银行卡资金被盗刷后发卡银行的责任认定

【裁判要旨】

　　银行卡资金被盗刷,如果银行卡已绑定第三方支付平台,发卡行是按持卡人的指令向第三方履行合同义务,发卡行不承担偿还责任；如果发卡行不能证明盗刷是因持卡人密码信息泄露或保管不当等过错所致,则应承担偿还责任；如果发卡行未及时履行短信通知等合同附随义务致使损失扩大的,承担相应的赔偿责任。

　　【相关法条】

　　《中华人民共和国合同法》第六十条第二款:当事人应当遵循诚实信用原则,根据合同的性质、目的和交易习惯履行通知、协助、保密等义务；第一百零七条:当事人一方不履行合同义务或者履行合同义务不符合约定的,应当承担继续履行、采取补救措施或者赔偿损失等违约责任；《中华人民共和国民事诉讼法》六十四条第一款:当事人对自己提出的主张,有责任提供证据。

　　【案件概况】

　　2013年,彭某某在中国建设银行股份有限公司中山宏基支行(下称建行中山分行)办理了百惠龙卡。2015年7月3日,该卡于14:36:52通过“中国银联股份有限公司上海分公司”消费5000元；14:47:16通过“深圳市财付通科技有限公司”消费5000元；15:01:27通过“迅付信息科技有限公司”消费1000元；15:07:53通过“智付”消费3000元；15:09:29通过“智付”消费700元。7月9日,彭某某发现卡内资金余额为零,随即向当地派出所报案,并打印了该卡消费的明细单。彭某某诉至法院请求判令建行中山分行偿还被盗刷存款14700元及相应利息损失。诉讼中双方均认可该卡开通了手机短信服务,以上消费彭未曾收到卡内资金变动的短信通知。彭某某同时确认之前曾通过第三方支付平台进行过多次消费。广东省中山市第一人民法院作出(2015)中一法民二初字第2285号民事判决,驳回彭某某诉讼请求。彭不服提起上诉。广东省中山市中级人民法院作出(2016)粤20民终430号民事判决,改判发卡行向彭某某赔偿相应损失4850元及其利息。

      【规则解析】

　　银行卡盗刷,是指未经持卡人授权的情况下,他人擅自使用银行卡信息和密码导致该持卡人账户资金减少或者信用透支额度增加的交易。近年来,银行卡被盗刷事件频发,诉诸法律的纠纷亦逐增,但在审理此类案件中对发卡银行的责任裁判尺度不尽一致,有驳回起诉或驳回诉讼请求、支持全部诉讼请求或支持部分诉讼请求的。本案是持卡人绑定第三方支付平台,因持卡人在第三方支付平台泄漏账号和支付密码导致被盗刷,故一审法院认定发卡行不承担责任。二审法院认为,一审认定彭某某卡内资金被盗刷的事实和理由正确,但发卡行没有及时短信通知彭某某卡内资金第一次异常变动致使其未能办理挂失导致损失扩大,发卡行应承担相应损失的赔偿责任。审理此类案件的裁判规则应厘清银行卡法律关系中的各方责任。

　　第一,发卡行、持卡人在银行卡合同法律关系中的责任。在银行卡合同关系中,发卡行作为银行卡服务的提供者和所有权人,除了应在存款余额或透支额度内向持卡人提供消费信用、转账结算、提取现金等服务外,还应当提供安全用卡环境和网上支付系统,保障银行卡信息不易被复制以及及时向持卡人提示账户变动情况,在得到持卡人关于银行卡被盗刷的通知时应及时采取挂失止付等附随义务。持卡人作为银行卡和密码的保管者和使用者,应当妥善保管并谨慎使用银行卡和密码,按照银行卡业务流程进行操作,认真核对发卡行发送的账户变动信息等。盗刷卡行为的发生,发卡行的违约行为一般体现在未提供安全的用卡环境或网上支付系统从而导致银行卡信息或密码泄露,未能保障银行卡信息被复制以及未能识别伪卡等。伪卡交易可视为一种特殊的盗刷形式。盗刷人持伪卡交易时,发卡行对伪卡使用者的付款行为不构成对持卡人的履约行为,此时伪卡使用者与发卡行构成侵权另一法律关系,不影响发卡行对持卡人在银行卡合同法律关系中承担违约责任。持卡人的违约行为一般是未妥善保管银行卡和密码导致银行卡信息或密码泄露,未按银行卡业务流程进行操作等,如果持卡人与伪卡使用人恶意串通,故意泄露银行卡片信息或者复制银行卡,涉及刑事责任解决的问题,发卡行不承担责任。还有发卡行与持卡人构成双方违约的情形,可根据发卡行和持卡人违约的具体情节减轻发卡行的责任。

　　第二,第三方支付平台与银行卡法律关系。第三方支付平台,是指非金融机构在收付款人之间作为中介机构提供网络支付、预付卡的发行与受理、银行卡收单等部分或全部货币资金转移服务。第三方支付平台根据与其客户之间达成的支付服务协议的约定和客户的具体指令为其提供代为收付款的服务。在第三方支付过程中,其与银行之间形成的主要法律关系是通过签订合作协议的方式形成金融服务合作合同关系。根据银监会、央行联合下发的《关于加强商业银行与第三方支付机构合作业务管理的通知》中要求“对预留手机号码且设定短信通知的客户,商业银行应在客户进行支付时对第三方支付机构提供的手机号码和银行预留的手机号码进行一致性检验,通过后方可进行支付”。由此可知,网上支付被盗刷时,盗刷人无须向发卡行出示物理卡,只提供银行卡载明的卡号、有效期等信息,凭持卡人预先设定的密码或持卡人预留手机号接收的动态密码等进行交易。如果发卡行提供的网上支付系统安全可靠,且发卡行严格按照银行卡业务流程进行操作,在无证据证明交易所需的银行卡信息和密码系因发卡行、收单机构或特约商户原因泄露,则可以认定盗刷人行为构成表见代理,此时的密码交易视同持卡人本人交易,发卡行不承担责任。如果因第三方支付平台故意或者重大过失侵害持卡人资金的,发卡行向持卡人承担责任后可向其追偿。

　　第三,关于对银行卡被盗刷诉讼中举证责任的分配。在银行卡合同关系中,应当适用严格责任的归责原则。在遵循“谁主张,谁举证”的原则下,应当根据案情和双方客观举证能力合理分配举证责任。实践中,银行卡密码或信息的泄露是发生盗刷的主要条件,对于此类案件,笔者赞同应由发卡行承担举证责任的观点。理由是:银行作为金融机构应当对其已尽交易安全保障义务和持卡人存在密码泄露等过错承担举证责任,有利于推动金融机构进行支付结算系统技术升级改造、增强终端设备防风险能力、提升营业场所安全管理水平,有利于保护消费者合法权益与促进银行卡业务的良性发展。从国外情况看,美国1970年立法将非授权交易的损失明确规定主要由银行承担,这并未导致信用卡使用风险的显著增加,一定程度上说明该损失分担机制是合适的。因此,审理此类案件举证责不仅事关个案权利人的利益救济,还应考虑对促进规范金融秩序,促使第三方支付平台建立相应的风险控制措施,防范金融风险起到积极的推动作用。