克隆银行卡案件的责任承担考量中山法院网

文章来源

当前位置：

克隆银行卡案件的责任承担考量

2015-12-02 来源：中国法院网　　【收藏本文】

　　一旦银行卡【1】内的资金遭到盗刷，银储之间的矛盾即充分凸显，持卡人认为银行交易系统存在安全隐患，银行则辩驳自己的设备不存在任何缺陷，法院的裁判结果也如“普罗透斯之面”。截至目前，安全系数更高的金融IC卡仍在推广过程中，短期内难以完全替代磁条卡的运用。本文试图援引风险分配经济分析的的视角对储蓄合同纠纷进行探析，梳理责任承担的思路，以期实现“帕累托最优”。

　　一、困局：储蓄合同纠纷风险分配实践的“三足鼎立”

　　先存款后消费、不具备透支功能的借记卡，在使用过程中存在委托付款与清算、转账服务等关系，但无不建立在储蓄合同的基础上。《民事案件案由规定》虽然将储蓄存款合同纠纷与借记卡纠纷单列，但二者实际上构成种属关系。笔者在中国裁判文书网输入“储蓄合同纠纷”，随机抽选50个案例，判决银行按比例承担责任的29例，判决银行全责的15例，判决银行免责的6例，在判决银行按比例承担责任的案件中，不同法院酌定的比例亦呈现较大的差异。在裁判文书的内容方面，法院的关注点包括“过错”、“风险承担”、“举证责任”、“安全保障义务”、“妥善保管义务”等。

　　克隆银行卡案件作为储蓄合同履约过程中的重大风险事件，目前的立法与司法界针对其风险如何分配意见不一，暂分为“双方分担”、“银行风险”与“持卡人风险”三类。银行卡盗刷犯罪造成的负外部性，导致储蓄合同原有的权义结构显得“朦胧”，如何判断储蓄合同当事人负有的关键义务，补救因犯罪行为引致的违约损失，将风险分配给能以最小成本防范的当事人，是一个兼顾法益衡量与经济分析的过程，亟待建立起规范的价值评判体系。

　　《最高人民法院关于民事诉讼证据的若干规定》没有正视银行与持卡人的地位悬殊，举证责任倒置规则并不适用于克隆银行卡案件，持卡人囿于信息不对称、搜集证据能力薄弱等因素，容易陷于举证不能，主要表现在：一是原告需要证明银行存在过错，但通常情况下证明不能。判决节选一“现有证据不能证明邮政银行郑州分行存在过错，故王彦要求邮政银行郑州分行支付王彦被盗存款60000元的诉讼请求，不予支持”。【2】二是法院采纳被告的“幽灵抗辩”，要求原告证明并不存在的事实，导致原告举证困难或举证不能。判决节选二“不能排除持卡人无意中泄露密码之可能，如在谈生意或操作时不注意防范而被他人知晓。”【3】三是原告需要证明卡被他人盗刷的事实，最好取得案件的侦破结论，而这明显超越原告的能力。判决节选三“该案正在侦查中，原告虽证明未外出，但储蓄卡刷卡消费137300元是被他人盗刷的证据不足。”【4】不难看出，持卡人在举证责任的重压之下败诉风险较大，通过诉讼弥补权益损失的实现概率较低。

　　二、审视：建立储蓄合同纠纷风险分配统一规则的障碍

　　“一般来说，与特殊技能、特定行业有关的合同，特殊技能方、特定行业方更能够预见损失的可能性与大小；组织体（公司或其他组织）相较自然人，大型公司相较中小型公司更具备分散风险的能力；客户群范围愈广、合同相对方数量越多，越可能将交易风险通过价格机制分配给所有的相对人……”【5】参照该规则，储蓄合同纠纷中的风险如何分配似乎已很明晰，然而实际上司法实践中未能形成统一的分配规则，检视原因如下：

　　（一）无名合同语境下的意思自治与自由裁量

　　合同法旨在提供竞争充分、信息完全、减少和消除垄断或外部性的环境，来实现交换效率的最大化。【6】 “有名合同”身为先进交易习惯的总结，可供潜在交易者选择适用，有利于减少试错次数与合同设计履行的费用。我国合同法草案原本包含了储蓄合同，但在如何对待银储关系方面，草案意见与银行业意见不一，最终立法者作出妥协，导致储蓄合同成为无名合同，【7】仅有《合同法》第一百二十四条“适用本法总则的规定，并可参照分则或者其他法律最相类似的规定”，作出类推适用的指引。

