银行卡伪卡交易纠纷处理指引
点击上方“CITIC法律”→点击“关注”。
查阅更多内容,请点击上方“CITIC法律”→点击“查看历史消息”。
银行卡伪卡交易纠纷处理指引
近年来,不法分子使用伪造的银行卡(以下简称“伪卡”)进行消费或取现,盗取持卡人资金的案件屡见不鲜,在伪卡交易纠纷中,伪造银行卡进行交易的犯罪嫌疑人应负首要责任,但往往由于其下落不明或缺乏赔偿能力,持卡人难以向其主张权利,故持卡人通常以发卡行作为主要被告提起诉讼,请求赔偿银行卡被盗刷款项本息损失或免除信用卡相应款项的还款义务,持卡人与银行法律纷争不断。近年来司法实践中,基于种种因素综合平衡,判决银行承担50%以上责任的案例占了绝大比例。
银行卡伪卡交易纠纷存在一系列法律问题,目前尚无明确的法律法规或司法解释进行规范,司法实践中存在较多争议,如:银行承担持卡人资金安全保障义务的边界究竟在哪里?持卡人在伪卡交易案件中的责任如何判定?伪卡交易民事诉讼的归责原则是什么?举证责任如何分配?银行相关格式文本中的免责条款是否有效?本次会议讨论了这些疑难问题,形成如下意见供银行法律及业务人员在处理具体事件时参考。
一、典型案例
中国工商银行股份有限公司北京昌平支行与曾庆峰借记卡纠纷上诉案(北京市第一中级人民法院[2014]一中民[商]终字第7072号)
【裁判观点】工行昌平支行作为银行卡的发行人,有义务保障其所发行银行卡的安全性,进而保证持卡人账户的安全,即使银行卡被伪造系无法避免的技术风险,该风险也应当由提供银行卡服务的发卡人承担,而非由持卡人承担。对于“凡使用密码的交易,银行均视为客户本人所为”的条款,本院认为该条款是工行昌平支行针对其向储户曾庆峰发行的特定银行卡所做出的约定,该约定的目的在于提示持卡人妥善保管密码,而非针对伪卡交易的免责条款。关于举证责任的分配问题,因目前并无证据证明曾庆峰故意或者过失泄露交易密码,工行昌平支行亦无法提供证据对此加以证明,故工行昌平支行关于曾庆峰对于交易密码泄露必然存在过错的上诉意见,本院不予支持。
【判决结果】银行承担持卡人全部损失的赔偿责任。
二、法律问题分析
(一)各方法律关系(以信用卡为例)
1.发卡行与持卡人
发卡行必须依照持卡人的指示为其支付消费款项,在信用卡业务中,持卡人指示的验证方式就是持卡人在签账单上的签名及输入密码,双方应属于委托合同的法律关系。同时,持卡人负有向发卡人偿还透支款项的义务,双方形成了借贷关系。
2.发卡行与银行卡组织、收单行
发卡行通过银行卡组织以及收单银行与特约商户建立收付款联系,收单行直接与特约商户签订合同,直接负有收受账单并支付款项的义务,但实质上,其付款行为系受发卡行的委托,即发卡行通过与收单行共同参加的银行卡组织的章程以及业务规范等文件与之形成委托合同关系。
3.发卡行与特约商户
发卡行通过收单行将审查持卡人签名的事项交由特约商户处理,因此,发卡行与特约商户形成委托关系。
(二)发卡行与持卡人的主要义务
就伪卡交易纠纷而言,出现争议较大的是银行保障持卡人账户资金安全义务和持卡人安全用卡义务、身份认证信息的保密义务等,因此以下着重对此进行分析。
1.银行对持卡人账户资金安全保障义务
银行的义务主要表现为主给付义务和附随义务。主给付义务来源于银行与持卡人在借记卡或贷记卡章程、申请书、办卡须知等文本中的条款约定。值得注意的是,虽然包括《中信银行信用卡(个人卡)领用合约》、《中信银行个人电子银行业务章程》、《中信银行电子银行个人客户服务协议》在内的各银行标准文本中,通常均未明确约定银行的持卡人账户资金安全保障义务。但我们认为,银行为持卡人提供安全交易环境的义务应属于《》第条规定的合同附随义务,即银行根据合同的性质、目的和交易习惯向持卡人承担的保护义务。那么,银行承担持卡人资金安全保障义务的边界究竟在哪里,银行对于伪卡交易是否负有识别义务呢?
