【原力推荐】网络盗刷银行卡案件的裁判路径- 大数跨境

首页

【原力推荐】网络盗刷银行卡案件的裁判路径

法律原力

2022-02-10

导读：本文系林慧娟、曹文兵原创，转载自《人民司法（案例）》2021年第14期，第49页。

本文系林慧娟曹文兵原创

来源于《人民司法（案例）》2021年第14期，第49页

在网络盗刷银行卡案件的审理中，现有裁判路径倾向于以举证责任的分配来决定最终责任的承担，从而出现了三种裁判路径。基于同案同判之考虑，可探寻更优化的裁判路径，即在事实认定上，不囿于举证责任的分配，而由双方当事人充分举证，依据高度盖然性标准认定是否构成网络盗刷事实；在责任承担上，持卡人有意泄漏交易密码，或者未按照服务协议尽到应尽的安全防范与保密义务时，应着重审查发卡银行的安全保障义务与持卡人的保管义务来确定责任分担。

ABSTRACT

案情

一审：（2019）鄂0192民初7290号

二审：（2020）鄂01民终9885号

原告：石晓敏。

被告：中国农业银行股份有限公司武汉民院支行（以下简称农行民院支行）。

石晓敏在农行民院支行先后办理两张存款储蓄卡，卡号分别为62xxx310、62xxx317（以下简称310账户、317账户），并同时开通了网上银行和掌上银行（手机银行）业务，且两张卡共用一个掌上银行账户。石晓敏每次登陆掌上银行时，农行民院支行的信息服务平台（95599）均会向其发送提示短信和验证码短信，石晓敏需将激活码发送给信息服务平台并输入相关密码方能激活登陆。2018年7月24日至26日期间，上述银行卡账户发生如下转账交易：1.2018年7月24日23时57分36秒，310账户转出2万元至账号62xxx44（户名：周丰文）；2.2018年7月24日23时59分59秒，310账户转出2万元至账号62xxx04（户名：刘金柱）；3.2018年7月25日，石晓敏分4笔将310账户中的余额转入了自己的其他银行账户，将其中的2.5万元转转入了317账户；4.2018年7月26日00时26分22秒，310账户转出1元至账号62xxx25（户名：魏中伟）；5.2018年7月26日00时28分47秒，317账户转出19999元至账号62xxx25（户名：魏中伟）。以上转账的交易渠道，除第3次交易中的农行同行转账（310账户至317账户）为手机银行（MBNK）外，其他均为超级网银（IBPS）。案涉4笔转账（上述第1、2、4、5次交易）的IP地址均属于柬埔寨，而交易时案涉银行卡（包括U盾）一直由石晓敏持有。2018年7月26日，石晓敏向湖北省武汉市公安局武汉东湖新技术开发区分局关东派出所报案称其储蓄卡被盗刷。

审判

一审法院认为，石晓敏和农行民院支行的储蓄存款合同关系受法律保护，双方应当依法行使权利并履行各自义务。石晓敏的存款账户出现了转账记录，石晓敏之后将余额转入其他账户，交易渠道均是超级网银（IBPS），即中国人民银行网上支付跨行清算系统，但仅从此事实不能认定是农行民院支行对石晓敏存款未尽到安全保障义务。石晓敏在使用手机银行时系统会发送验证码至其手机，手机再回复验证码并输入密码方能登陆并操作转账，如果手机验证码和密码泄漏，也可能导致其他人操作其手机银行账户。石晓敏并未提供有效证据证明是农行民院支行未尽到安全保障义务才导致其账户出现了转账记录，其诉讼请求不具有事实和法律依据，不予支持。遂判决：驳回石晓敏的诉讼请求。

一审宣判后，石晓敏不服，向武汉市中级人民法院提起上诉。二审法院认为，本案争议焦点在于：网络支付情形下案涉银行卡是否存在被盗刷的事实，及农行民院支行是否尽到了安全保障义务、应否向石晓敏赔偿损失。

石晓敏就案涉银行卡网上被盗刷及银行账户资金的不当减少事宜尽到了初步的证明责任。理由在于：其一，案涉4笔转账交易IP地址所在地点为柬埔寨，而持卡人石晓敏在武汉市，两地距离甚远，根据时空距离进行判断，石晓敏不可能到网上交易IP地址所在地柬埔寨进行交易，案涉转账交易的IP地址存在异常。其二，从报案时间来看，石晓敏知晓案涉交易后及时向公安机关报案称其储蓄卡被盗刷。其三，石晓敏陈述接收4笔案涉转账款项的周丰文、魏中伟、刘金柱均与石晓敏并不相识。综合一、二审已查明的石晓敏案涉转账汇款交易情况、案涉转账交易的IP地址异常、石晓敏事发后及时报案等事实，人民法院以接近真实的高度盖然性作为证明标准，可以确认案涉转账汇款交易非石晓敏本人操作，案涉争议款项应系被他人盗取。

