銀行卡盜刷案件中的責任承擔研究

宋萍

近年來，銀行卡盜刷案件頻發，由于缺乏相關實體法規和審判的指引，各地法院對銀行卡盜刷案件的判決依據和結果不盡相同。本文在梳理中國裁判文書網近兩年銀行卡盜刷案件判決的基礎上，分析銀行和持卡人在不同情況下所應承擔的舉證責任和損失分配，透過司法實踐研討此類案件的責任承擔，提出商業銀行對銀行卡盜刷案件的風險防范與應訴建議，以期有所裨益。

問題的提出

隨著我國經濟的快速發展，科技日新月異，銀行卡在為人民生活提供便利的同時，盜刷風險也與日俱增。銀行卡盜刷案件涉及刑事犯罪，而由于盜刷經常發生在外地甚至境外，導致此類案件的偵破率較低，即使破獲，通常贓款也會被揮霍一空，無法追回。此外，持卡人通常會選擇起訴發卡行，而發卡行往往認為銀行系統運轉正常，已盡到相應的合同義務，而且銀行卡密碼具有私密性，應由持卡人自行承擔銀行卡被盜刷的責任，極易產生糾紛。

通過在中國裁判文書網檢索發現， 2018年1月1日至2019年12月31日共有裁判文書436份，其中一審222件，二審202 件，審判監督程序12件。從地域分布看， 排名靠前的廣東省發生46件，河南省有43 件，山東省有40件，北京市有32件。從全國范圍看，銀行卡盜刷案件多發生于經濟較發達地區，一定程度上也反映出該類案件的發生率與經濟發展程度密切相關。

數據顯示，銀行卡盜刷案件數量一直居高不下，更有愈演愈烈之勢，并且上訴率極高。通過進一步研究，不難發現，此類案件的裁判結果通常差異較大。究其原因，銀行卡盜刷案件并無可供使用的實體法規范，最高院僅以發布公報和典型案例的方式予以指導，雖曾于2018年6月5日發布《關于審理銀行卡民事糾紛案件若干問題的規定》征求意見稿，但截至目前尚未正式施行。

銀行卡盜刷案件往往涉及發卡行、持卡人、收單機構、特約商戶、通信公司等多個主體，案情錯綜復雜，法律關系競合交叉，法院審理思路的不同極易導致“同案不同判”。眾多銀行卡盜刷案件判決缺乏合理性與一致性，不利于保護持卡人的合法權益，同時也干擾了銀行在判決影響下的預期及行為。我國雖然不是判例法國家，但基于法律的嚴肅性考慮，對案情基本相似、法律關系相同的案件，應當統一規范。

銀行卡盜刷案件判決的實證考察

銀行卡盜刷通常涉及偽卡盜刷和網絡盜刷兩種形式。《銀行卡糾紛司法解釋征求意見稿》將“偽卡盜刷”界定為他人偽造銀行卡刷卡進行取現、消費、轉賬等， 導致持卡人銀行卡賬戶資金減少或者透支數額增加的行為;將“網絡盜刷”界定為他人冒用持卡人名義、使用持卡人網絡交易身份認證信息進行網絡交易，導致持卡人銀行卡賬戶資金減少或者透支金額增加的行為。目前，法院審理此類案件的分配責任大體分為以下三類：

約六成法院審理認為，既然持卡人與發卡行之間建立了合同法律關系，發卡行便負有向持卡人支付款項的義務。銀行卡內資金被盜取，持卡人需舉證證明存在盜刷的事實，在發卡行不能舉證證明持卡人存在泄漏銀行卡信息等違反合同義務的故意或過失時，發卡行應給付持卡人被盜刷的卡內資金，承擔全部違約責任。據此，持卡人舉證證明銀行卡存在被盜刷的事實，是要求發卡行承擔賠償責任的首要義務。如2018年的一個民事判決書認定：2015年3月12日，石某某在工商銀行平川支行辦理卡號為×××的理財金賬戶卡。該賬戶已注冊網上銀行，2016年3月13日、3月14日石某某所持有的此卡號為×××的銀行卡支出11287.1元。法院審理認為，石某某于2016年4月8日報警稱銀行卡被盜刷，該卡異常交易發生在2016年3月13日、3月14日，石某某僅提供了銀行交易記錄，不能證明本人的銀行卡存在被盜刷的基本事實，石某某對此應當承擔舉證不能的法律后果，其要求工商銀行平川支行承擔責任缺乏基礎事實，不予支持。

