银行卡被盗刷该谁“买单”

刘泽华?王志永

基本案情

2014年11月30日，《人民法院报》刊登了一则案例《银行卡被盗刷189万元，该谁“买单”》。2010年7月，刘女士被骗，与不法分子签订购销合同。在不法分子陪同下，刘女士的妹妹到农行六盘水分行（下称六盘水分行），以刘女士名义开立了借记卡，并将刘女士资金195万元存入借记卡。不法分子要求到银行查询款项是否入账，刘女士的妹妹便将借记卡给不法分子查看，并由不法分子陪同刘女士的妹妹到ATM上查询余额，查询过程中不法分子乘刘女士妹妹不备偷窥了银行卡密码。此后，不法分子利用获取的刘女士银行卡信息并将银行卡复制，在澳门通过POS机将刘女士借记卡内存款189万元全部消费。发现存款被盗后，刘女士向公安机关报案。由于被盗款项未能追回，刘女士将六盘水分行诉至贵州六盘水市中级人民法院，一审判决该行承担70%责任。刘女士不服，向贵州省高级人民法院（下称贵州高院）提起上诉。贵州高院二审认为，六盘水分行负有保证储户银行卡内信息不被他人窃据、复制的义务，应通过技术投资和软硬件改造加强风险防范，确保存储于银行卡内的储户信息安全，对于安全漏洞及技术风险银行理应承担责任，据此，贵州高院判决六盘水分行承担100%的责任，支付刘女士189万元。

法律分析

近年来，不法分子使用复制银行卡（下称“伪卡”）盗取持卡人资金，持卡人起诉银行要求支付存款或赔偿损失民事案件发案势头十分迅猛，法院一般倾向于保护持卡人权益，个别地方法院甚至出台司法文件保护持卡人利益，忽视银行合法权益，导致此类诉讼银行败诉明显风险增加。例如，广东省高级人民法院出台《关于审理伪卡交易民事案件工作座谈会纪要》，强调持卡人的弱者地位，加重银行的举证责任，并明确规定伪卡民事案件银行应承担不低于50%责任。一些别有用心之人甚至利用法院这种审判倾向提起伪卡虚假诉讼，诈骗银行资金。在此类民事诉讼中，银行是否有义务识别伪卡、应当如何承担责任？我们认为，人民法院应当依据我国《民事诉讼法》第七条关于“人民法院审理民事案件，必须以事实为根据，以法律为准绳”的规定，充分查明案件事实，合理界定当事人各自过错，准确适用法律，公平划分双方责任。

银行是否有义务识别伪卡。《中华人民共和国国家标准——银行卡磁条信息格式和使用规范》（GB/T19584-2010）第1条规定：“本标准规定了银行卡磁条的信息格式和使用规范。本标准适用于中华人民共和国境内发行和使用的各种银行卡”。中国人民银行《中华人民共和国金融行业标准——银行卡磁条信息格式和使用规范》等规范性文件也规定了磁条银行卡的制作发行标准。从我国磁条银行卡诞生至今，银行制作发行的磁条银行卡一直完全符合国家银行卡标准。根据银行卡标准，磁条银行卡采用CVN技术对磁条信息合法性进行验证。CVN以数据形式记载于磁条中，由于磁条的物理特性，磁条信息以磁感应形式存储在磁介质表面，只要通过磁感应器，磁条信息就有可能被读取或记录，通过磁条本身是无法对读写操作进行控制的，这是在最初设计磁条银行卡时无法预见的，不法分子正是利用了磁条卡的这种物理特性来复制银行卡。在磁条银行卡发明之初，没有任何其他介质比磁条更适合于作为银行的存储介质，磁条银行卡这种便于制作、成本较低的特性极大地促进了银行卡产业的发展，产生了积极的社会效果。

这里需要强调的是，不管真实银行卡还是伪卡，磁条信息在传输过程中都表现为二进制数字，只有和银行系统存储信息是否相同之分，没有真假之分，银行是没有办法对磁条信息是来自于真实银行卡还是伪卡进行识别的。因此，根据国家磁条银行卡标准，不法分子使用伪卡在ATM、POS机、多媒体终端及各种自助机具等非柜台交易中，银行没有义务而且没有办法对磁条信息的真伪进行识别，银行未能识别伪卡没有任何过错。当然，如持卡人在银行柜面或者商户POS机使用银行卡进行交易，那么银行或商户就要对银行卡制作材料、文字表述等真实性进行审核，负有对银行卡卡片的实质审核义务。

