莫 然,杨斯淼,叶蕊茵
(1.广东金融学院 法学院,广东 广州 510521;2.广州市越秀区人民法院,广东 广州 510530)
随着我国社会逐渐向消费型社会的方向转型,消费者对支付便捷性的要求越来越高,银行卡发行数量的激增,持卡消费日益普及,加之互联网技术快速发展,银行卡线上支付一跃成为当前人们最常用的支付方式。[1]伴随而生的便是银行卡线上盗刷现象的急剧上升,2014年来,因银行卡被线上盗刷引发的诉讼案件在全国各地进入急速爬升阶段,继而引发持卡人与银行之间的大量诉讼。以广州市两级法院为例,从2011年-2013年间法院受理的因银行卡线上盗刷而引起的持卡人与银行之间的诉讼案件平均每年不到10起,但是从2014年开始此类诉讼数量不断增加,2018年上半年,仅广州市越秀区人民法院便已经有50多起同类案件被立案。这不仅对持卡人财产安全带来极大的现实损害,导致大量损失发生,更已经严重影响了整个商业银行系统的公信力,成为我国金融改革和创新发展的巨大威胁。[2]
迄今为止,相关互联网金融法律法规就线上盗刷责任的认定尚未有明确的统一标准,法官在审理因银行卡线上盗刷引发的持卡人与银行的民事纠纷时,主要参考《中华人民共和国民事诉讼法》《中华人民共和国合同法》等,但是这些法律法规主要是以传统交易形式为其调整对象,并没有将互联网金融,特别是第三方支付的情况考虑在内,因此在调整新兴互联网金融产业方面上述法律法规难免存在滞后性。央行2015年12月28日发布并于2016年7月1日正式生效的《非银行支付机构网络支付业务管理办法》首次对金融消费者权益明确相应的保护措施,如就网络支付业务中消费者的知情权、选择权、信息安全和资金安全保护措施都做了具体规定。遗憾的是,该办法并未提及银行、第三方支付机构和金融消费者之间争议的责任划分标准,对银行或第三方支付平台未经金融消费者授权便进行支付的责任分配与赔偿标准也未曾涉及。加之该办法从法律效力层级而言,乃是效力不高的部门规章,面对第三方支付领域层出不穷和频发的消费纠纷,对于司法实践的指导十分有限,难以满足当前保护线上金融消费者权益的迫切需求。[3]
在当前银行卡线上盗刷引发的民事纠纷数量激增,调整此类纠纷的立法规范缺失的双重困境之下,各地法院审理银行与持卡人因线上盗刷引发的民事诉讼案件过程中,便不可避免地出现了大量同案不同判的现象,严重损害司法权威与公信力,因此规范和统一银行卡线上盗刷案件责任归属的司法认定标准乃是当下我国金融案件司法审理中急需解决的问题。
有鉴于此,本文拟就这一主题展开实证研究,试图发现导致此类案件同案不同判现象的根源及破解之策。法官们作为一个群体,遵循着近似的司法审理逻辑看待此类案件,那么究竟在哪里出现了分歧?又如何在最短的时间内突破这一现状,解决现有的分歧,实现判决结果的统一?要回答以上问题,必须考察法官们在审理银行卡线上盗刷案件的集体实践情况,探索到法官们审理此类纠纷的司法逻辑以及导致同案不同判现象的源头。
近几年来,随着移动互联网的迅速普及,以移动互联网、大数据、人工智能、区块链等技术手段为代表的科技金融进入了快速发展期。生活节奏的加快与互联网的快捷方式更使客户大大减少了办理银行业务的等待时间。BCG在2015年2月发布的《新常态下全球银行业的再平衡》里这样描述“在零售银行业中,客户与实体网点互动的次数不断下降,但单次互动时间却有所上升。这是因为客户往往是通过数字化平台完成简单操作,通过实体网点选购复杂产品和获取定制化建议。”[4]这一改变反映了交易功能被逐步剥离银行营业网点,客户对于银行营业网点的需求已经发生了质的改变。
面对科技金融的发展、行业竞争等环境变化,传统银行业面临着巨大的发展压力,不仅是业务被挤压、客户被抢占,网点数量与柜员数量不断减少,当银行业转为买方市场,服务业不断繁荣,客户对于自身权益及服务意识在不断加强,在与其他服务业对比的过程中,客户对银行的服务也提出了更高的要求。埃森哲预测:随着科技金融影响的深入,全球银行业的30%的营业收入将受科技金融的影响。[5]金融与科技相融合最直接的体现便是线上便捷支付的普及。