該案中，石某某由于對銀行卡被盜刷的事實舉證不能，遂自行承擔了全部損失。

約三成法院審理認為，在無法查明發卡行和持卡人各自過錯的前提下，推定任何一方存在過錯都缺乏依據。根據公平原則，因持卡人對風險的認可接受及其泄漏密碼的高度蓋然性，應當承擔適當責任。如2018年北京市的一個民事判決認為，由于銀行卡憑密碼交易，在持卡人無法對偽卡交易發生時他人是如何知曉交易密碼做出明確解釋、且依據現有證據無法確認發卡行對密碼泄露存在過錯的情形下，持卡人應自行承擔因密碼泄露導致的風險和損失，綜合考慮雙方當事人對合同義務的違反程度，根據公平原則，對發卡行的賠償金額進行酌定并賠償利息損失。

還有部分法院審理認為，若持卡人并無證據證實系發卡行將涉案銀行卡的相關數據信息泄露而造成銀行卡被盜刷，亦不能證明涉案銀行卡及相應的管理系統存在安全漏洞和技術缺陷時，應由持卡人自行承擔盜刷損失。

銀行卡盜刷案件責任分配之重構

偽卡盜刷案件的責任分配

典型的偽卡盜刷案情可參考最高人民法院2017年第12期發布的公報案例：2012 年6月19日，宋某某在工商銀行新門口支行申請辦理借記卡一張，2015年8月5日凌晨2時18分至2時20分，宋某某上述卡內資金在河南省駐馬店市一農村信用社自動取款機上被取款六次，金額合計14094元。2015年8月5日9時54分，宋某某因銀行卡被吞沒，在工商銀行辦理了吞沒卡領取手續。當日9時57分，宋某某向南京市公安局鼓樓分局中央門派出所報案。另查明， 宋某某系中國人民解放軍某部隊戰士。審理中，該部隊向法院出具了證明一份， 主要內容為宋某某在2015年8月5日2時18 分至8時一直在單位，從未外出。一審法院判決發卡行賠償損失，工商銀行提起上訴。二審法院認為雖然根據工商銀行借記卡章程規定，凡使用密碼進行的交易，發卡銀行均視為持卡人本人所為，但該規則適用的前提是當事人持真實的借記卡進行交易。因此，工商銀行新門口支行在沒有證據證明宋某某存在違約或違法犯罪的前提下，應先行承擔資金損失。因此，判決駁回上訴，維持原判。

《銀行卡業務管理辦法》第五十六條規定：“銀行卡申請表、領用合同是發卡銀行向銀行持卡人提供的明確雙方權責的契約性文件，持卡人簽字，即表示接受其中各項約定。”據此，可認定銀行卡是持卡人對銀行享有的債權憑證，雙方存在明確的合同關系。同時，發卡行還負有合同附隨義務。作為相關技術、設備和操作平臺的提供者，發卡行應當提供完善的技術設備，包括難以復制的銀行卡和能夠識別偽卡的交易終端，應當確保銀行卡內的數據信息不被非法竊取并加以利用，確保卡內資金安全。作為持卡人，則需要妥善保管銀行卡及卡內信息和密碼，在安全的環境下謹慎使用，不能透露給他人。如因發卡行未能識別偽卡，將貨幣錯誤支付給了合同當事人以外的第三人，造成的銀行卡內資金被盜刷，屬于給付對象錯誤，履約失敗，違反了合同義務。故該支付行為對持卡人并不具有法律效力，持卡人有權依據和發卡行之間的簽訂領用合同，要求發卡行繼續履行支付相應款項的義務。若發卡行能夠舉證證明持卡人存在過錯而導致密碼泄漏或增加了相應風險，可適當減輕發卡行的賠償責任。一般情況下，持卡人有下列行為的，可以認定其存在過錯：將銀行卡出租、出借給他人使用;將銀行卡密碼擅自告知他人;在不夠安全的用卡環境下不加防護地使用銀行卡并輸入銀行卡密碼;輕信電信詐騙，告知或輸入銀行卡相關信息以及銀行卡丟失后未及時掛失等。

發卡行通常依據《銀行卡章程》認為，密碼系持卡人設置保管，且具有唯一性，若發生密碼泄漏，應推定是持卡人所致。但實踐中，犯罪形式花樣繁多，存在犯罪分子將測錄設備放置于插卡槽上方窺視卡號等信息、在密碼鍵盤上貼置微型攝像頭等行為，也存在因銀行對自助設備管理疏忽、監控錄像系統泄露密碼等情形， 甚至存在特約商戶工作人員盜取顧客銀行卡信息或發卡行后臺人員違規操作泄密等情形，所以不能簡單地將泄漏銀行卡密碼的過失一概歸結于持卡人。當然，也不能單純以保護弱勢群體為由，隨意加重發卡行的舉證責任，否則極易產生道德風險。法院在庭審中，應鼓勵雙方當事人盡量舉證己方已盡到了合同義務，對方存在履約過失，從而有利于最大限度地查明案件事實，做到依法公正審判。