伪卡民事诉讼是否存在侵权责任和违约责任竞合。我国《合同法》第122条规定了违约责任和侵权责任竞合问题：“因当事人一方的违约行为，侵害对方人身、财产权益的，受损害方有权选择依照本法要求其承担违约责任或者依照其他法律要求其承担侵权责任。”持卡人因不法分子使用伪卡盗取其资金起诉银行，以及法院审理此类案件，持卡人、相当一部分律师甚至法官也认为存在侵权责任和违约责任的竞合问题。从法理上分析，侵权责任和违约责任是两种完全不同的责任类型，它们所违反的义务性质是不同的，违约责任违反的是合同约定义务，侵权责任违反的是法定义务，实践中，约定义务与法定义务可能会重合，导致了责任竞合。

从违约责任与侵权责任竞合的产生原因分析，主要有两种情形：一是侵权性违约，即侵权行为直接构成违约的原因。主要是指行为人实施的侵权行为致使受害人合同利益受损，符合违约责任的构成要件。这种情况下，行为人主观上具有过失，侵权行为是原因，是条件，而违反合同约定的义务是结果;二是违约性侵权，即违约行为直接构成侵权的原因，主要是指行为人的违约行为致使受害人遭受相关损失，同时符合了侵权责任的构成要件。在这种情况下，违约行为是原因，是条件，使受害人财产受到侵害的事实是结果，因此可以说是行为人的违约行为导致了受害人的财产权受到侵害。在许多情况下，行为人对侵害受害人财产权益并不存在故意，仅是因为违反合同约定义务而导致了受害人财产权益受损。这是由违约引起侵权而造成的责任竞合问题。

需要强调的是，银行与持卡人要么存在信用卡合约关系，要么存在储蓄合同关系。纵览国内各家商业银行借记卡章程和信用卡领用合约，均没有约定银行应保障持卡人资金安全、应为持卡人提供安全交易环境等义务。实际上，国家为保障存款人存款安全，已将银行的这些义务上升为法定义务，例如，《商业银行法》第29条第1款规定：商业银行办理个人储蓄存款业务，应当遵循存款资源、取款自由、存款有息、为存款人保密的原则。《侵权责任法》第37条规定，宾馆、商场、银行、车站、娱乐场所等公共场所的管理人或者群众性活动的组织者，未尽到安全保障义务，造成他人损害的，应当承担侵权责任。银行与持卡人储蓄合同或信用卡领用合约中没有银行相关义务条款，直接导致伪卡民事诉讼中，银行没有违反任何储蓄合同或信用卡合约条款，不构成违约性侵权或侵权性违约，也就不存在侵权责任和违约责任竞合问题。例如，在《最高人民法院公报》（2005年04期）刊登的顾骏诉上海交行储蓄合同纠纷案中，法院没有查明顾骏与上海交行之间的储蓄合同条款，没有认定上海交行违约。因此，伪卡民事诉讼银行只可能构成侵权责任，没有适用违约责任的前提条件。

银行和持卡人可能存在的过错。既然在伪卡民事诉讼中应适用侵权责任，按照我国《侵权责任法》所确立的过错责任原则，就要详细厘清持卡人和银行在伪卡交易中可能存在的过错。

其一，银行可能存在的过错。我国《侵权责任法》第37条规定了银行的安全保障义务，我国《合同法》第60条规定银行的附随义务，即当事人应当遵循诚实信用原则，根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。因此，银行卡法律关系中，银行负有向持卡人提供安全交易环境，保证服务场所、系统设备的安全适用，以保障持卡人银行卡信息、密码等信息数据安全等义务。现实中，一些银行确实违反了这些义务，其过错通常表现在，没有及时清理不法分子安装在ATM等自助终端上的侧录设备，导致不法分子窃取了银行卡磁条信息，并通过MP4等视频设备偷录了持卡人输入密码的动作从而窃得银行卡密码。同样道理，如果POS商户没有采取相应措施保障持卡人用卡安全导致持卡人磁条信息或密码泄露，则POS商户存在过错。

其二，持卡人可能存在的过错。根据《合同法》第60条关于附随义务的规定，持卡人也应当履行一定的合同附随义务，在使用银行卡时应对账号、密码、身份证件等信息和资料承担保密责任，特别是预留银行密码，持卡人要严格保密，不能随意告诉他人。同时，根据有关银行卡章程或信用卡领用合约的约定，持卡人也必须妥善保管银行卡及密码。如持卡人将银行卡信息告诉或泄露给他人，出借银行卡，或在ATM、POS机交易输入密码时疏忽大意，没有用手遮挡密码键盘造成密码被他人偷窥。一般来说，伪卡民事纠纷中，除持卡人故意将密码告诉他人外，其密码泄露的途径只有一个，就是持卡人在ATM、POS机输入密码时，由于不小心或放松警惕，被不法分子当场偷窥或被不法分子安装的摄像头拍下输入密码动作，从而窃得密码。在不法分子能够使用伪卡盗取持卡人资金风险事件广为人知的今天，银行卡可能被不法分子复制、密码可能被不法分子窃取已经成为一种社会常识，持卡人仍然不注意维护密码安全，放任密码泄露，则表明持卡人是存在较为明显过错的。