线上支付是指用户直接或授权他人通过支付终端或设备(手机、掌上电脑、笔记本电脑等),利用各种网络(互联网、移动互联网、金融专网等),发出支付指令,实现债权债务清偿与货币资金转移的行为。在众多线上支付方式中,又以第三方支付平台为主导,可以说,现在人们进行线上支付几乎都在借助第三方支付平台完成。我国主流观点认为:第三方支付平台是与国内外各大银行签约、并具备一定实力和信誉保障的第三方独立机构提供的交易支持平台。在通过第三方支付平台的交易中,买方选购商品后,使用第三方平台提供的账户进行货款支付,由第三方通知卖家货款到达、进行发货;买方检验物品后,通知付款给卖家,第三方再将款项转至卖家账户。用户通过开设网上银行或第三方支付平台,输入密码和身份验证,通过短信通知的方式进行转账交易,而不必通过传统的刷银行卡方式进行。[6]与传统银行卡支付的繁琐、收费项目多相比,第三方支付工具方便、快捷而且免费,其优势日渐凸显。据益普索最新发布的《2018上半年第三方移动支付用户研究报告》:中国移动支付用户规模约为8.9亿,就支付宝而言,80后人均支付金额已超过12万元。据中国人民银行发布的《2017年支付体系运行总体情况》显示:第三方支付已然成为我国市场占有率最高的线上支付模式,如今人们论及线上支付,指的也都是第三方支付。以第三方支付为典型特征之一的银行卡线上支付方式给人们带来巨大便捷的同时,却也引发了一系列社会问题,而银行卡线上盗刷行为则是其中最为突出的。
银行卡盗刷行为并不是什么新的话题,早在本世纪初期通过制造伪卡盗刷他人银行卡的案件曾一度充斥各地法院。但是跟前文提及的银行卡线上盗刷行为相比,二者的支付原理与支付流程截然不同(参见图1)。因此,在司法审理和认定上也会出现很大的差距。
从上述支付流程可以看出,传统信用卡盗刷行为主要分为两个步骤:制造伪卡和获取个人信息。首先,违法分子会对正在使用的信用卡进行复制,使用特定的机器拿到持卡人的资料代码和识别码。继而在空白的卡片上贴上磁条,输入前面拿到的代码,再用凸字机把代码打出来,同时打印的还有防伪标签。这样一张伪卡便诞生了。然后通过各种方式获取持卡人个人信息,便可以用克隆好的伪卡来提取资金或者进行消费了。相比之下,线上盗刷行为则主要表现为以下两种形式:一是通过网上银行直接划拨款项,二是通过第三方支付平台购买大量物品或转账。盗刷者只需获得受害人账号和密码,在相应的网上银行或第三方支付平台上登录,输入支付密码,即可完成交易。[7]
由此可见,线上盗刷的操作十分依托于电子资料,已经在很大程度上脱离了银行卡实体的使用。即只要能够获得相关的账户信息和密码,即便在没有银行卡的情况下,同样可以实施盗刷行为。更有甚者,可以在持卡人不知情的情况下,通过系统操作绑定持卡人的银行卡与某个第三方支付平台,进而通过第三方支付平台实施盗刷。这不仅难以发现,更难以认定究竟是盗刷还是持卡人本人授权的操作,且线上支付全过程都是使用电子设备通过网络交易,电子信息具有可变性与易损性,采集与保管的难度都很大,不仅增加了当事人举证难度,也给法院查清事实真相带来诸多困扰。
正因为线上盗刷行为的以上特点,给司法审理和认定带来极大的难度,加之缺乏立法指引,以至于各地法院在此类案件事实认定和责任分配等焦点问题上存在争议,最终同案不同判的情况频繁出现。所幸,在近年的判决中,不乏有值得参考借鉴的宝贵经验。这些奋斗在一线的司法工作者们凭借多年的司法经验,做出了公正合理的判决。若能以司法倒逼立法,将此类判决标准以法律法规形式加以固定,成为同类案件中判决的指引,定能更好维护司法秩序。为进一步深入分析这一问题,必须就银行卡线上盗刷案的司法审理现状做深度的解读和剖析。
本文研究样本来源于中国裁判文书网。样本遵从以下搜索方式:登录“中国裁判文书网”后,通过输入关键词:“银行卡”、“第三方支付平台”和“盗刷”,搜索时间跨度为:2014年1月1日-2018年12月31日。满足以上搜索条件的诉讼案件数共835起,生效民事判决书共546份。虽然这些并非此类案件全部民事判决书,但考虑到最高人民法院一直大力推动司法公开,中国裁判文书网乃是最高人民法院大力打造的司法公开窗口,因此有理由相信其中收录的判决书在数量上和地域覆盖面上足以支持我们进行实证研究。为便于呈现银行卡线上盗刷案件与传统银行卡盗刷案件审理情况的区别,我们按照同样的搜索条件,在中国裁判文书网中查到传统银行卡盗刷诉讼案件数共7491起,生效民事判决书5119份。收集以上判决书后,进行数据的整理和分析,最终就两类盗刷案件的数量、赔偿责任归属、上诉率以及改判率等四个层面的数据形成对比图表,并着重展开比较分析。