　　储蓄合同究与何种有名合同最相类似、如何类推，在理论与实务界皆存争议，实务中主要体现为银行单方制定的格式合同。调整储蓄合同项下银行卡的规范性文件《银行卡业务管理办法》，主要是行政管理性质的规范，较少涉足民事责任领域，对出现伪卡交易的情况下银行是否担责等方面并无涉及。规范层面的缺失，不利于储蓄合同签订、履行、纠纷处理中交易成本的降低，不同法院在银储双方的权利义务、归责原则等方面意见不一。

　　（二）账户资金银行所有权的观念未能深入人心

　　货币属于典型的种类物，持卡人将货币交付银行后，银行不仅占有货币，还依法对其享有作为流动资金发放贷款等使用、收益、处分的权利，货币的所有权与风险即时转移。无论克隆银行卡案件是否发生，持卡人都拥有相对独立的资金债权，尽管银行安全保障义务形式上的保障对象是个人账户，最终指向的依然是银行自身的资产。

　　在庭审中辩称“先刑后民，案件应当中止审理”的银行，无疑认为账户资金的所有者是持卡人；判决银行免责的法官，在潜意识里认定持卡人才是账户资金所有人，因此对于犯罪分子造成的损失，除非持卡人能够证明银行存在过错，应由其自行承担；判决银行按比例担责的法官，尽管认定银行怠于履行安全保障义务，仍然未能界定持卡人“不规范操作行为”的性质，将银行义务与持卡人义务置于同一层面考察；判决银行全责的法官，虽然裁判结果对持卡人有利，仍未针对卡内存款的性质作出明确说明，释理并不充分。

　　（三）信息非对称下参与主体的沟通成本畸高

　　在克隆银行卡案件的审理中，至少存在三个层面的信息不对称：银行与储户之间、银行与法院之间、储户与法院之间，彼此之间信息完全获取的难度都很大。法官甄别银行或储户传递的信息，是一个回溯认知的过程，案发当时法官并不在场，案发之后在高技术含量的犯罪面前，银行或储户是否尽到合理注意的细节，法庭得不到必要的信息支持。该类案件尚未建立强制性的信息交换机制，拥有信息的当事人可能既没有途径也没有意愿披露信息，即使予以披露，其传递的口头、文本或视频形式信息的真伪，也难以核实，甄别成本过高。即便由法院主导调查取证，囿于技术、成本与精力的约束，亦难以推动信息使用的边际成本达到边际收益。

　　三、解读与界定：储蓄合同纠纷中银储双方义务与“优势风险承担人”

　　合同法归责体系原则上以严格责任为主，在特殊情况下才是过错责任，【8】储蓄合同纠纷似乎也应当如此。但在克隆银行卡案件的审理中，法官习惯于运用“是否具有过错”来判断一方当事人是否谨慎，对各方权利义务尤其是关键义务的考量不足。下文通过风险分配的视角，针对双方的关键义务进行探析，并求解风险与损失承担的有效路径。

　　（一）基于风险分配视角的银行义务解读

　　以银行卡盗刷事件为契机考察银行负有的义务，首先进入视野的为附随义务。附随义务的内容一般坚持合同约定与法律规定优先、以诚信原则为基准，通过检索合同与法条、参阅先例、斟酌法理、揣摩交易习惯等途径确定，法官具有较大的裁量空间。银行在储蓄合同中的附随义务，主要是维护存款安全与谨慎保护储户利益，其与合同层面“安全保障义务”的范围基本重合。

　　1.引申“保密义务”至“安全保障义务”

