制图/陆文辉 中国民生经济网
【基本案情】
原告刘某在某国有商业银行的营业网点申请开通借记芯片卡,办理了短信提醒业务。2016年3月18日下午,刘某在手机短信中点击网址链接中了木马病毒,随后支付验证码、银行卡余额提醒短信遭屏蔽、拦截。从2016年3月18日13点16分至18点25分,刘某的银行卡便陆续被他人异地在快钱、易宝、微信红包、美团、京东这些网上交易平台被快捷支付并消费20笔,共计33400元。当日,刘某办理银行卡挂失,次日向公安局报警。由于银行和网上交易平台迟迟不予退赔,刘某以银行为被告向法院提起储蓄存款合同纠纷诉讼。
【争议焦点】
本案原告银行卡被盗刷的方式均系通过快捷支付方式。快捷支付从2011年正式推出后,凭借操作简便且高效的特点,深受网购族的喜爱和市场的推崇。它是指用户购买商品时或在线支付时,不需开通网上银行,只需提供银行卡卡号、户名、手机号码,银行验证手机号码正确性后,第三方非银行支付机构发送动态口令密码到用户的手机上,用户输入正确的手机动态口令即可完成支付。围绕本案银行卡被他人“快捷支付”,储户和银行的归责问题,本案存在两种不同的意见:
第一种意见认为:原告刘某缺乏证据证明银行的交易系统存在安全隐患,从而导致其个人信息泄漏,且银行发送了动态验证码并短信通知,原告无法接收短信,是其本人疏忽导致重要信息泄露,所以银行不应承担责任。
第二种意见认为:本案适用过错责任原则。原告刘某轻信并点击诈骗短信导致被犯罪嫌疑人在手机上植入木马、操控手机,存在一定的过错;银行在原告刘某开户时,未书面告知或以显著方式提醒可以开通快捷支付事宜,且在银行账户与第三方支付机构首次建立业务关联时,银行也没有按照《中国银监会、中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》(银监发[2014]10号)要求,通过物理网点或电子渠道对原告的身份进行鉴别,未审慎地履行安全保障义务,故银行也应承担一定的损失填补责任。
笔者赞同第二种观点,综合双方当事人的地位和社会责任,适用过错责任归责原则更贴近本案实际情况。原告刘某的借记卡被盗刷与其点击不明网址链接导致支付验证码被拦截存在直接的因果关系。原告刘某固然存在一定的过错,但是在没有证据显示支付密码已经泄露的前提下,由于银行与第三方支付机构的合作关系,使得短信支付验证码与支付密码处于同等重要的位置,而银行将验证义务交由第三方支付机构完成,无疑其没有尽到审慎的支付义务和安全保障义务。
【案件评析】
本案处理的重点在于是否采用过错责任原则归责以及适用法律问题。银行业的主流观点认为,储户与第三方支付平台以及银行签订快捷支付合同,其本身不涉及银行卡这一交易介质,犯罪分子通过掌握客户个人信息,特别是拦截银行给储户发送的交易验证码来完成交易,若银行已经按照相关规定要求和快捷支付相关的权利义务条款,以发送验证码的形式履行了客户身份的验证义务,银行此时不必承担责任。但是笔者查阅了《中国银监会、中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》(银监发〔2014〕10号)、《关于落实银监发〔2014〕10号文要求的操作指引》,操作指引要求银行通过物理网点或电子渠道对储户首次使用快捷支付进行验证鉴别,且网上每次验证支付时均应跳转至银行页面。笔者了解到,大多数商业银行均将验证义务交由第三方支付机构完成,网上每次验证支付均未跳转至银行页面。值得欣慰的是,中国人民银行制定的《非银行支付机构网络支付业务管理办法》已经于2016年7月1日起施行,它规定了支付机构对不能有效证明因客户原因导致的资金损失的“先行赔付原则”。其中,先行赔付的前提是:支付机构事先或在首笔交易时自主识别客户身份并分别取得客户和银行的协议授权,同意其向客户的银行账户发起支付指令扣划资金;银行事先或首笔自主识别客户身份并与客户直接签订授权协议,明确约定扣款适用范围和交易验证方式,设立与客户风险承受能力相匹配的单笔和单日累计交易限额。
【法官寄语】
近年来,关于银行卡被盗刷的方式层出不穷,央视《东方时空》栏目曾于2016年8月揭露过克隆银行卡及电信诈骗的详细过程。对于银行和行业监管层面而言,如何从网络技术层面规避风险仍然任重而道远。试想,如果一位仅有小学文化的普通农民开通储蓄卡,预留了手机号码,储蓄卡中辛辛苦苦积攒的储蓄被他人通过本案的方式快捷支付了,银行和第三方支付机构能够置身事外吗?
在此,提醒广大市民警惕以下几种银行卡盗刷方式:1、犯罪分子通过诈骗电话套取储户的银行卡信息,然后复制伪卡或在网上银行实施盗刷;2、犯罪分子利用POS机复制银行卡磁条信息,制造伪卡后实施盗刷;3、犯罪分子在ATM机上安装摄像头和读卡器,窃取储户银行卡资料后伪造银行卡进行盗刷;4、犯罪分子通过不明网址链接、二维码、图片、虚假网站等方式向储户的手机推送木马病毒,窃取储户银行卡资料或拦截支付验证码,在第三方支付平台实施盗刷。(
陆文辉)
