案情简介
2016年1月6日,在贵州六盘水市张某拿着工资卡去取钱,却发现存款几乎全部“蒸发”,半个月前,卡里还有4万多元。张某后来发现,他的工资卡莫名地与多个第三方支付平台签约快捷支付业务,并发生多笔支取操作。5天内,4万余元存款经百度钱包、苏宁易付宝、美团网等多个第三方支付平台被转走。发现工资卡里的钱消失后,张某立即到六盘水市公安局钟山分局报案。该局受理后,将此案定性为信用卡诈骗案,至今尚未侦破。期间,向银行索赔未果后,张某以银行存在安全漏洞及技术风险为由,将涉事A银行投诉至六盘水市钟山法院。
处理过程
张某称,在案发期间他的手机短信功能全部瘫痪,只有2G通话功能可用。他当时发现手机不能收发短信,还特意去营业厅问过,对方检查后说手机没问题,可能是信号原因。案发后,张某打印了电话短信详单,发现他的手机在短信功能故障期间,曾向某150开头的陌生号码发送了232条短信。张某认为,该案中,银行存在违反资金安全保障义务的重大过错。接到法院通知后,A银行六盘水分行提供了9份内部短信管理系统截图,证明张某被转走款项是通过第三方平台进行消费支出,而不是当事人所说的非法转走,银行已经及时以短信的形式告知持卡人消费情况。
张某认为,银行作为金融机构,负有保证储户信息不被窃取、复制的义务,对于安全漏洞及技术风险,金融机构也理应担责,请求法院判令银行返还存款本金及利息4万余元。而银行方辩称,自己不存在任何安全漏洞及技术风险,是持卡人个人原因导致银行卡信息泄露。
判决书显示,法院经审理认定,本案所有款项均是通过第三方快捷支付服务网上支付,其特点是支取人仅需银行卡号、身份证号、姓名、预留手机号及动态短信验证码,无需银行卡密码即可开通快捷支付,进行交易。而快捷支付的开通,需要银行向持卡人预留的手机号码发送动态验证码,客户的消费情况也需银行通过短信通知。至于原告手机在案发期间受到不法信息干扰,无法接收短信的情况也并非是银行的过错。因原告的银行卡信息、手机及其手机号码均由其本人掌握保管,而此案所涉刑事案件尚未侦破,原告缺乏证据证明银行的交易系统存在安全隐患导致其个人信息泄漏。这种情况下,不排除原告自己在使用网上交易时有泄露银行卡及个人信息、手机丢失或曾暂时脱离本人控制的高度可能。故银行不应承担责任。法院于2016年5月23日作出判决,驳回张某诉讼请求。
法律分析
目前,银行卡盗刷类民事案件的举证责任仍缺乏统一的法律法规及司法解释,但是根据《最高人民法院关于民事诉讼证据的若干规定》第7条规定,“在法律没有具体规定,依本规定及其他司法解释无法确定举证责任承担时,人民法院可以根据公平原则和诚实信用原则,综合当事人举证能力等因素确定举证责任的承担。”
1.《中国银监会 中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》(银监发〔2014〕10号)(以下简称《通知》)第一条规定,“商业银行应按照有关法律法规要求,做好客户信息安全与保密工作。商业银行与第三方支付机构合作开展各项业务,对涉及到的客户金融信息管理,应严格遵循有关法律法规和监管制度的规定,严格遵照客户意愿和指令进行支付,不得违法违规泄露”。在本案中,张某缺乏证据证明银行的交易系统存在安全隐患,从而无法确认其个人信息泄漏的责任在银行方面。《最高人民法院关于民事诉讼证据的若干规定》第二条规定“当事人对自己提出的诉讼请求所依据的事实或者反驳对方诉讼请求所依据的事实有责任提供证据加以证明。没有证据或者证据不足以证明当事人的事实主张的,由负有举证责任的当事人承担不利后果。”本案中,张某认为,银行作为金融机构,负有保证储户信息不被窃取、复制的义务,对于安全漏洞及技术风险,金融机构理应担责。但张某并未就这一主张提出相关的证据加以证明,故应承担败诉的不利后果。