　　银行对其经营管理的场所负有安全保障义务。广义的安全保障义务可分为两类，一是防止特定相对人受义务人侵害的合同法上的安全保障义务，另一是防止不特定人受第三人侵害的侵权法上的安全保障义务。后一类义务广为所知，前一类义务与《商业银行法》第二十九条的规定形成呼应，银行在办理个人储蓄存款业务时,应当为存款人保密，不仅不得泄露持卡人的个人信息，也应出于保护目的履行一系列作为义务，为营业场所与延伸设备（ATM机、POS机等）提供安全可靠的环境。《商业银行法》第二十九条可以视作储蓄合同中安全保障义务的渊源，并可进一步解释为储蓄合同中关于风险分配的默示条款。

　　2.关于安全保障义务的衡量

　　倘若银行仅以“严格遵守相关监管部门的规定”、“不存在任何违约或违法行为”作抗辩的，即使能够提供关于交易系统的合格评测报告，也不足以认定其已妥善履行义务。我们没有理由作出行业正常水准即是最佳安全水准的假设，并且法律也严正地拒绝将服从习惯作为抗辩。这正是《消费者权益保护法》、《产品质量法》、《环境保护法》等法律从未将“符合行业标准”作为免责事由的原因。

　　理想而言，银行的安全保障义务包括对可能出现的不安全因素作出警示、对潜在的危险投入防范，当不安全因素导致持卡人损失时，积极进行救助以避免损失的扩大。实践中，银行违反安全保障义务的，以适用过错推定原则为宜，既避免了严格责任的苛刻，也便于为持卡人提供充足的保护——当银行卡被他人轻易地伪造、交易系统未能识别伪卡时，推定银行存在过错，著名的汉德公式在此可作参照适用。

　　3.伪卡识别不能的风险负担

　　目前的银行卡业务仍普遍使用磁条卡，交易系统通过验证磁条信息与银行保存的信息是否一致来识别用户。即使克隆卡具备与真卡完全相同的账号密码，决定支付行为是否有效的关键仍在于判断，银行对卡片应当承担何种程度的审查义务。是形式审查即可，抑或必须进行实质审查？笔者以为，确保交易系统能够识别卡片进而辨识取款人的身份，保障储户存款的安全是银行的基本义务；如果对伪卡未能识别、导致向错误的主体为支付行为的，说明其提供的基础设施存在重大缺陷，并因该种缺陷置持卡人账户于不合理的危险，因此构成违约而须承担违约责任。将伪卡识别失败的风险分配给银行，也符合普通社会公众的心理预期。

　　（二）基于风险分配视角的持卡人义务解读

　　《电子银行业务管理办法》规定“客户有意泄漏交易密码，或未尽到安全防范与保密义务的，金融机构可以免于承担相应责任”。持卡人应当在卡片保管、自助设备操作等方面谨慎小心，避免给不法分子以可乘之机，此为妥善保管义务。“保管义务”作为存款安全的另一个阀门，被银行与绝大多数法院赋予极其重要的意义。但笔者在此不讨论其重要性，主要从密码泄露风险的配置是否衡平的角度进行探析。

　　1.密码交易规则内蕴的不公平性

　　“如果要对民法作一言以蔽之的说明，必须用得着‘公平’二字”。银行卡章程存在不少减免银行自身责任、加重持卡人责任的条款，如明确规定：凡使用密码进行的交易均视为持卡人本人所为，并由持卡人承担交易后果。银行卡时代的储蓄合同，对权利人进行身份识别的基本途径即为密码，但密码交易规则无论对提供服务方还是接受服务方,均存在较大的风险，在国内银行业尚未针对传输链路设计专门的防范设施、信息传输客观上存在安全隐患的背景下，所谓“只有持卡人自身才掌控密码”的假定是难以成立的。事实上，并非所有的密码交易都是持卡人本人或其授权的人所为的，密码泄露不排除犯罪分子利用系统漏洞窃取的可能。

　　2．对持卡人“过错推定”不利于风险的最优配置

　　从笔者选取的案例来看，判决银行按比例承担责任或是不承担责任的案件，无一不针对密码泄露事实直接推定持卡人存在过错，基本的思路为：涉案存款被盗取时输入了正确的密码→原告不能证明银行对于密码的泄露存在过错→原告对于密码泄露导致的损失应当担责。

