伪卡盗刷案对比评析——论商业银行的安全保障义务

何至诚

（华东政法大学,上海 200042）

一、案例

（一）陈某诉甲银行借记卡纠纷案

2012年6月21日7时左右，陈某通过甲银行短信，得知其持有的甲银行借记卡通过POS机刷卡方式进行了四笔交易共计54万元，陈某立即报警，目前该刑事案件尚未侦破。陈某起诉要求甲银行承担借记卡内资金损失。上海市第一中级人民法院于2013年5月31日作出（2013）沪一中民六(商)终字第152号民事判决，驳回上诉，维持原判，甲银行应支付陈某54万元及同期利息

法院认为，首先，银行对储户存款具有安全保障的法定义务。甲银行作为银行借记卡的发卡行及相关技术、设备和操作平台的提供者，理当承担伪卡的识别义务。伪卡盗刷行为的发生说明甲银行制发的借记卡以及交易系统存在技术缺陷，故甲银行应当承担由此造成的损失。其次，甲银行对陈某负有全面履行储蓄存款合同的义务。合同具有相对性，故即使案外人存在刑事犯罪或者民事过错，也应由甲银行承担违约责任后，依法向刑事犯罪或者民事过错方进行追偿。再次，从本案双方当事人损失的利益衡量来比较分析，在损失分配和损失处理能力方面，由甲银行先行承担损失，能极大地降低损失带来的经济负担。并且甲银行应对犯罪嫌疑人利用伪卡进行的交易中密码泄露的过错负有举证责任。

（二）赵某某与乙银行借记卡纠纷上诉案

2012年1月21日21时18分至24分，赵某某持有的乙银行借记卡在广东省湛江市吴川市自助设备分8次取现人民币16,000元，发生手续费144元。赵某某在接到银行短信通知后，于当日21时22分01秒向乙银行客服电话查询并挂失，乙银行于21时26分11秒冻结该借记卡。2012年1月31日，上诉人至上海市公安局浦东分局横沔派出所报警。之后，上诉人要求被上诉人赔偿其损失，遂涉讼。

原审法院审理认为，乙银行即需对赵某某的存款安全承担谨慎保管之责。借记卡系银行发行的用于钱款存取的凭证，银行应当负有识别其真假的义务。但银行对储户交易指令的审查，包括卡片和密码两个方面，只有两者均真实，才能构成本人取款或消费的外观，银行据此作出的支付行为才能有效，故领用合约关于密码正确视为本人行为的约定应当仅针对卡片真实的情形，不符合本案实情，乙银行的上述抗辩理由不能成立。但依据高度盖然性原则，推定赵某某对借记卡密码的泄露存在过错，可酌情减轻银行的赔偿责任。故双方对赵某某的资金损失以各半承担为妥。

赵某某提起上诉。二审法院认为，银行与借记卡持卡人之间的法律关系实质上系存款关系，持卡人将资金交付银行后，相应资金的所有权即归属银行，持卡人据此享有对银行相应的债权，银行并不负有保护储户资金安全义务。商业合同的约定应以当事人的合理能力范围为基础，上诉人作为普通民事主体，在系争借记卡的密码保管方面，其能力范围仅限于对其自身行为予以规范，即妥善保管以防止泄露，对于他人通过其他手段获取该密码，上诉人并无能力予以防范。终审判决乙银行承担全部损失。

二、评析

此两案例都是典型的“伪卡盗刷”案，判决结果都是银行承担全部赔偿责任，但两案的审判思路有所差别。

（一）“陈某诉甲银行借记卡纠纷案”法律分析

在“陈某诉甲银行借记卡纠纷案”中，法官从“银行对储户存款具有安全保障的法定义务”这一论点出发，较紧密地围绕商业银行的安全保障义务展开论述：1.银行理应承担伪卡的识别义务；2.银行应对储户密码泄露的过错承担举证责任；3.基于合同的相对性，银行承担违约责任而非补偿责任，不存在“先刑后民”问题。