《合同法》第一百零七條規定：“當事人一方不履行合同義務或者履行合同義務不符合約定的，應當承擔繼續履行、采取補救措施或者賠償損失等違約責任。” 第一百二十條規定：“當事人雙方都違反合同的，應當各自承擔相應的責任。” 同時，根據《民事訴訟法》第六十四條“當事人對自己提出的主張有責任提供證據”，即“誰主張，誰舉證”的舉證規則，持卡人存在過錯的證明責任在發卡行一方，除非發卡行能夠舉證證明持卡人在泄漏銀行卡信息方面存在故意或過失，沒有盡到妥善保管銀行卡相關信息和密碼的義務，方可相應減輕銀行未能識別偽卡、履約對象錯誤的賠償責任，否則盜刷損失應由發卡行先行承擔。銀行卡儲蓄合同的標的物是種類物——貨幣，當持卡人將一定數量的貨幣存入銀行后，根據貨幣“占有與所有權一致”原則，發卡行即擁有了相應貨幣的所有權，發卡行是無法通過制定條款將其特定化的，發卡行與持卡人形成了債權債務關系，發卡行負有按照持卡人指令要求進行支付的義務，此時無須返還原物。第三人盜刷銀行卡內資金的行為實則侵犯了發卡行的財產權益，發卡行應向第三人主張侵權賠償。依據《合同法》第一百二十一條規定：“當事人一方因第三人的原因造成違約的，應當向對方承擔違約責任。當事人一方和第三方之間的糾紛，依照法律法規或者按照約定解決。” 發卡行在賠償持卡人相應損失后，可向盜刷責任人追償。

綜上，對于銀行卡盜刷案件，應先查明是否存在偽卡盜刷的事實，再進一步查明銀行卡盜刷中各主體是否存在故意或過失，再根據各自的過錯要求各方當事人承擔相應責任。如果查明是第三人利用銀行自助設備的管理漏洞，竊取了銀行卡相關信息和密碼后實施偽卡盜刷行為，應判定由發卡行先行賠償全部損失;若查明持卡人存在過錯，應相應減輕發卡行的違約責任;若查明是持卡人和第三人惡意串通， 應由持卡人承擔全部損失并受到刑事追責。若僅能確定持卡人銀行卡內資金被盜取，但無法查明銀行卡信息和密碼泄漏是發卡行亦或是持卡人所致，應根據舉證責任分配情況，劃分各自需承擔的責任。此時，若持卡人能夠舉證證明己方在使用銀行卡的過程中不存在過錯或過失，則關鍵在于發卡行能否舉證證明持卡人違反了合同義務，在發卡行無法證明系持卡人故意或過失泄漏銀行卡信息和密碼的情況下， 由于雙方存在的合同法律關系，應由發卡行先行承擔全部違約責任后再向侵權責任人追償。

網絡盜刷案件的舉證責任分配

網絡盜刷與偽卡盜刷的舉證責任分配審理思路基本相同，發卡行同樣需要承擔基本的安全保障義務，使持卡人能夠放心地在網絡上進行交易，此過程中若非因持卡人導致銀行卡相關信息泄露而遭盜刷， 相應財產損失應當由發卡行承擔。

有觀點認為，盜刷人進行網絡轉賬的案件，如果發卡行能夠提供初步證據證明其提供的網絡支付系統安全可靠，且發卡行已嚴格按照銀行卡業務流程進行操作，持卡人又無證據證明交易所需的銀行卡信息、密碼系因發卡行、收單機構或特約商戶的原因泄漏，則可以認定盜刷人的網絡轉賬行為構成表見代理，此時的密碼交易可以視同本人交易，對持卡人產生法律效力。如果持卡人開通網銀支付、快捷支付，無須使用真實的銀行卡就可以完成跨行異地資金匯劃，網絡交易并不對支取人進行身份核對和登記，雖然方便了客戶，但同時也存在安全隱患，為此，上述觀點有待商榷。網絡交易中，發卡行對行為人提供的安全要素鑒權后，相信該行為是持卡人的真實意思表示，故按照合同約定進行結算、記賬。然而，隨著科技不斷進步，僅通過銀行卡號、身份證號、預留手機號及動態密碼等即認定行為人發送的指令是持卡人的真實意思表達，顯得越來越不具有說服力，上述安全要素的安全系數也在逐漸降低。若此類盜刷案件，發卡行不能證明持卡人存在不當操作，由此造成的損失應由發卡行承擔。一般情況下， 若能夠查明持卡人及其家人存在點擊不明網站、短信鏈接而導致木馬中毒，在不安全的用網環境下隨意登陸網上銀行、使用快捷支付輸入關鍵信息，輕信電信詐騙等過失行為，以致銀行卡賬號和密碼被不法分子竊取，且發卡行并不存在過錯，則應由持卡人自行承擔損失。此類案件中，由于手機為持卡人持有，發卡行往往難以獲取相關上網瀏覽記錄，證明持卡人存在過失。此時，銀行可以申請法院調取相關證據，法院也可以通過電信運營商進行查詢或者要求持卡人提供涉事手機，查看相關記錄，以進一步明確持卡人是否存在過失。例如，在2018年甘肅的一起民事判決中，持卡人拒絕提供手機和有關上網記錄，成為法院判決其敗訴的原因之一。根據《商業銀行法》第六條規定，“商業銀行應當保障存款人的合法權益不受任何單位和個人的侵犯”，故持卡人在網絡交易過程中，非因自身過錯遭受財產損失的， 銀行應承擔全部賠償責任。