从图2可见,银行卡线上盗刷案件引发的民事诉讼近年来呈现持续上升的趋势,2015-2016年间,其增幅甚至达到了244%,其案件总量虽然不大,但是增长的百分比远超过传统盗刷。与此相对应的,在2017-2018年间,传统银行卡盗刷出现了8%的下降,这意味着随着互联网金融的进一步发展和创新,线上支付日益成为人们支付主要方式的背景下,线上盗刷案件的数量也将随之大幅度提升,并将呈现出井喷式的增长,出现诸多新型的线上盗刷方式。由此引发的民事诉讼应当如何认定盗刷责任归属,实在是当前司法界亟待解决的难题。
经过多年的司法审理,传统银行卡盗刷的责任分配已经有了较为统一的标准,其中过半数为银行负全部责任,约40%为各自按比例分配,而持卡人负全责的则约为5%。结合判决书的具体内容,可知此类案件中,除非银行能够证明持卡人有明显过错,否则银行便要承担相应的责任。若持卡人有过错,银行和持卡人根据实际情况分担损失。可见传统盗刷案件责任分配标准是典型的持卡人过错标准,若无法证明持卡人存在明显过失,则都由银行承担损失。反观银行卡线上盗刷案件,则可谓“变化多端”。从持卡人与银行责任承担结果来看,早期的司法判决中,持卡人几乎承担全部责任,银行不需要承担任何责任。2018年开始持卡人全责、银行全责与双方责任共担这三类判决结果各占约30%的情况,从过去的“一家独大”变成了现在的“三
图2 2014年-2018年银行卡盜制案件数量统计表
图3 2014年-2018年银行卡线上瓷刷责任分配情況
图4 2014年-2018年银行卡线上盗刷判决生效情况
图5 传统盗刷与线上盗刷改判率比较
足鼎立”。这一结果在某种角度上揭示出法院内部在此类案件的责任认定和分配标准方面存在较大的分歧,没有形成相对统一的司法裁判标准。此类案件的上诉率与改判率(见图3与图4)同样可以支持该结论。
从2014年至2018年全国各级法院审理的银行卡线上盗刷案件判决的上诉情况来看,2014、2015年上诉率为0,意味着法院做出的一审判决双方当事人都接受,而对比图3关于责任承担的情况来看,这两年法院基本上都倾向于认定持卡人全责。但是后来随着法院责任承担认定标准的变化,2016年至2018年这3年间,上诉率大幅度上升,远远高于传统盗刷案件的平均上诉率35.29%,更是高于民事案件全国平均上诉率的28%。[6]这说明当事人对于法院的判决的认可度和接受度在急速降低,以至于超过半数的案件在判决做出后至少有一方当事人无法接受结果而提起上诉。由此可见,线上盗刷案件的责任分配上,司法机关与社会公众的判断标准从起初的较为一致转变为后来的激烈冲突。与上诉率对应的另一组数据则是改判率,即二审人民法院改变一审人民法院判决的比例。从数据来看,改判率的变化趋势基本与上诉率的变化趋势相吻合,上诉率高的年份(如2017年),改判率也是最高的,这说明上诉的案件很多也都被改判了。对比起来,传统银行卡盗刷案近年来改判率只有15%,除去撤诉、发回重审等情形外,改判率不足5%。两类案件在改判率上形成如此巨大的反差,恰恰说明了法院系统内部对此类案件在事实认定和责任分配方面存在着很大冲突。从这几组数据来看,银行卡线上盗刷案件的数量在快速上升,颇有超越传统银行卡盗刷案件的趋势。然而我国法院系统内部对于此类案件的责任认定和分配标准却无法统一,内部矛盾明显,由此形成的判决结果越来越难以为当事人所接受,进而影响了此类案件司法判决结果的公信力,无益于定纷止争与维护社会和谐,这不能不引起我们的注意。
既然法院系统内部对银行卡线上盗刷案件的审理和认定适用的标准不一,那么类似案件的判决结果是否也会出现矛盾的情况?也即同案不同判的现象是否普遍存在?我们进一步仔细考察研究样本,发现生效的司法判决中,对于是否存在盗刷事实,银行与持卡人的过错认定和责任的承担等重要事实认定上,不同地区的法院,甚至同一地区的法院,都存在相互矛盾的认定结果。矛盾聚焦于何处?为何会存在这些矛盾?如何才能突破现有的矛盾,尽快统一此类案件的司法认定结果?解答这些问题对于规范我国金融市场有着十分重大的意义,需要建立在对我国银行卡线上盗刷案件的司法审理现状有更加清晰的分析和研判基础之上,采用微观的视角,深入到具体的案例之中,去阅读这些判决文书,方能把握住司法界对于此类案件审理标准的矛盾成因所在。
