指导案例169号徐欣诉招商银行股份有限公司上海延西支行银行卡纠纷案点评
近年来,随着网络银行的快速发展,网络盗刷案件日益增多。与传统的物理卡交易相比,网络盗刷案件在盗刷的举证及认定方面均有明显不同,认定网络盗刷后风险及责任分担在审理中也存在争议,裁判规则不统一。2021年11月11日发布的第30批指导案例,第169号关于徐欣诉招商银行股份有限公司上海延西支行银行卡纠纷案厘清了此类案件的审理思路和裁判规则,对以合同为请求权基础的网络盗刷类案件的审理,具有参考价值,与最高人民法院于2021年5月25日发布施行的《关于审理银行卡民事纠纷案件若干问题的规定》的精神与相关规定也是完全一致的。
一、在存在盗刷的情况下,信息验证通过的单一事实不足以证明银行已履行合同义务
商业银行在履行储蓄存款合同中,应当采取合理措施,正确识别银行卡使用人是否为持卡人本人或经其授权的人,在诉讼中,应当举证其已向持卡人本人或经授权的人履行了合同义务,否则,应当认定债务人违约并承担违约责任。与物理卡交易不同,银行在从事银行卡网络交易中,无法仅凭借银行卡直接验证使用人的身份,必须通过卡号、登录及交易密码、动态验证码等,识别持卡人身份与使用人信息的一致性,才能核实存款人或客户的身份。一般来说,银行一旦证明上述信息已经验证通过,可推定银行已适当履行合同义务。然而,如果持卡人举证证明相关交易系他人冒用持卡人名义、使用持卡人网络交易身份认证信息所为,该交易并非基于持卡人本人的意思进行,则可推翻上述推定。本案即系案外人非法获取被上诉人的身份和账户信息后,通过使用变号转件方式截获银行发送的验证码,进而完成盗刷。徐欣是持卡人,却不是使用人。商业银行在通过网银向持卡人提供服务时,应当采用必要且合理的措施,确认银行卡使用人即为持卡人或其授权之人。招商银行延西支行仅以验证通过为由主张属于其已适当履行义务,不能成立。
二、银行负有确保银行卡安全使用的义务
银行卡是存款人财产权利的载体,表彰的是存款人的合法权益。按照《中华人民共和国商业银行法》第六条规定,“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯”,据此规定,银行承担了确保存款人合法权益的义务。《电子银行业务管理办法》第三十八条进一步规定,“金融机构应当采取适当的加密措施和采取适当的技术、识别与验证使用电子银行服务客户的真实、有效身份”。商业银行作为专业金融机构,可以向持有物理卡的人提供金融服务,也可以通过网银向持卡人提供金融服务。一旦持卡人选择网银服务模式,商业银行即应向其提供与物理卡持卡人相同或相似的保护,不应降低网银交易的服务水平。
存款人款项存入银行并开通网银服务,说明存款人对商业银行及所开展之网络服务的信任。商业银行作为借记卡的发卡行及相关技术、设备和操作平台的提供者,应当对交易机具、交易场所加强安全管理,对各项软硬件设施及时更新升级,以最大限度地防范资金交易安全漏洞。尤其是,随着电子银行业务的发展,商业银行既是电子交易系统的开发、设计、维护者,也是电子交易的获利者,相较于持卡人,商业银行更有能力采取措施防范风险和解决问题。例如,发卡行可以通过发布警示案例,告知持卡人相应的风险隐患,还可以通过引入保险机制,分散相应的风险。再如,发卡行还可以通过升级软件硬件等技术保障措施,增强防范银行卡违法犯罪行为的能力。发卡行在从事网银服务时,应当承担保证银行卡安全使用的特殊义务。
三、第三人原因导致银行违约的,不是银行免责的合法事由
本案中,招商银行延西支行还提出,徐欣账户被盗刷是犯罪行为所致,手机运营商在涉案事件中亦存在过错,招商银行延西支行不应承担民事责任。该主张的核心是,银行不应对第三人原因造成的损失负责,应由存款人自行承担资金损失的风险。这种主张显然缺少说服力。
民法典第五百九十三条及原合同法第一百二十一条均规定,当事人一方因第三人的原因造成违约的,应当依法向对方承担违约责任。当事人一方和第三人之间的纠纷,依照法律规定或者按照约定处理。换言之,商业银行在履行储蓄存款合同中,应当向存款人履行约定的义务,若因第三人的原因造成其违约的,商业银行可以向依照法律规定或者约定追究第三人的责任。商业银行法第33条也有类似规定。而且,将银行卡欺诈的风险分配给银行,有助于督促商业银行积极采用合理措施,降低银行卡盗刷的风险。银行不仅可以主动提升网银服务的技术水平,还可以与手机运营商协调相互之间的关系,甚至可以向保险公司购买保险,更好地履行保护存款人利益的法定义务。
四、银行未举证证明储户违反信息保管义务的,应当承担损失赔偿责任
根据法律规定,当事人都违反合同的,应当各自承担相应的责任。当事人一方违约造成对方损失,对方对损失的发生有过错的,可以减少相应的损失赔偿额。在储蓄存款合同中,发卡行负有向持卡人提供安全的用卡环境的义务,持卡人负有妥善保管银行卡卡号、密码等银行卡信息的义务。持卡人未尽到妥善保管银行卡信息的义务,构成持卡人过错,可以减轻甚至免除发卡行的责任。
本案中,招商银行延西支行提出,取款密码是持卡人徐欣自行设置的,因此徐欣自身存在泄露信息的过错。然而,招商银行延西支行此项意见是推测性的。一方面,持卡人有保护自身利益的动力,几乎不存在主动向他人泄露持卡人个人信息的情况,在本案中,现有证据说明信息泄露并非徐欣自己所为。另一方面,存款人是密码的设置人,当然知晓取款密码,却并非唯一知晓密码的人。银行在提供金融服务时,至少应该且能够识别使用人发出的取款或转款指令。本案的核心是,招商银行延西支行仅凭验证码来识别使用人身份,而没有采用其他合理措施识别使用人是否是持卡人。
综上,商业银行在利用计算机和通讯系统向存款人提供服务时,应当尽力提高网络交易系统的安全性。既要采用合理技术措施,尽力准确识别银行卡使用人的真实身份,又要加强与手机运营商等主体的协调,提高网银交易系统的安全性,不应将其不当行为的后果转嫁给持卡人或存款人。银行仅以手机运营商存在疏漏为由,尚不足以证明其自身尽到合同义务,也不足以证明持卡人未尽到注意义务或存在过错。徐欣账户资金遭网络盗刷,在没有证据证明徐欣存在违约行为等可归责事由的情况下,招商银行延西支行对冒名者的付款行为不能产生清偿的效果,仍应当就被盗刷的款项对徐欣承担全部支付责任。