伪卡民事诉讼不存在侵权责任与违约责任竞合问题，应适用侵权责任原则。根据《民事诉讼法》第7条关于“人民法院审理民事案件，必须以事实为根据，以法律为准绳”的规定，法院审理此类案件，应仔细案件查明事实，准确界定双方当事人过错，依据银行和持卡人各自的过错划分责任。如果发卡行没有及时清理ATM等自助机具上的非法测录设备导致持卡人银行卡磁条信息泄露，就由发卡行承担责任，如果收单行没有及时清理，就由收单行承担责任，如果POS商户没有为持卡人提供安全用卡环境，就由商户承担责任，如果持卡人输入密码时没有用手遮挡密码键盘，密码泄露，则持卡人也存在过错，应根据过错大小承担相应责任。监管部门也注意到了这个问题，例如，银监会《电子银行业务管理办法》第89条第2款明确规定：因客户有意泄漏交易密码，或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的，金融机构可以根据服务协议的约定免于承担相应责任。

私人密码在银行卡交易中的重要作用。银行卡交易中，私人密码由持卡人生成且只有持卡人本人知悉，其作用在于辨识客户身份及对交易内容的确认，起到数字签名（电子签名）的功能。在银行交易系统中，即使在银行柜台电脑前的工作人员也看不出来，银行中心系统机房也无法查到持卡人所设密码。借记卡章程或信用卡合约通常约定：“凡使用密码进行的交易，发卡银行均视为持卡人本人所为”，即私人密码交易规则。实践中，个别法院认为该条款属于免除银行责任的格式条款，宣告其无效。这种随意否定私人密码交易规则的做法是不符合现代商事交易基本原则和交易惯例的。

在现代商事交易中，逐渐形成了私人密码交易视为本人行为原则，但以下特殊情况除外：一是私人密码使用涉及的软件密级程度过低;二是失窃、失密及时向银行挂失后，有人仍凭此密码交易;三是操作系统受到黑客攻击。私人密码交易视为本人行为原则是现代商事交易的基本原则，中国人民银行《银行卡业务管理办法》第39条间接确立了这一原则。同时，与国外相比，我国持卡人更加注重交易密码的作用，国外信用卡持卡人一般不设密码，而是通过签名验证身份，我国持卡人更倾向于通过密码验证身份，私人密码交易原则更加适合我国国情，这早已形成商业惯例。因此，法院应尊重我国国情，并尊重这一重要的商事交易原则，不应轻易否定其法律效力。本文主张确立私人密码交易规则并不是为银行开脱责任，因为银行即使依据该原则要求免责，如果因未履行安全保障义务导致客户银行卡信息和密码泄露，应按照谁泄露信息谁承担责任原则，银行也承担相应的侵权责任。

债权准占有人制度在伪卡民事诉讼中的应用。债权准占有人制度，是指没有得到债权人授权，但持有债权凭证的第三人（债权准占有人）向债务人（银行）主张债权，债务人按照正常的操作规程，尽到合理的注意义务审查第三人递交的债权凭证，善意地相信第三人就是真实的债权人，向第三人支付资金等，从而导致真正债权人的债权消灭，债务人对第三人的给付行为受到法律保护的一项民法制度。债权准占有制度的关键要件在于，债务人是善意的，不知道且不应当知道非授权人所持债权凭证系伪造。在不法分子使用伪卡交易时，如前所述，银行（这里仅指发卡行，不含收单行）是无法识别银行卡磁条信息真伪，如果银行没有泄露持卡人银行卡信息，向不法分子支付了存款，那么就可以认定银行是善意的，则银行可以依据该民法制度要求免责。但是，如果发卡行泄露了持卡人银行卡信息或密码，则发卡行存在过错，不应适用债权准占有人制度。实践中，一些法院已经开始认同债权准占有人制度，并运用到类似案件审判中。