相较于传统的银行卡伪卡盗刷案件,银行卡线上盗刷案件独有的特殊性给司法审理带来了很多难题,加之缺乏立法的规范和指引,以至于各地法院在审理此类案件时,对于盗刷事实的认定,过错责任的认定以及赔偿比例的分配上适用的判断标准不一,最终便出现了大量相互矛盾的司法判决。经过我们的剖析,最终选择了其中8份典型的司法判决书作为样本,从中锁定了此类案件司法认定中争议最大的三个问题,挑选出对应的典型判决书,对其进行深入分析,以求呈现出法官审理此类案件过程所遵循的思维逻辑和判断标准,并进而找到这些矛盾的成因。
司法审判的主要任务是认定事实和适用法律,而认定事实又是适用法律的前提和基础,因此在司法实践中准确认定案件事实对于纠纷的解决具有重要的意义。[5]根据民事诉讼法关于举证责任分配的规定,持卡人因其银行卡被盗刷后,就其损失起诉银行索取赔偿,应当承担证明盗刷事实存在的举证责任。只有在持卡人证明其银行卡的确存在被盗刷的事实后,法院才会进一步判断损失的归属,可见盗刷事实存在与否的判断决定了整个案件的审理方向。
案例1:陈浩诉中国工商银行股份有限公司六枝特区支行借记卡纠纷案a〔(2016)黔0203民初868号〕
案情描述:通过苏宁易付宝、天翼快捷支付等方式消费15笔,转出共计11499元
原告提供证据:账户清单;支付方式凭据;报案回执
判决结果:银行不应对盗刷负有责任
判决理由:原告应当举证证明其持有被告所发银行卡的事实、其向被告领用相关银行卡的合同或银行卡章程、其银行卡非因自己交易而造成损失的事实、因讼争事由而造成损失金额的事实。且其提供的证据不能证明15笔交易系他人盗刷而非本人交易。
案例2:范翠荣诉中国农业银行股份有限公司虞城县支行借记卡纠纷案b〔(2016)豫14民终1837号〕
案情描述:该卡被他人在网上开通快捷支付方式,分19次在非同一交易地点消费交易及银联代收支出计38115.57元。
原告提供证据:银行卡交易明细清单、派出所报案证明、火车站销售统计表
判决结果:被告中国农业银行股份有限公司虞城县支行于本判决生效之日起7日内赔偿原告范翠荣33115元,以及受理费752元
判决理由:在原告设置了银行卡密码,而快捷支付绕过银行卡密码的情况下,不能有效核实是原告本人进行的消费,这主要是银行和第三方支付机构在开展业务时便存在的风险。因此在没有证据证明是原告客观上帮助他人盗取了借记卡卡内资金的行为并诉假案的情况下,不能免除被告银行的责任。
表2 被告所提供的证据种类
以上两个案例基本事实近似,原被告提交的证据及拟证明内容也十分接近(见表1、表2),但法院的认定结果却截然不同。
这种显而易见的矛盾究竟是如何产生的?这需要从银行卡线上盗刷的举证活动的实际情况作为分析的切入点。绝大多数银行卡线上盗刷诉讼中持卡人和银行能够提供的证据种类和数量都极为有限,这使得法官在认定盗刷事实是否存在时往往需要借助经验常识进行事实推定。事实推定来源于司法人员的逻辑推理过程,由法官在诉讼活动中依据一定的经验法则和逻辑规则进行推定,根据某一事实的存在而作出的与之相关的另一事实存在或不存在的假定,与法官自身经验关系密切。[8]事实推定的出现,是为了解决民事诉讼查明事实手段有限,法官不能以事实不明拒绝判决这一矛盾而做出的“权宜之计”。然而在赋予法官根据事实进行推定这一自由裁量权的同时,法官也必须受到相应的约束,即法官的推定必须以经验事实为依据,借助已经为社会公众所接受和认可一般生活经验对事实进行的推定。
反观前文两个案例,法官在认定盗刷事实是否存在时,也都采取了事实推定这一证明方式。在案例1中,法官认为“原告提供的证据3、4与被告提供的证据3相互印证,能证明2016年3月8日原告持有的银行卡发生15笔交易,苏宁易购10笔,携程网4笔,KQ交易1笔,金额共计11499元,但不能证明原告所主张的被盗刷的待证事实。”而案例2中法官则认为“账户消费频繁,金额固定,其消费模式与日常消费模式不符,而与网络盗刷行为的隐蔽性与速度性相符。”可见,案例1中,法官认为从“银行卡短时间内被频繁消费”这一事实无法推出“银行卡被盗刷”这一结论,然而案例2中,法官却根据近似的事实,推定银行卡被盗刷的事实。相同的推定方法,却产生了截然不同的推定结果。
当确认盗刷事实存在后,持卡人与银行究竟是谁应当为这个损失买单?这需要追究造成损失的原因。是持卡人未能妥善保管和使用银行卡及其密码导致卡被盗刷?抑或是银行的网上支付系统存在漏洞以至于持卡人被盗刷?面对线上支付系统某些固有弊端造成的银行卡被盗刷的结果,谁来承担?
