)程，盡到合理的注意義務審查第三人遞交的債權(quán)憑證，善意地相信第三人就是真實的債權(quán)人，向第三人支付資金等，從而導致真正債權(quán)人的債權(quán)消滅，債務人對第三人的給付行為受到法律保護的一項民法制度。債權(quán)準占有制度的關鍵要件在于，債務人是善意的，不知道且不應當知道非授權(quán)人所持債權(quán)憑證系偽造。在不法分子使用偽卡交易時，如前所述，銀行（這里僅指發(fā)卡行，不含收單行）是無法識別銀行卡磁條信息真?zhèn)?，如果銀行沒有泄露持卡人銀行卡信息，向不法分子支付了存款，那么就可以認定銀行是善意的，則銀行可以依據(jù)該民法制度要求免責。但是，如果發(fā)卡行泄露了持卡人銀行卡信息或密碼，則發(fā)卡行存在過錯，不應適用債權(quán)準占有人制度。實踐中，一些法院已經(jīng)開始認同債權(quán)準占有人制度，并運用到類似案件審判中。

從上述分析來看，貴州高院審理的劉女士訴六盤水分行案明顯存在事實認定不清、法律適用錯誤等問題。首先，本案適用案由錯誤。貴州高院認定本案為儲蓄合同糾紛，應適用違約責任，但是，貴州高院自始至終沒有查明六盤水分行究竟違反了儲蓄合同哪條約定，就認定該行違約，明顯有失偏頗。實際上，貴州高院認定的六盤水分行所違反的義務，例如，銀行負有保證儲戶銀行卡內(nèi)信息不被他人竊取、復制的義務，屬于法定義務。既然銀行違反了法定義務，該義務又沒有在合同中約定，則本案就不應適用違約責任案由，而應適用侵權(quán)責任案由。其次，貴州高院沒有查明劉女士銀行卡磁條信息泄露途徑，沒有明確六盤水分行是否泄露了劉女士銀行卡磁條信息，如果不法分子在其他銀行安裝側(cè)錄設備盜取劉女士銀行卡信息，則其他銀行存在過錯，在其他銀行存在過錯而農(nóng)行沒有過錯情況下，貴州高院判決農(nóng)行承擔責任明顯不妥。再次，劉女士存在明顯的違約和過錯行為。劉女士將銀行卡交給其妹妹使用，其妹妹又將銀行卡交給不法分子查看，明顯違反了銀行卡章程關于持卡人不得將銀行卡交給他人的約定，應屬劉女士違約。同時，劉女士的妹妹輸入密碼時，在不法分子在場情況下，沒有用手遮擋密碼鍵盤，導致密碼泄露，存在疏忽大意的過錯。貴州高院這種縱容持卡人隨意將銀行卡交給他人、持卡人在輸入密碼時可以疏忽大意任由他人偷窺密碼的觀點，不利于銀行卡市場的健康有序發(fā)展。最后，貴州高院適用法律錯誤。既然本案應適用侵權(quán)責任相關案由，劉女士又存在過錯，貴州高院應當在查明劉女士與六盤水分行各自過錯的基礎上，適用《侵權(quán)責任法》相關規(guī)定進行判決。綜上，本案判決有違我國《民事訴訟法》第七條關于“人民法院審理民事案件，必須以事實為根據(jù)，以法律為準繩”的規(guī)定。

意見與建議

根據(jù)人民銀行有關部署，商業(yè)銀行2015年元旦起全面啟動EMV遷移工作，銀行不再發(fā)行磁條卡，全部發(fā)行芯片銀行卡。但是，我國磁條銀行卡數(shù)量龐大，存量磁條卡仍然可以使用，如果持卡人未將磁條卡更換為芯片卡，則仍存在被復制風險，偽卡民事訴訟還會大量出現(xiàn)。為規(guī)范法院審理此類案件，保護銀行和持卡人雙方合法權(quán)益，促進銀行卡市場健康有序發(fā)展，我們建議：

盡快出臺審理偽卡民事案件司法解釋。一是明確此類案件應適用侵權(quán)責任案由，排除違約責任和侵權(quán)責任競合問題，法院應在查明持卡人、銀行或POS商戶各自過錯的基礎上公平合理裁判。二是確立誰泄露銀行卡信息誰承擔責任原則，銀行泄露就由銀行承擔責任，客戶泄露信息就自行承擔責任，雙方均有過錯時根據(jù)過錯大小分擔責任。三是規(guī)范法院偽卡民事訴訟案件對私人密碼交易規(guī)則相關標準，不應輕易否定該規(guī)則的法律效力。四是明確債權(quán)準占有人制度在此類案件中的適用，在銀行善意且沒有過錯情況下，法院可以適用債權(quán)準占有人制度判決銀行免責。

銀行要不斷完善ATM管理等內(nèi)控機制。銀行要完善ATM等自助設備檢查巡視制度，及時發(fā)現(xiàn)、排查和解決自助服務區(qū)域的可疑現(xiàn)象、設備、故障及相關問題，確保金融服務環(huán)境安全可靠。不斷優(yōu)化統(tǒng)一客服熱線自助語音系統(tǒng)程序和人工服務程序，注意提高客服電話的接聽和處理效率，及時為持卡人提供掛失等應急處理服務。按規(guī)定妥善保存自助服務區(qū)域相關錄像資料，提前安排好相關證據(jù)收集和保存工作。同時，銀行還可以根據(jù)《保險法》有關規(guī)定，借助保險機制分散偽卡欺詐可能造成的經(jīng)濟損失。

不斷提高持卡人安全用卡意識。銀行業(yè)監(jiān)管部門、銀行業(yè)協(xié)會及商業(yè)銀行可采取適當方式向持卡人提示銀行卡交易中可能發(fā)生的各種風險，提高持卡人主動防范風險的能力。例如，使用自助設備前應留意周邊環(huán)境是否安全，自助設備上有無多余的裝置;輸入密碼時應作適當遮擋，避免他人窺視;有問題應撥打銀行統(tǒng)一客服電話，不要撥打自助設備周圍所顯示的可疑電話等。

加快銀行卡EMV遷移步伐，徹底解決偽卡欺詐問題。EMV遷移的實質(zhì)是銀行卡從磁條卡向智能芯片卡的轉(zhuǎn)換。芯片卡增加了讀寫保護和數(shù)據(jù)加密保護功能，大大提高了銀行卡的安全性。銀行業(yè)監(jiān)管部門和商業(yè)銀行應高度重視此項工作，從促進銀行卡產(chǎn)業(yè)可持續(xù)發(fā)展角度出發(fā)，推動銀行卡盡快從磁條卡向芯片卡升級;持卡人也要從安全角度出發(fā)，盡快將磁條銀行卡更換為芯片卡，從技術上徹底解決偽卡欺詐問題。

（作者單位：中國工商銀行法律事務部）