　　理性决策者仅在约束其未来行动的预期收益大于预期成本时，才会采取措施以约束未来的行动，以全国为范围，密码相同的持卡人不在少数，若仅据他人获知密码之事实直接推定“保管不善”、在法无明文的情形下对弱势方持卡人适用“过错推定”，有失妥当。银行卡交易不会留下使用人的身份痕迹，无法通过身份证或笔迹鉴定等途径来证明使用者与持卡人是否同一，即使调取到监控录像，仍然证明不了取款者是否获得持卡人本人的授权。交易信息究竟是如何泄露的，极易陷入真伪不明的状态，这从数份判决书的表述可以看出。针对密码容易被盗的风险，银行本来可以通过提高密码管理的复杂性来防范，但许多先进的技术（如指纹、瞳孔识别）未能在银行卡业务中广泛推行，这与持卡人承担严格责任、银行仅承担过错责任而激励不足相关。

　　（三）基于风险分配视角的“优势风险承担人”与损失分担

　　在犯罪手段日益智能化的今天，判断合同当事人中的“优势风险承担人”，要从信息获取的便捷程度与风险分散的可能性方面进行检查，哪一方利用“大数法则”处理风险的可能性更大，哪一方能以更少的费用来避免风险发生。近年来，国内各大银行盲目比拼规模，造成银行卡业务“重数量、轻质量、轻管理”的状况，对风险管理的重视普遍不足。平心而论，相较于持卡人，银行处于防范伪卡交易更有利的位置，可以通过调整成本收费机制，或购买保险、建立风险基金等途径有效地分散损失，并且这种安排更具规模效应。假设银行业历年来较为稳定的盗刷发案率为P，M为平均盗刷规模，则银行可以预估被盗刷金额Ex=P*M，以此为基础策划相应的风险分散安排。

　　从收益与风险相匹配的角度考察，银行作为银行卡业务中主要的受益方，理应负担必要的成本，完成商户的终端改造、消除银行卡的内在缺陷，从源头控制风险。反之，如果要求持卡人承担主要的防范义务，即便事故发生的概率对单个人而言是极小的，利用ATM机取款的个人也不得不精神高度紧张、穷尽一切可能的防范措施。为了小概率事故而付出高额的成本，只会导致整体社会效率的降低，对此，美国库特教授与鲁宾教授提出的“非授权交易”的损失分担原则颇具借鉴意义：“损失应由最容易达到风险中性的主体来承担”、“风险应该配备给能以最少成本减少风险的主体”、“在损失发生后确定责任时应当规则明确，尽量减少确定责任的成本”，并且“应当在‘非授权交易’中采用持卡人有限责任的损失分担机制”。我国亦有必要考虑持卡人的有限理性与信息不足等特性，明确持卡人的“有限责任”，以实现更有效率的指引。

　　四、矫正：克隆银行卡案件相对公平的风险分配与责任承担

　　现代社会中每一个个体都可能成为银行卡犯罪的受害人，合理分配盗刷犯罪的风险，于每一个社会成员都将是福利的增进。结合国内外保护金融消费者的实践，秉承优先保障持卡人资金安全的理念，笔者建议克隆银行卡案件的处理可以参考如下进路：

　　（一）趋势：降低金融消费者的风险负担

　　在过去相当长的时间里，国内的银行都是国有企业，银行利益就是国家利益、银行损失即为国有资产的损失，立法者在制定法律时主要考虑如何维护银行业的利益，判决银行免责的法官，也明显基于优先保护银行利益的思路。近年来，金融界、法学界关于“金融消费者保护”的讨论蔚然成风，央行、银监会也基于官方层面的重视成立了金融消费者保护局。储蓄合同中的持卡人接受银行提供的金融服务，同样是消费者，理应享有安全保障与知情权等基本权利。

　　央行发布的《2013年支付体系运行总体情况》的统计数据显示，银行卡在我国的渗透率达到了47.45％。不过在银行卡大量拥有的背景下，真正将其用于消费支付的并不多，对此，国人更习惯使用现金固然是解释之一，但也从一个侧面反映出银行卡的安全系数尚未达到使民众放心的程度。笔者以为，当下已经到了重构银储关系的时刻，优先考虑保障消费者的存款安全以保护其生存利益，无疑更为人性化，也能够促使国内银行与国外银行的优质服务充分地竞争。