法官们对以上问题的回答很大程度上决定了盗刷损失的承担结果。案例3与案例4是同一起案件的一审与二审,基本案情和提交证据相同,但两级法院在责任的认定上却出现了截然不同的两个结果。
案例3:刘婉芳诉中国农业银行股份有限公司广州农讲所支行借记卡纠纷案一审a〔(2017)粤0104民初7660号〕
案情描述:涉案账户在2015年3月26日至2015年4月2日期间,通过第三方平台收支交易共41笔,其中支出38笔共47981.3元,退款3笔共2099.8元。
原告提供证据:收支交易凭证、报案记录
判决结果:农行农讲所支行对案涉借记卡的损失应承担主要责任
判决理由:农行农讲所支行发送的验证码并非刘婉芳回应,农行农讲所支行也未提供相关证据证明验证码信息已送达至刘婉芳手机,由此说明,在当前高科技日新月异的情形下,以验证码方式保护结算账户的资金安全也存在风险。按照风险控制原理,对网银的性能、功能、可能的风险的预见以及预先防范加以阻却应是作为以盈利为目的的商事主体的农行农讲所支行所应尽的职责,现农行农讲所支行无证据证明其对这种异常交易行为实施了监控,也未能提供涉案电脑交易地点、资金去向及流转等关键事实,故农行应当承担责任。
案例4:刘婉芳诉中国农业银行股份有限公司广州农讲所支行借记卡纠纷案二审b〔(2017)粤01民终14928号〕
案情描述:同上
原告提供证据:同上
判决结果:主要责任在于持卡人刘婉芳
判决理由:通过第三方交易平台进行的网络支付模式,需进行身份证号、卡号、电话号、短信验证号等诸多要素的验证后方可成功捆绑银行卡进行支付。捆绑银行卡的行为系第三方交易平台的主动行为,也即是持卡人或持卡人授权的人主动交易的行为。验证过程也是由第三方平台向持卡人登记的手机号码发送。发卡行仅是对第三方平台发送的验证信息与发卡行预留的信息进行核对验证。各要素核对一致即捆绑成功,捆绑的银行卡即可用于支付。该过程所发送的动态验证码与发卡行并无关联,且在极短的时间内诸多要素必须碰撞一致,除非持卡人的动态验证密码泄露,否则破译难度极大,故该交易模式应是安全和可控的。且作为发卡行,没有义务也难以确认每条通知短信持卡人都收到,只能确认短信的发出。
该案件中,持卡人主张自己从未收到过银行发送的验证码,而银行未能及时发现持卡人并未收到验证码,未能及时发现以上异常情况,还继续进行支付,以至于验证码被他人窃取最终导致持卡人的损失,银行存在过错应当赔偿。银行则坚持自己是严格按照第三方支付平台的支付程序履行了应有的验证手续,只需要确认通知短信已经发出,没有义务确认持卡人是否收到短信,是持卡人自己手机被他人入侵导致未能收到验证码。持卡人与银行各执一词,都认为自己尽了合同所约定的义务。
一审法院认为商业银行应对客户通过第三方支付机构进行的交易建立自动化的交易监控机制和风险监控模型,及时发现和处置异常行为、套现或欺诈事件。使用第三方支付平台,进行网上支付,银行得以大大降低成本提高效益,是既得利益者,因此银行有义务确保其网上支付系统的安全,不应让持卡人承担使用网上支付系统的风险。故一审法院认定银行未尽合同义务,应当承担盗刷造成持卡人的损失。然而二审法院却认为银行对于系统的安全已经尽了维护和注意义务,导致盗刷的原因与系统本身安全性无关,持卡人手机被入侵是被盗刷的关键,这与持卡人未能尽谨慎注意义务密切相关,故盗刷的损失应由持卡人承担。无论是将责任分配给银行还是持卡人,其背后的理由都有法理可循。在确定了盗刷行为的存在后,对于行为发生的责任分配问题也是需要规范的一环。在原告的起诉中,认为银行存在“负有保障真实持卡人款项安全的义务,双方之间存在储蓄合同关系……但并没有举证证明其已经履行了资金保障的义务”,要求法院认定银行承担违约责任。