实践中,有观点认为银行负有绝对的安全保障义务,即银行应保证其服务场所、系统设备的安全使用,足以保障储户信息、密码等信息数据的安全,在储户的信息、密码等信息数据被窃取之后,银行也要采取足够的措施保障储户资金安全。该类观点的主要理由为,一是合同交易方式电子化要求银行采取更为严格的技术保障措施;二是根据收益与风险相一致的原则,银行作为从电子交易的风险中获取经济利益的一方,应当负有制止危险的义务。法院在审理此类案件时,也通常采纳此种观点。但我们认为,银行的安全保障义务作为附随义务,其边界应是有限的。具体分析如下:
首先,在非柜面交易中,银行从技术角度是不可能识别伪卡的。中国人民银行《中华人民共和国金融行业标准—银行卡磁条信息格式和使用规范》(JR/T0009-2000)等规范性文件规定了磁条银行卡的制作发行标准。根据银行卡标准,磁条银行卡采用CVN技术对磁条信息合法性进行验证。CVN以数据形式记载于磁条中,由于磁条的物理特性,磁条信息以磁感应形式存储在磁介质表面,只要通过磁感应器,磁条信息就有可能被读取或记录,通过磁条本身是无法对读写操作进行控制的。因此,根据国家磁条银行卡标准,不法分子使用伪卡在ATM、 POS机、多媒体终端及各种自助机具等非柜台交易中,银行无法对信息的真伪进行识别。银行的制卡标准符合国家规定的,即应视为在发卡环节履行了安全保障义务。
其次,银行与持卡人签署的相关文本中,均约定了银行卡使用规则。以《中信银行信用卡(个人卡)领用合约》为例,该合约第二条第5款约定“凡使用密码进行的交易,甲方均视为乙方及其附属卡持卡人本人所为,依据密码等电子数据信息办理的各类结算交易所产生的电子信息交易记录均为该项交易的有效凭证。凡未使用密码进行的交易,则视登记有乙方及其附属卡持卡人签名的交易凭证为该项交易的有效凭证。”因此,银行在交易过程中通过电子渠道/自助机具/特约商户验证了交易密码/动态口令/客户签名的一致性,即完成了对客户身份认证,即应视为在用卡环节履行了安全保障义务。当然,如持卡人在银行柜面或者商户POS机使用银行卡进行交易,银行或特约商户还应对卡片的有效期、完整性、卡样等进行实质审查。
第三,银行对本行自助机具进行巡查,及时排除犯罪分子安装的盗取银行卡信息设备,并在显著位置张贴风险提示公告,即应视为在服务场所履行了安全保障义务。
2.持卡人的安全用卡义务和身份认证信息的保管义务
随着传统的线下柜台交易逐渐向自助银行/电子渠道等无人化的交易场所延伸,大量交易并不需要持卡人出示实体卡,仅持有数字证书、密码等即可完成,持卡人电子化身份认证信息的重要性已远大于卡片本身,已成为持卡人办理业务的重要凭据,且具有持卡人电子签名的法律效力。因此,银行与持卡人签署的相关文本中,均对持卡人的安全用卡义务和身份认证信息的保管义务进行了明确约定。
持卡人的安全用卡义务主要表现为持卡人及其附属卡持卡人应在安全的环境下在互联网上使用银行卡。同时,银行卡只限持卡人及其附属卡持卡人本人使用,持卡人及其附属卡持卡人出租、转借或以其他方式交由他人使用银行卡,应视为违约。
持卡人的身份认证信息的保管义务主要表现在持卡人及其附属卡持卡人应妥善保管数字证书、动态口令和静态密码等身份认证信息,因泄露交易密码、对USBKey等身份认证介质保管不善、未尽到防范风险与保密义务等造成的损失,银行不承担责任。
(三)伪卡交易案件的归责原则