2.根据《通知》第三条规定“客户银行账户与第三方支付机构首次建立业务关联时,应经双重认证,即客户在通过第三方支付机构认证同时,还需通过商业银行的客户身份鉴别。账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份,明确双方权利与义务”,及第八条规定“对预留手机号码且设定短信通知的客户,商业银行应在客户进行支付时对第三方支付机构提供的手机号码和银行预留的手机号码进行一致性检验,通过后方可进行支付。如果银行已按照前述要求在业务关联时进行了相关信息验证,确保客户身份真实可靠,在交易时可以无需再次验证”。在本案中,快捷支付的开通,需要银行向持卡人预留的手机号码发送动态验证码,客户的消费情况也需银行通过短信通知。故法院认定张某与第三方支付平台以及银行签订快捷支付合同,其本身不涉及银行卡这一交易介质。犯罪分子虽通过掌握张某个人信息,拦截银行给其发送的交易验证码来完成交易。但在此时,银行已经按照相关规定要求和快捷支付相关的权利义务条款,以发送验证码的形式履行了客户身份的验证义务,在这种情况下,银行不必承担责任。
案例启示
近些年来,银行卡被盗刷的案件频发,在法律对此没有具体规定的情况下,各地法院的判决也各不相同,有的判发卡行承担全责,有的判第三方支付平台承担全责,有的判两者按比例承担责任,还有的判持卡人承担一定的责任。本案中,张某因未能证明其个人信息泄漏的责任在银行方面,从而承担了全部责任,承受了资金损失。
1.银行卡快捷支付功能是把双刃剑,在方便持卡人支付的同时,给犯罪分子留下了可乘之机。快捷支付的唯一保护方式就是短信,不需要储户的密码,所以对银行的安全保障系统要求更高,因银行自己安保不足,导致储户资金被盗的,银行应依法承担责任。第三方支付平台是独立的,有资金划转的功能,银行只是提供一个端口,无法控制交易行为。这种情况下认定银行担责比较困难。短信验证码就是为了确认是本人的手机,目前来讲这种方式还是比较安全的,如果对安全性要求过高可能又会影响第三方支付的快捷性。因此,对网络支付和智能手机不熟悉的中老年人群不建议使用快捷支付等网上支付功能。
2。一旦发现自己的智能手机信号中断,特别是不能正常接收短信的情况,很可能是犯罪分子屏蔽了手机信号并进行犯罪活动,建议通过固定电话等其他方式了解本人银行卡资金变化情况,一旦发现可疑变化,应立即请求冻结本人银行卡账户,防止出现被盗刷的情况。
3.监管机构应有所作为,据了解,由央行牵头策划成立一个线上支付统一清算平台,也就是业内俗称的“网联”,将在年底建成。设计这个平台,就是为了改变现有第三方网络支付服务直连银行网络带来的各种问题。网联的建设,意味着目前大量第三方支付机构直连银行的模式将被取代,第三方支付将由两层架构变成三层架构,而网联将承担第三方支付机构的集中清算职能。对于我们普通用户来说,网联可以使第三方支付的安全性更有保障,因第三方快捷支付而造成盗刷的风险会随之降低。
4.《非银行支付机构网络支付业务管理办法》已于2016年7月1日正式实施。快捷支付是支付机构和银行通过协议与客户约定,由支付机构代其向银行发送支付指令,直接扣划客户绑定的银行账户资金的支付方式。《办法》明确,银行是客户资金安全的管理责任主体,在后续交易时无论是由银行进行交易验证还是支付机构代为进行交易验证,银行承担快捷支付资金损失的先行赔付责任。
5.金融机构要加强风险防范意识和内控管理制度,保障储户信息安全,提高技术水平,增加多重安全验证平台,增强系统安全性,强化资金异常交易监测,及时控制可疑交易风险,有效堵塞因信息泄露引发的安全漏洞,保证其服务场所、系统设备安全适用,防止储户信息、密码等信息数据被轻易盗用。金融机构要加强对持卡人的安全用卡教育,及时发布风险提示,使持卡人养成良好的用卡习惯,增强持卡人的安全防范意识。