从两级法院的判决结果来看,一审法院立足于银行作为金融服务的提供者的角度,认为银行与持卡人之间存在金融消费合同。从消费者权益保护的角度来看,持卡人作为金融消费者,与银行作为金融服务提供者即经营者之间的法律关系应受到《中华人民共和国消费者权益保护法》(以下简称《消法》)的调整。从《消法》对消费者权利和经营者义务的规定来看,银行应保障其提供的服务能够保障持卡人的财产安全,为持卡人提供具有较高安全级别和较强防伪功能的借记卡,并保障持卡人具有安全的取款环境。银行安全系统存在风险,使得不法分子能够盗取账户中的存款,表明银行未尽到保障持卡人财产安全的义务,理应赔偿消费者的损失。[2]据此,银行应当基于违约责任对持卡人进行赔偿,而根据我国合同法关于违约责任的相关规定,适用的是无过错归责的基本原则。即在盗刷银行卡案件中,无论银行是否存在过错,只要违约事实出现,银行便应当承担违约责任并作出赔偿。赔偿责任的无过错归责原则一方面体现出银行赔偿责任在持卡人与银行之间的合同关系中具有充分的法律支持,另一方面也减轻了持卡人证明银行负有过错的举证负担,与保护持卡人这一弱势群体的基本取向相符。[9]而二审法院则是为银行只需要对交易的银行卡账号和密码进行形式审查,不需要对交易中的持卡人身份进行识别。因为在交易过程中银行方默认持卡人已尽到了合理保管自己账户与密码的义务,账户密码的正确输入即代表着持卡人的合法身份。银行逐个审查不仅浪费时间降低效率,而且从操作角度来看也不现实。
从以上两个相矛盾的认定结果来看,法官们在认定过错责任的时候,所考虑的已经从单纯的个案事实和法律适用,延伸到了银行网上支付发展过程中权利义务的衡平。法官们在评价持卡人与银行的行为,分析其中是否存在过错的同时,已经在思考银行线上支付盗刷风险应当如何在持卡人与银行之间分配,尤其在双方过错难以划分的时候,适用怎样的过错责任分配标准更为合适。是倾向于保障持卡人的权益,使其免受盗刷的损失?还是支持银行的诉求,从而稳定社会公众对线上支付这一便捷支付方式的信心?法官们选择的不同便产生了不同的判决结果。
基于前文的分析,当前我国银行卡线上盗刷案件同案不同判背后的成因主要包括:1.现有立法对于盗刷事实是否存在的判断缺乏指引,因此在司法实践中法官们运用事实推定的认证方法对盗刷事实进行认定时难以统一认定标准;2.对于线上系统固有的潜在风险应当如何在银行与持卡人之间进行分配缺乏统一的判断标准,导致法官们对银行与持卡人各自责任的分配标准不一。由于没有明确的立法指引,加之双方能够提供的证据种类和数量十分有限,法官们不得不在法律规范与案件事实的结合认识过程中,小心翼翼地进行自由裁量。随着银行卡线上盗刷诉讼数量的持续上升,同案不同判的情况必定会随之增多,不利于我国金融市场的持续发展,因此有必要探讨如何统一此类案件的审理标准。
缺乏具有针对性和可操作性的责任认定标准,立法的模糊与缺失使得司法者在线上盗刷案件的裁判十分困难。法官在案件分歧点,即前文所述盗刷事实存在与否、风险责任归属问题这两点上必须引入推定心证。经验法则的盖然性赋予了事实推定方法以正当性, 法官应当依据一般性的经验法则来推定事实。但不同的法官有着不同的生活经验,即便面对的是类似的案件,在缺乏立法倾向性引导的情况下,难免会做出不同的认定结果。实践中的事实推定面临着经验法则的有限性与案件事实的无限性之间的矛盾,解开这个矛盾的方法就是将事实推定的适用条件落实在法律条文中,实行法官的心证公开,统一裁判尺度。[10]事实推定本质上属于法官自由心证的范畴,立法似乎不应当过多涉足其中。然而这不代表立法对此完全无所作为,特别在司法实践中某一类案件频频出现矛盾判决的情况下,立法应当给司法者的裁量行为给予引导。