《电子银行业务管理办法》第八十九条规定：“金融机构在提供电子银行服务时，因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的，金融机构应当承担相应责任。因客户有意泄漏交易密码，或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的，金融机构可以根据服务协议的约定免于承担相应责任，但法律法规另有规定的除外。”据此规定，只要因非持卡人原因造成持卡人资金损失，银行就应承担责任，即只有存在法定的免责事由，如持卡人有意泄漏交易密码，或者未按照服务协议尽到应尽的安全防范与保密义务等，银行才可以免责。本案中，农行民院支行在向储户推出网上银行业务的同时，应当对储户卡内资金承担更为严密的保障义务，而非仅为合理的提醒义务。如果银行业务没有针对性的防范措施，一旦向储户推广普及，很可能导致储户资金被盗取等严重后果的出现。石晓敏在案涉交易之前已在农行民院支行开通了网上银行和掌上银行（手机银行）业务，此种境况下，农行民院支行就应当承担非授权交易的证明责任。农行民院支行在案涉交易发生过程中，虽尽到了其主张的提示义务，但并未充分举证证明其尽到了足够的安全保障义务，亦未能举证证明石晓敏故意或过失导致银行卡信息或密码及验证码泄露，或与案外人恶意串通实施盗取，抑或存在其他免责或减责事由。据以上，武汉中院遂判决撤销原判，改判农行民院支行赔偿石晓敏因案涉银行卡被盗刷所造成的存款本金损失6万元及利息损失。

评析

所谓网络盗刷，是指他人冒用持卡人名义，使用持卡人网络交易身份认证信息进行网络交易，导致持卡人银行卡账户资金减少或者透支金额增加的行为。不同于传统支付方式，网络支付无需银行卡这一物理介质，仅凭银行卡号、密码等身份验证信息即可完成交易，因此，在网络盗刷银行卡案件的审理中，存在事实查明难、过错认定难及责任分担难的问题。尤其是在根据现有证据无法查明网上盗刷银行卡原因这一关键事实时，现有的裁判路径倾向于以举证责任的分配来决定最终责任的承担，主要有以下三种裁判路径：一是根据谁主张谁举证原则，交易密码只为持卡人知悉、修改和保管，持卡人无法举证证明是银行过错导致银行卡被盗刷，则由其承担举证不能的法律后果，应由持卡人承担全部损失；二是根据《电子银行卡业务管理办法》第八十九条的规定，在银行无法举证证明系持卡人原因导致资金损失及自身系统不存在安全缺陷的情况下，应由银行承担全部损失；三是在双方均无法举证证明对方存在过错的情况下，综合考虑双方当事人的合同义务，依据公平原则由双方按一定比例分担损失。[1]然基于同案同判之考虑，可探寻更优化的裁判路径，即在事实认定上，不囿于举证责任的分配，而是由双方当事人均进行充分举证，依据高度盖然性标准认定是否构成网络盗刷事实；在责任承担上，运用排除法，除持卡人有意泄漏交易密码，或者未按照服务协议尽到应尽的安全防范与保密义务外，应着重审查发卡银行的安全保障义务来确定责任分担。

（一）依据高度盖然性标准认定是否构成网络盗刷事实

在传统银行卡盗刷案件中，其争议焦点主要集中在是否存在伪卡，持卡人可以通过举证交易发生时真卡不在交易地点来完成对银行存在过错的举证，换言之，通过举证责任的分配即可查明案件事实。而在网络盗刷银行卡案件中，其争议焦点有两点：一是非授权交易是否系网络盗刷？二是网络盗刷行为的发生是何原因所致？是电子银行系统存在安全隐患、金融机构内部违规操作或其他非客户原因所致，还是持卡人有意泄漏交易密码，或者未按照服务协议尽到应尽的安全防范与保密义务所致？因网上支付行为无需银行卡这一物理介质且涉及技术问题，仅凭银行卡号、密码等身份验证信息即可完成交易，故仅仅通过举证责任的分配依然难以查清案件事实。在此种情况下，不宜囿于举证责任的分配，而应让双方当事人就各自主张充分举证。

对于持卡人而言，需就以下几个方面进行举证：1.是否开通了网络支付业务；2.是否妥善保管银行卡信息、密码等；3.是否收到验证码及采取相应措施；4.案涉交易特征是否显著异常（异常时间、异地异国、多人次）；5.网络交易IP地址是否与持卡人常用地址一致；6.持卡人知晓案涉交易后如何行为（是否挂失或冻结止付、报案等）。[2]

对于发卡银行而言，需就以下几个方面进行举证：1.是否开通了网络支付业务；2.是否进行风险提示与告知；3.案涉交易发生时是否发送验证码验证或及时提醒与通知；4.是否存在其他异常交易实为授权交易情形；5.是否监控异常交易；6.发生异常交易时是否采取防范或应对措施；7.接到持卡人反映异常交易时是否告知冻结或采取冻结止付措施。