在伪卡交易纠纷案件中,对于发卡行的责任认定,究竟应采取何种归责原则?关于该问题,存在争议。第一种观点,认为应该使用严格责任原则。主要理由如下:在银行卡被盗刷案件中,因银行与持卡人之间是一种合同关系,银行承担的责任是违约责任,而我国《》107条在违约责任归责原则上采取了严格责任原则,即除非存在法定的免责事由,违约方不论在主观上是否具有过错,均应对其违约行为承担违约责任。第二种观点,认为应适用过错责任原则。目前,各地法院对银行往往采取严格责任的归责原则,即银行不但要证明尽到了保障用卡环境安全、账户资金安全等义务,还需要证明持卡人存在过错,才存在免责的可能。
我们认为,一般情况下伪卡交易民事诉讼应适用过错责任原则,但也有例外。确定此类案件的归责原则应根据当事人的诉求,在确定法律关系的基础上进行判定,具体分析如下:
1.如果持卡人提起的是合同之诉,如上文所述,我们认为,银行为持卡人提供安全交易环境的义务应属于《》第条规定的合同附随义务,根据我国理论界和实务界的通说,与一般违约责任适用严格责任原则不同,违反合同附随义务应适用过错责任原则。同时,中国人民银行于2015年12月发布的《关于改进个人银行账户服务加强账户管理的通知》规定:“对于超过交易风险提示额度的大额交易、短时高频和短时跨地区等疑似风险交易,银行应及时向存款人提示交易风险。交易风险提示方式由银行与存款人协商确定,具体包括交易前电话确认、账户余额实时提醒等。”从监管政策的导向上看,银行承担的是风险提示义务,国家也并未要求银行对此类交易风险承担严格责任。退一步说,即使适用严格责任,如上文所述,银行承担对持卡人账户资金安全的保障义务也应有合理边界,持卡人掌握着银行卡交易的重要信息,只要银行尽到了保护义务和审核辨别义务并进行相关风险提示,伪卡交易风险应由持卡人承担。
2.如果持卡人提起的是侵权之诉,我国《》在第条、第条、第条分别规定了过错责任原则、无过错责任原则和公平责任。过错责任原则是侵权行为的一般归责原则,在没有特别规定的情况下,银行亦应承担过错责任。
3.对于非银行支付机构网络支付业务,则有其特殊性。中国人民银行于2015年12月发布的《非银行支付机构网络支付业务管理办法》规定:“银行应当事先或在首笔交易时自主识别客户身份并与客户直接签订授权协议……承诺无条件全额承担此类交易的风险损失先行赔付责任”。因此,对于通过第三方支付机构办理的客户账户资金划转产生的伪卡交易纠纷,对银行可适用严格责任。
(四)伪卡交易案件的举证责任分配
伪卡交易案件的诉讼结果,关键在于举证责任的分配。该问题在司法实践中争议较大,就“盗刷”引发的储蓄合同纠纷而言,多数法院认为:储户的举证责任在于“盗刷”时,卡在身边且未进行相关操作。银行的举证责任为客户有故意、过失泄露密码的行为。实际上使银行负有较重的举证责任。
我们认为,在举证责任分配问题上,应当充分考虑银行与持卡人双方权利义务的对等性。同时,应从当事人双方与证据的距离进行分析,占有或接近证据材料且有能力提供的一方应承担举证责任。持卡人密码等身份认证信息的私密性、唯一性特点决定了持卡人距离是否规范使用认证信息的证据更近,对信息泄露危险的控制能力更强,从已发生的案例来看,有很大一部分也是因为持卡人安全防范意识薄弱所致。因此,我们认为,持卡人应对是否履行了安全用卡和妥善保管身份认证信息的义务负有举证责任,银行应对所发行的银行卡及交易系统是否符合国家相关行业标准、交易过程是否履行了约定的审查义务、是否按照监管规定进行了相关风险提示等负有举证责任。
(五)关于银行格式条款效力的思考