　　（二）借鉴：防范伪卡欺诈风险的机制构建

　　国外在防范银行卡欺诈方面主要是通过规制“非授权交易”而实现的。美国《电子资金转移法》将“非授权交易”定义为“一个未经实际授权的持卡人以外的人，在持卡人账户实施电子化资金转移，而持卡人在本次资金转移中未获得利益”。在资金流动电子化的现代社会，无纸化、无形化的数据传输使得未经授权发出的支付命令也具有经过授权的外观，银行难以判断。但只要“非授权交易”不构成表见代理，发卡行对资金的损失就应当承担违约责任。美国《诚信贷款法》规定持卡人对未经授权的消费最多承担50美元的责任，《电子资金转移法》规定ATM 卡 (后扩展为所有的借记卡) 持卡人的责任上限。英国《消费信用法》规定，如果信用卡未经同意被他人使用的，持卡人最多承担50英镑的损失；如果持卡人在信用卡遗失或被盗之后及时报告发卡银行的,持卡人不用承担任何损失。笔者以为，我国有必要借鉴“他山之石”构建伪卡欺诈的损失分担机制，但基于当下诚信缺失的社会现实，持卡人的责任限额不宜设计得过低，并应当区分其过错程度适用不同的档次。

　　（三）公平分配风险：未来如何处理克隆银行卡案件

　　1.立法与监管层面的建议。鉴于契约法具有预防机会主义、在遗漏填补与特定解释的基础上置入有效率的条款、将风险分配给合适的人、降低解决争端成本等功用，立法层面既有必要将具有极强民生意义的储蓄合同纳入“有名合同”，细化双方的风险负担规则，方便法官审案参照，也有必要将“防盗”规定为银行的法定义务，并由最高法院通过司法解释厘定案件审理的主要争点，界定双方的举证责任。通过相对固定地分配履约风险与举证风险，树立有效的信赖，降低监督的成本。此外，笔者建议银监会发挥行业主管部门的监管职能，订立银行卡章程的示范文本，要求银行发布的格式合同对持卡人权益的保障标准不得低于示范文本。

　　2.司法层面的建议。法院在判断储蓄合同纠纷中双方的权利义务时，有必要运用效率准则。从对损失的原因力来分析，在卡被复制与密码泄露之间，一般而言前者对于损失的原因力更大，2012年广东高院曾在专题座谈之后颁发《纪要》指出：“设密码的银行卡被伪造后交易的，银行未识别伪卡，一般应当对卡内资金损失承担不少于50%的责任。持卡人对银行卡被伪造存在过错的，可以减轻或免除发卡行的民事责任。”笔者认为：第一，如果能够认定银行卡是伪造卡的，初步确定由银行承担责任，银行有证据证明持卡人存在重大过失的，则适用“与有过失”规则（重大过失宜作严格解释，典型的如恶意串通行为、将密码告知陌生人的行为）。第二，如果犯罪分子利用伪卡进行消费，但持卡人在发现异常后未及时申请挂失造成损失扩大的，应当就扩大的损失承担一定比例的责任。

在分配举证风险时，鉴于银行卡交易存在两个不可或缺的要素，即真实的卡与密码，举证也主要围绕两个要素进行。

　　（1）关于银行卡。根据生活经验，可以认为存在伪卡的情形有：监控录像所记录的用以取款的银行卡的颜色、图案与真实的银行卡不一致；同一张卡在较短时间内在相隔较远的两地进行连续操作；自助银行门禁被安装了盗码器，或自动柜员机被安装了摄像头、假键盘。此时银行卡信息和密码的泄露具有高度的盖然性，可以合理推断伪造银行卡的事实存在。

　　（2）关于密码。笔者认为“没有证据证明账户信息和密码是如何泄露的，持卡人就应承担举证不能后果”的观点值得商榷，宜由银行证明因持卡人的不当操作导致信息的泄露，提供持卡人用卡过程存在不规范操作的证据。既然“先刑后民”的规则不予适用已基本取得共识，民事责任的处理也不应当依赖于公安机关查清盗刷事实，至少在现阶段有加重银行举证责任的必要，惟此才能反向激励银行提高注意义务，从根本上防范案件的发生。

【打印】【关闭】