从上述分析来看，贵州高院审理的刘女士诉六盘水分行案明显存在事实认定不清、法律适用错误等问题。首先，本案适用案由错误。贵州高院认定本案为储蓄合同纠纷，应适用违约责任，但是，贵州高院自始至终没有查明六盘水分行究竟违反了储蓄合同哪条约定，就认定该行违约，明显有失偏颇。实际上，贵州高院认定的六盘水分行所违反的义务，例如，银行负有保证储户银行卡内信息不被他人窃取、复制的义务，属于法定义务。既然银行违反了法定义务，该义务又没有在合同中约定，则本案就不应适用违约责任案由，而应适用侵权责任案由。其次，贵州高院没有查明刘女士银行卡磁条信息泄露途径，没有明确六盘水分行是否泄露了刘女士银行卡磁条信息，如果不法分子在其他银行安装侧录设备盗取刘女士银行卡信息，则其他银行存在过错，在其他银行存在过错而农行没有过错情况下，贵州高院判决农行承担责任明显不妥。再次，刘女士存在明显的违约和过错行为。刘女士将银行卡交给其妹妹使用，其妹妹又将银行卡交给不法分子查看，明显违反了银行卡章程关于持卡人不得将银行卡交给他人的约定，应属刘女士违约。同时，刘女士的妹妹输入密码时，在不法分子在场情况下，没有用手遮挡密码键盘，导致密码泄露，存在疏忽大意的过错。贵州高院这种纵容持卡人随意将银行卡交给他人、持卡人在输入密码时可以疏忽大意任由他人偷窥密码的观点，不利于银行卡市场的健康有序发展。最后，贵州高院适用法律错误。既然本案应适用侵权责任相关案由，刘女士又存在过错，贵州高院应当在查明刘女士与六盘水分行各自过错的基础上，适用《侵权责任法》相关规定进行判决。综上，本案判决有违我国《民事诉讼法》第七条关于“人民法院审理民事案件，必须以事实为根据，以法律为准绳”的规定。

意见与建议

根据人民银行有关部署，商业银行2015年元旦起全面启动EMV迁移工作，银行不再发行磁条卡，全部发行芯片银行卡。但是，我国磁条银行卡数量庞大，存量磁条卡仍然可以使用，如果持卡人未将磁条卡更换为芯片卡，则仍存在被复制风险，伪卡民事诉讼还会大量出现。为规范法院审理此类案件，保护银行和持卡人双方合法权益，促进银行卡市场健康有序发展，我们建议：

尽快出台审理伪卡民事案件司法解释。一是明确此类案件应适用侵权责任案由，排除违约责任和侵权责任竞合问题，法院应在查明持卡人、银行或POS商户各自过错的基础上公平合理裁判。二是确立谁泄露银行卡信息谁承担责任原则，银行泄露就由银行承担责任，客户泄露信息就自行承担责任，双方均有过错时根据过错大小分担责任。三是规范法院伪卡民事诉讼案件对私人密码交易规则相关标准，不应轻易否定该规则的法律效力。四是明确债权准占有人制度在此类案件中的适用，在银行善意且没有过错情况下，法院可以适用债权准占有人制度判决银行免责。

银行要不断完善ATM管理等内控机制。银行要完善ATM等自助设备检查巡视制度，及时发现、排查和解决自助服务区域的可疑现象、设备、故障及相关问题，确保金融服务环境安全可靠。不断优化统一客服热线自助语音系统程序和人工服务程序，注意提高客服电话的接听和处理效率，及时为持卡人提供挂失等应急处理服务。按规定妥善保存自助服务区域相关录像资料，提前安排好相关证据收集和保存工作。同时，银行还可以根据《保险法》有关规定，借助保险机制分散伪卡欺诈可能造成的经济损失。

不断提高持卡人安全用卡意识。银行业监管部门、银行业协会及商业银行可采取适当方式向持卡人提示银行卡交易中可能发生的各种风险，提高持卡人主动防范风险的能力。例如，使用自助设备前应留意周边环境是否安全，自助设备上有无多余的装置;输入密码时应作适当遮挡，避免他人窥视;有问题应拨打银行统一客服电话，不要拨打自助设备周围所显示的可疑电话等。

加快银行卡EMV迁移步伐，彻底解决伪卡欺诈问题。EMV迁移的实质是银行卡从磁条卡向智能芯片卡的转换。芯片卡增加了读写保护和数据加密保护功能，大大提高了银行卡的安全性。银行业监管部门和商业银行应高度重视此项工作，从促进银行卡产业可持续发展角度出发，推动银行卡尽快从磁条卡向芯片卡升级;持卡人也要从安全角度出发，尽快将磁条银行卡更换为芯片卡，从技术上彻底解决伪卡欺诈问题。

（作者单位：中国工商银行法律事务部）