概言之，持卡人与银行的举证应贯穿网络支付业务开通——网络支付行为发生——网络支付行为发生后全过程。法院应综合考察上述证据，运用逻辑推理和日常生活经验，对证据有无证明力和证明力大小进行判断，依据高度盖然性标准来认定是否构成网络盗刷事实。[3]

（二）着重审查发卡银行是否履行了安全保障义务

在网络盗刷事实存在的前提下，应如何担责？对此，《电子银行业务管理办法》第八十九条作出了相应的规定，即在银行无法自证其电子银行系统不存在安全隐患、不存在金融机构内部违规操作和其他非客户原因及系持卡人原因导致资金损失的情况下，原则上应由银行承担损失。此即银行安全保障义务的具体表现，其核心内容是保障网上银行的信息安全和交易安全。这既是银行作为合同相对方应履行合同义务的应有之意，也是在不作为侵权中应承担的义务。

在网络盗刷银行卡案件中，导致银行卡资金损失的直接原因往往是第三人的行为，这常常沦为银行借以不承担责任的抗辩理由，认为银行对盗刷行为的发生及银行卡内资金被盗无过错。然而，银行的安全保障义务在其中具有切断该因果关系链条的作用，安全保障义务以切断特定危险发生的因果关系链条为目的设定了规范性的作为义务，未履行该义务的不作为，虽然在事实因果关系中仅为间接条件，但因其未达成法律要求其切断危险发生的因果关系链条的目的，在法律价值上可认定其对危险发生的后果具有规范性的直接因果作用。[4]所以，不论是从合同义务来说，还是从侵权责任来说，都应当着重审查银行的安全保障义务，而非银行举证仅尽到提示义务即可。如果银行业务没有针对性的防范措施，一旦向储户推广普及，很可能导致储户资金被盗取等严重后果的出现。如本案中，农行民院支行在案涉交易发生过程中，虽尽到了其主张的提示义务，但并未充分举证证明其尽到了足够的安全保障义务，亦未能举证证明石晓敏故意或过失导致银行卡信息或密码及验证码泄露，或与案外人恶意串通实施盗取，抑或存在其他免责或减责事由。

对于安全保障义务标准的确定，需要综合考虑风险的大小、风险控制的可能性、风险控制人的能力、受害人自我保护的能力和危害结果的严重性等因素，对具体的个案得出合理的安全保障义务标准。网上银行具有风险大、技术依赖强和专业性强的特点，用户的信息保障很大程度上都依赖于网上银行自身的安全保障技术和格式合同约定等。网上银行由于本身的专业性和在信息收集、保护中占有的优势地位，承担的安全保障义务应当超过一般理性人应该具有的审慎义务，即网上银行的注意义务不是在危害结果预见和危害结果控制这两种义务中平衡分配，而是应该更新自身的安全技术，随时监控、排查，做到更优先地预见到风险的存在，主动排查危险。当网上银行尽到了这种注意义务时，即为履行了安全保障义务。[5]

（三）银行未履行安全保障义务责任承担的法理基础

1.收益与风险对等原则

收益与风险对等原则的核心内涵即获得利益的人也应该是风险的承担者，并且获得利益与承担风险应该成正比例关系。在网络盗刷银行卡案件中，根据利益与风险对等原则，银行从事的是营利性商业活动，通过应用金融技术提高了其工作效率、降低了其交易成本、吸引了更多客户，从中获取了利益，但金融技术提供便利的同时亦加大了持卡人资金被盗刷的风险，故相应的风险就应当由银行来承担，而不应转嫁给持卡人。

2.风险控制理论

在金融领域，银行具有相关专业知识和专业能力，在推广和使用金融产品时，其了解金融产品的使用性能，甚至知晓金融产品可能会存在的风险，能预见可能发生的危险和损害，并对此采取必要的措施来防止损害的发生或减轻损害。同时，银行具有较雄厚的经济实力提高网上银行交易系统和设备的安全性，也具有足够的实力和相应的制度进行风险预测、预防和采取补救应急措施。较之于持卡人，银行承担风险和控制风险的能力更强。[6]

3.法经济学的理论

从法经济学的角度分析，银行履行安全保障义务符合社会成本最小化原则。银行相对一般人离危险源更近，控制危险发生的能力也超出一般人，故对其课以安全保障义务可以节约社会成本。因为损害的发生概率对于单个客户而言是极小的，为了极小概率发生的事故，法律却要求持卡人付出过高的注意成本，对持卡人乃至整个社会利益而言是不经济的，导致社会效率的降低，而银行只要付出远远小于所有持卡人所要付出的预防成本，就可以消除安全隐患，从而使自己和无数持卡人受益，无疑是最有效率的法律规则。