持卡人主张存在盗刷事实,但提供的证据往往非常有限,例如资金流动凭证、被盗刷后的银行卡操作、报案记录等。这些都只能作为间接证据,而无法直接证明盗刷行为的存在。持卡人作为一般民众,收集证据能力有限,若是将大部分责任都归于持卡人势必导致其无法维权。如此看来,此类诉讼从一开始便注定了持卡人的失败,因为他们很可能连自己的卡被盗刷了这个事实都无法证明。在这一立法现状之下,针对频频出现的线上盗刷案件,出于对持卡人权利保护以及诉讼公平的考虑,各地法院可以结合实际情况,以指导意见或者指导案例的方式,提示法官在盗刷事实的认定上可以采取事实推定的方式适当减轻持卡人的举证难度,并同时提示事实推定的方向以防止出现同类事实不同推定结果的尴尬情况。即用列举的方式明确提示司法者,若持卡人能够证明存在以下事实,则可以推定银行卡被盗刷这一事实的存在。
1.短期内大笔支出频繁发生。对于同一个账户短期内频繁地支取明显是不合常理的,而且通过常识可知,如“141分钟内被连续消费143笔”的频繁操作也并非单纯人力可为,所以在这种情况下可以认定这样的网络支出现象十分不符合常理,很有可能是银行卡被盗刷了。
2.支出地与持卡人本人并无直接关联。在盗刷案件中,有的持卡人身在湖南支取地却在山西,有的持卡人居住地为上海却通过网购方式在广东有大笔或多笔支出。虽然网络支出并不需要物理条件,更无法证明使用者是否本人。但在排除持卡人社会关系和行动踪迹后,可以推定网络支出地与持卡人是否存在关联,进而以此为据判断“在以上支出地中支出的金额是否被盗刷”这一事实也更加符合经验法则的内涵。
3.发现后及时采取补救措施。当发现盗刷后持卡人是否及时采取补救措施也是一个重要的指标。比如立即报警、暂停银行卡相关业务、挂失等,可推定持卡人本身对于盗刷行为是持有抗拒态度的,并积极阻止行为的发生和再继续。
以上几点是我们根据研究样本中法官在此类案件中做出的推定进行的提炼,既要考虑到基于以上事实是否能够合乎逻辑地推定出盗刷事实的存在,又要确保绝大多数持卡人有机会接触或者掌握到能够证明以上事实的证据。但是必须看到,过度使用推定是非常危险的,因为它大大降低了证据在事实认定中的作用和价值,助长了法官简单化裁判的惰性思维,即法官不注重对证据本身和质证过程的综合考量,而倾向于直接依据证明责任制度作出快速裁决。此类判决虽有效率,但已经偏离了证明责任制度的初衷,更是不利于当事人权益保护。建议最高人民法院定期收集和分析线上盗刷案件的审理情况,以指导意见或者指导案例的方式给司法实践中如何认定盗刷事实提供一个引导方向,从而避免同案不同判的情况。
在不同的风险控制理论中,系统风险由何方承担是判断问题的关键。在传统环境中,银行是主要风险控制方是社会共识。银行主要承担两大义务: 一是为持卡人提供安全的交易场所和环境,二是在办理各项业务时审查和识别持卡人身份。根据中国人民银行颁布的《银行卡业务管理办法》第十三条的规定,银行开办银行卡业务应当具备的条件之一就是“安全、高效的计算机处理系统”。实际生活中,持卡人几乎不会质疑银行的数据传输系统的安全性问题,或者说,即便有所担心,却也不得不使用这一系统。社会基于信任给予银行存放存款的权利,自然也能合理期望存款得到安全保障的权利。[11]在新时代的互联网金融环境下,银行作为风险控制方,基于以下三点原因应当更多承担系统风险造成的后果。
1.合同交易方式电子化普及的需求。随着网络的发展与电子银行的普及,现代银行和储户的电子化交易是通过银行提供的机器进行的。网上交易平台实际上是等同于传统的柜台交易场所;网上交易方式也是传统交易方式的延伸。随着电子支付越来越普及化的应用,网络成为人们交易的主要场所乃是一个必然的发展趋势,成为交易的主要场地。所以,银行对这些新兴的交易场所和交易方式也应该负有保障交易信息安全的义务。加大了银行的举证义务后,实则是倒逼银行做好相关审查及安全保障义务,以更好地维护用户财产安全和促进金融行业的稳定良性发展。