在此判决书中，法官很好地明确了一点：对于银行自助交易系统的错误，应当由银行承担不利后果。传统柜台交易中，对于储户身份真实性、资料完整性的审查义务，都由银行工作人员完成。在网络信息化时代，自助交易系统和信用卡的出现，使得人工智能服务及其代替了人工审核储户身份真实性、资料完整性。就双方权利义务而言，基于合同原理，可做如下解释：（1）银行发行银行卡，只是交易方式发生变化，并不影响双方权利义务的履行。银行既然选择适用银行卡作为交易媒介，就应当向存款人保证，适用银行卡足以作为身份的鉴别手段，并足以保证储户资金的安全；（2）自助交易系统作为银行的组成部分，自助交易系统的错误等同于银行错误。银行未能识别存款人身份真伪，理应负配成责任。不能因债务履行方式的变化，而减轻银行的审查义务，将存款的安全保障义务转移给储户，这不仅不符合公平原则，储户也无法保障存款安全。总而言之，在运用自助交易系统的情况下，并没有改变银行的安全保障义务。

判决书中运用“利益衡量”来说理，笔者认为欠妥。（1）法理是法律渊源之一，但是否可以直接在判决书中适用而不引用任何相关法律条文？笔者认为有待商榷。并且作为法律渊源的法学理论，应当是得到法学界公认的理论、学说。判决文书中没有说明“利益衡量”的出处和理论根基，不应该以这样粗陋的方式出现在判决文书当中；（2）后文所做“利益衡量”，并非局限于当事人双方之间，而更多的是基于社会利益的考量，从而突破了合同的相对性，无益于存款人存款损失的弥补，与本案的关联性不大，不应该作为银行承担违约责任的依据之一。

判决书后段提到“甲银行应对犯罪嫌疑人利用伪卡进行的交易中密码泄露的过错负有举证责任”，以归责原则强化了银行安全保障义务的履行。笔者认为，在“伪卡盗刷”案件中，存款人只负有“存款不当减少”的初步证明义务，其他事项的证明义务应当赋予银行。（1）证明责任分配的目的之一是更便捷地查明事实真相。储户自身力量弱小，缺乏必要人员、设备，很难举证；银行拥有相关技术人员、设施设备，可以更便捷地举证证明客观事实。前文所述“利益衡量”的观点，只能作为法官观点佐证证明责任的分配。（2）证明责任分配亦本着公平正义的要求。“谁主张、谁举证”，当事人应当对自己主张的法律要件事实负证明义务。

（二）“赵某某与甲银行借记卡纠纷案”对比分析

“赵某某与甲银行借记卡纠纷案”同样也是“伪卡盗刷”案例，但法官看待同样问题的角度不同。在一审判决书中指出，“银行对储户交易指令的审查，包括卡片和密码两个方面，只有两者均真实，才能构成本人取款或消费的外观，银行据此作出的支付行为才能有效”，这与日常生活情况并不相符。银行自动交易系统对存款人交易指令的审查，包括银行卡芯片信息和密码。只要芯片所含信息相符，尽管是伪造的，也不能被银行自助交易系统所察别。“卡片真实”的要求就算是人工审查也不一定达到，因为其不符合信用卡交易系统的工作原理。故而笔者认为，从内容上说，银行的审查义务，应当为银行卡芯片记载内容的正确性、完整性和交易密码的正确性。在存款人办理银行卡业务之时，因银行为服务和全套服务设备提供方，银行即以行为对存款人作出一个默示承诺，即只要存款人按照既定方式操作自助交易系统，不存在泄露银行卡密码的故意或重大过失，银行负有安全保障义务。这也是银行卡交易运行的基础。正是基于这样的默示承诺，商业银行在非因存款人重大过失情况下，才负有资金的安全保障义务。一审判决书中“依据高度盖然性原则，推定上诉人对借记卡密码的泄露存在过错”只是法官毫无根据的主观推断，与常理相悖。《中华人民共和国商业银行法》第六条规定“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯”，银行对存款人的安全保障义务为法定义务。银行与存款人之间的债权债务关系，并非否定商业银行安全保障义务的充分条件。

三、结论

通过以上两案对比分析，可以提炼出以下审判要旨：

（一）商业银行对储户存款负有安全保障义务；

（二）对于第三人“伪卡盗刷”窃取存款人存款的案件，银行对存款人过错承担举证责任；

（三）银行对自助交易系统漏洞承担法律风险。