银行为了维护自身权益,同时提醒持卡人信息安全风险,往往在格式文本中对持卡人身份认证及伪卡交易风险承担进行了明确约定。以《中信银行电子银行个人客户服务协议》为例,该协议第二条约定:“甲方必须妥善保管本人注册卡号(账号、登录ID或注册手机号码)、密码、USBKey、及接收短信认证和信息的手机等与办理电子银行业务相关的重要物品或资料、信息。如甲方在中信银行电子银行渠道登录使用过程中输入并使用上述信息,即代表甲方本人的操作行为”;“如甲方发现有他人冒用或盗用甲方账户、密码、证书、动态口令、短信认证信息或任何其他未经合法授权情形时,应立即以有效方式联系乙方协助处理。同时,甲方应理解并确认乙方对甲方的请求采取行动需要合理期限,在此之前,乙方对以甲方身份已执行的操作或支付指令导致的损失不承担任何责任。”
部分法院在处理伪卡交易纠纷案件时,认为此类条款属于《合同法》第四十条规定的格式条款,应为无效。我们认为,关于《》第条关于“免除其责任”规定的理解,应进行限缩解释,应指“免除其履行主要义务而来的责任”。关于“加重对方责任”规定的理解,也同样应作限缩解释,应理解为属于违反强行法规定、违反公平、诚实信用原则等无效情形。同时,《消费者权益保护法》第二十六条明确规定经营者可以在经营活动中就风险警示内容使用格式条款。因此,上述条款合法有效,可以作为界定银行与持卡人责任的合同依据。
三、风险防范与应对建议
综上分析,我们一方面应正确认识银行卡伪卡交易纠纷相关的法律问题,积极主张银行合法权益,另一方面,在目前各地法院裁判规则对银行不利的情况下,也应采取有效措施,最大限度防范和化解此类纠纷风险。
(一)做好证据收集
如前文所述,在现有举证责任分配上,银行需要尽可能收集证据,证明客户有故意、过失泄露密码的行为。一般而言,具有下列情形之一的,可以认定持卡人具有过错:(1)未妥善保管各项重要物品或资料,如身份证件、银行卡、存折、USBKey、银行预留手机号码等,交给他人或非授权人员保管,出租、出借、出售银行卡、USBKey等账户存取工具和安全认证工具,在不信任的网站或其他场所留下账号、身份证号、银行预留手机号码等个人信息;(2)未妥善保管账户密码、电子银行登录密码、USBKey密码、手机短信验证码、预留验证信息、私密问题等重要信息,除在银行办理业务外,向任何其他人、其他网站提供上述信息;(3)未采取适当风险防范措施,如安装防病毒软件、网络防火墙、电脑系统安全补丁等;(4)通过网吧等公用计算机上办理电子银行业务,通过公用电话使用电话银行(银行提供的专用设备除外)。
(二)小额快速赔付机制
由于银行卡伪卡交易纠纷案件数量每年都在快速递增,并且法院裁判规则对银行不利,银行败诉赔付的可能性极大,同时还可能对银行声誉方面产生负面印象,建议考虑建立对持卡人的小额赔付机制。如果持卡人在收到伪卡盗刷短信后,采取如下操作:核实账户、网点查询并打印储蓄卡流水交易、报案并取得报警回执。在上述前提下,如果因银行卡盗刷案件起诉银行,则银行败诉的可能性较大,对于上述持卡人可以考虑要求其提供非自己刷卡的证据、查询持卡人资信记录,判断持卡人是否属于善意持卡人,适当排除恶意索赔情况。要求持卡人签署协助追索承诺,经审批对其进行快速理赔,以防止风险扩大蔓延。
(三)合理转嫁风险
如前文所述,发卡行与特约商户形成委托关系,特约商户未尽审查义务(包括签名、卡片的有效期、完整性、卡样等)导致他人损害的,应当承担相应的民事责任。如果银行已对持卡人进行赔付,应向发卡行承担赔偿责任。
(四)格式条款提示
我行标准文本已采用加粗加黑的方式提示持卡人注意相关盗刷风险及免责条款,为了更好保障我行权益,同时加强对客户的警示作用,采取在线下签约方式的,银行人员可就此类条款向客户进行特别说明及提示,并对签约过程录音录像,以降低该类条款被认定无效的风险。
按语:对于银行业务操作中容易出现的各类法律风险,总行法律保全部将整理后通过“CITIC法律”陆续推送。欢迎中信银行法律人员及业务人员关注本号。