2.收益与风险相一致的要求。电子化交易下,犯罪分子能否盗得储户存款的关键在于是否能够拿到储户的信息和密码。线上电子交易制度的普及,很大程度上减轻银行的审查义务,大大降低了银行的各项成本。反过来,风险则在某种程度上转嫁到储户身上。银行通过各种方式告知储户,银行要检验的只是储户个人信息和密码是否正确,一旦正确银行便可以默认是储户本人的操作,无需做其他的审查。根据收益与风险相一致的基本原则,电子化交易引发的风险以及防范义务应当由从中获益的人承担。也有不少学者认为储户也因此获得交易的便捷,利益并非银行独占,因此储户也应当分担风险。然而必须看到的是,银行以经营者身份获得的是直接的经济收益,并非仅仅是所谓的交易便捷。此外,银行作为系统的提供方与维护方,若让其承担系统风险防范义务,更能促使其进一步提升系统的稳定性与安全性,改善其经营环境和条件,使其得以吸纳更多的存款。
3.危险控制理论的要求。根据危险控制理论,谁能更经济、合理和有效地控制危险,谁就应当承担控制潜在危险的义务。银行作为经营者对自己的服务设施、设备性能和服务场所的安全情况比储户有更多的了解,也具有更加强大的力量和更为专业的知识,更能预见可能发生的危险和损害,更有可能采取必要的措施防止危险的发生。如银行对于用户账户情况异常的监管就是必须采取的措施,对于是否“异常”的认定,可以事先与用户约定上限或频率,或者是通过大数据的分析来判定账户操作是否符合常理。如“王宝君诉中国建设银行股份有限公司天水分行借记卡纠纷案”中,被盗刷的140700元是在141分钟内被连续消费143笔,消费间隔时间很短,明显超出正常人办理业务的速度。发现操作违反一般规律时银行可先进行截止,在通过询问客户以确认是否确有必要后再进行操作。这样即使是盗刷的行为,亦可及时止损。而若银行对于明显异常的行为也没有加以阻止,那么即可认定银行并没有尽到应有的监督审查责任。
从分析可得知,在一般情况下系统出现风险导致账户被盗情况,主要责任应由银行方承担,即由银行赔偿持卡人损失。但在以下特殊情况下,持卡人则需要承担一定的,甚至全部的责任。
1.持卡人存在过错。在一些情况下盗刷行为的发生是持卡人自己的原因所导致的,如案例4中由于贪图小利而进行的操作,暴露了账户秘密并通过验证;又或是借出自己的身份信息给他人办理银行卡。在这些情况下持卡人的过错是盗刷发生的主要原因。便如专家而言:“银行在网络支付安全保障措施上已为用户的存款设置了不止一道的‘防盗门’,然用户若将大门钥匙交给他人,那么不论大门的安全系数有多高,门总会被打开。”[12]所以如果银行能证明持卡人本人有明显过失,那么银行即可免责。
2.银行通知信息确认送达。银行是否有尽到及时通知的义务。用户在操作账户后银行会发消息通知本人账户情况。若是由于银行没有及时发送消息导致用户无法得知转账情况而错过了挽回的机会,银行则需要负上一定责任。上述案例3、4中,中国农业银行提供了手机短信发送记录一组,证明被告已经尽到合理告知的义务,原告每一笔银行卡关联、银行卡消费,被告均已短信形式进行了告知,是被告对于自己作为的积极举证。但可惜的是这份证据最终没有被采纳,因为该证据没有加盖出具单位的印章,不能作为证据使用。人民法院后来根据中国农业银行的申请,分别对北京国都互联科技有限公司以及中国移动通信集团公司政企客户分公司发出了协助调查函,要求二公司协助调查涉案手机用户的农业银行账户信息发送情况状态详细报告,是由于自身疏忽或懒惰并没有及时处理,导致了损害的发生或进一步扩大,那么持卡人就必须对这部分损失负责。
银行卡线上支付日益普及,我们使用现金或者刷卡的频率越来越低,很多时候身无长物,仅凭一部手机便畅行无阻。这种便捷背后,隐藏着巨大的风险。站在司法审理的角度,更多关注的是如何确保线上盗刷类诉讼案件事实认定正确,法律适用无误,然而若将目光放的更远一些,通过司法审理,同样可以向人们传达出如何提前做好风险防范,确保个人财产安全的重要信息。银行卡盗刷案件的司法救济毕竟是事后救济了,如何能够让人们具备更多的风险防范意识才是防患于未然的关键。