在網絡盜刷案件中，還經常涉及到電信運營商的責任承擔問題。如果因運營商柜臺人員未能嚴格按照規章制度進行人證合一地審慎核查，犯罪嫌疑人違規辦理了SIM 卡，導致持卡人無法正常接收到短信驗證碼或銀行卡賬戶資金變動信息，造成資金損失的，電信運營商應賠償相應損失。

商業銀行對銀行卡盜刷案件的風險防范與應對建議

加強風險防控，提供安全保障。依據《商業銀行法》等法規，商業銀行應當保障存款人的合法權益不受任何單位和個人的侵犯，充分保障金融消費者的財產安全權、依法求償權、信息安全權等合法權利。一是持續加強交易系統、電子銀行、自助設備等系統和終端的技術升級改造， 著力提升技術防范水平，增強自助設備等交易終端的卡片識別能力，最大限度地降低偽卡盜刷的可能性。二是通過技術手段強化對銀行卡大額交易和異地交易的動態監測，第一時間對可疑交易進行提醒，提示持卡人修改密碼、及時止付，營造安全的用卡環境。三是在實踐中，磁條卡信息儲存量過小，存在較高的盜刷風險，而IC 卡敏感數據難以被復制，安全性較高，商業銀行應當大力推廣IC卡，進一步加大對IC卡安全性的宣傳，引導消費者主動更新現存的磁條卡，有效降低盜刷風險。

加強金融消費者教育，提升安全用卡意識。一方面，主動履行社會責任，普及安全用卡知識，做好風險提示，幫助金融消費者提升安全用卡意識。教育引導持卡人妥善保管銀行卡，不將銀行卡隨意借給他人使用;開通短信通知，實時監測銀行卡的資金變動情況;不定期更換銀行卡密碼，正確使用密碼，不登陸非法網站， 不點擊不明鏈接，不輕易連接免費公共WIFI等，盡可能降低盜刷風險。另一方面，要引導持卡人履行合理的注意義務， 發現銀行卡被盜刷后第一時間掛失止付、暫停與被盜刷銀行卡相關聯的快捷支付等功能，修改銀行卡和相關快捷支付的密碼，及時向公安機關報案，如實告知銀行卡使用情況以及是否曾登陸疑似非法網站或點擊過不明鏈接，便于公安機關充分掌握相關情況，及時破案，最大限度地挽回損失。

引導持卡人及時報案，依法維權。首先，在遇到銀行卡盜刷案件后，應當立即更改密碼、掛失止付，并及時向公安機關報案。協助收集相關銀行卡流水等證據， 全力配合偵破案件，盡力挽回損失。其次，要全面了解銀行卡盜刷的相關情況， 對發卡行和持卡人在盜刷案件中所應承擔的責任進行審慎評估。如發卡行自身存在一定過錯，則積極與消費者協商，及時、有效地妥善解決爭議，規避聲譽和法律風險;如發卡行不存在過錯，則應向消費者做好解釋說明工作，耐心等待公安機關破案，追回損失。最后，如果與消費者協商無果，則應建議消費者依法維權，訴至法院后積極應訴，重點在是否存在偽卡盜刷的事實、各主體是否存在故意或過失和舉證責任分配等方面收集相關證據，由法院合理劃分銀行卡盜刷案件中各方的責任， 依法履行法院生效判決，并持續跟進銀行卡盜刷案件的偵破情況，向罪犯進行追償。

（作者單位：武威市中級人民法院）