(一)首部
1.判决书字号
一审判决书:北京市朝阳区人民法院(2012)朝民初字第17703号判决书。
二审判决书:北京市第二中级人民法院(2013)二中民终字第05613号判决书。
3.诉讼双方
上诉人(原审原告)邓某,男,1960年2月29日出生,汉族,北京索福达商贸有限公司总经理,住北京市朝阳区。
委托代理人阚文颖,北京市华伦律师事务所律师。
上诉人(原审被告)交通银行股份有限公司北京大望路支行,营业场所北京市朝阳区西大望路3号蓝堡北区写字楼101、102、103号。
负责人李某1,总经理。
委托代理人马立文,北京市共和律师事务所律师。
委托代理人延丽,北京市共和律师事务所律师。
5.审判机关和审判组织
一审法院:北京市朝阳区人民法院。
合议庭组成人员:审判长:王玲,代理审判员:李伊雯、王凛。
二审法院:北京市第二中级人民法院。
合议庭组成人员:审判长:申小琦;审判员:钟仁辉;代理审判员王国才。
6.审结时间:
一审审结时间:2012年12月19日。
二审审结时间:2013年12月19日。
(二)一审情况
1.一审诉辩主张
邓某在一审中起诉称:2011年11月7日,诉争借记卡被人异地盗刷两笔,合计30.45万元。2011年11月8日,邓某发现该卡被异地盗刷后立即通知交行大望路支行,并向北京市公安局朝阳分局报案(以下简称朝阳分局)。2011年11月期间,邓某从未离开北京,诉争借记卡也在邓某处保管,后经朝阳分局的侦查显示2011年11月7日,系一位中年男性使用诉争借记卡的外观不相同的伪卡刷卡付款购买多部IPHONE手机。刷卡底单签名为杨某某。因此,诉争借记卡被盗刷与邓某无关。交行大望路支行有义务保障邓某的资金安全,因交行大望路支行的代理银行消费终端机无法识别真伪卡,造成邓某的账户资金被盗刷,交行大望路支行的银行卡系统存在漏洞,应当赔偿邓某30.45万元损失并赔偿上述款项的利息。
交行大望路支行在一审中答辩称:交行大望路支行的交易系统符合国家标准,不存在身份识别机制上的漏洞,对于涉案交易也及时发出短信提醒;因公安机关已经立案侦查,刑事案件未审结之前无法确认交行大望路支行是否存在责任;邓某提交的证据不足以证明涉案的交易系伪卡盗刷,邓某之前的交易存在由他人代为刷卡签名的情况。
3.一审判案理由
交行大望路支行作为金融机构,负有保证邓某账户内存款安全的基本义务。通过公安机关调取的监控录像显示刷卡人的外貌特征与邓某不相符,且使用的银行卡的外观也与邓某的银行卡明显不相符,故可以认定系他人利用非法复制的伪卡在异地进行刷卡消费。交行大望路支行作为专业机构,其向邓某发放的储蓄卡应具有可识别性和唯一性,是持卡人据此向银行及相关终端机刷卡提款消费的唯一凭证。但邓某涉案账户存款被他人持有复制的伪卡在异地刷卡消费的过程中,交行大望路支行未能准确识别伪造银行卡导致邓某涉案账户内的存款被盗取。交行大望路支行在履行双方合同过程未能尽到谨慎审查义务,已构成违约。邓某作为持卡人也应当妥善保管银行卡及其密码,防止因密码泄露造成的经济损失。结合本案具体情况,该院依法酌定交行大望路支行对邓某账户内的被盗刷的存款及利息损失承担一定比例的责任。
4.一审定案结论
依照《中华人民共和国合同法》第一百零七条之规定,判决:一、交行大望路支行于该判决生效后十日内赔偿邓某存款十二万一千八百元及利息(从二○一一年十一月八日起至实际付清之日止,以十二万一千八百元为基数,按照中国人民银行同期存款利率计算);二、驳回邓某的其他诉讼请求。
(三)二审诉辩主张
邓某不服一审法院上述民事判决,其主要的上诉理由是:一、一审认定邓某未妥善保管银行卡及密码,并以此认定交行大望路支行仅承担40%的赔偿责任,无事实依据。一审判决无任何事实表明邓某未妥善保管银行卡及密码。关于2011年5月20日邓某之妻李某2曾在诉争银行卡消费底单上签署"邓某"字样的情况,李某2作为证人已证明当时是邓某本人刷卡并输入密码,且系邓某在场时李某2代为签字。李某2是邓某的妻子,由其代为签字并不属于邓某泄露银行卡及密码给他人的情形。二、一审判决适用法律错误。本案银行卡被第三人利用与诉争银行卡完全不同的伪卡盗刷。邓某银行卡账户的存款损失,完全是由于交行大望路支行作未能向邓某发放具有可识别性和唯一性的银行卡,且在伪卡异地刷卡过程中,交行大望路支行也未能准确识别伪卡的原因所致,故邓某的存款损失及相应利息应由交行大望路支行全额赔偿。另外,交行大望路支行并未举证证明邓某存在不妥善保管诉争银行卡及密码的行为。故邓某不应对账户存款损失承担任何责任。
交行大望路支行亦不服上述民事判决,其主要的上诉理由是:一、一审判决认定事实不清、证据不足。1、本案是否系"伪卡盗刷",不能仅凭一段未经质证的录像认定。邓某举报的刑事案件尚在朝阳分局经侦大队的侦查过程中,邓某诉称的借记卡被"盗刷"细节并不明朗。该借记卡的磁条信息(卡号)和交易密码是如何泄漏的,应当由谁来承担责任,在刑事案件侦破之前,这个问题不能得到有效解决。2、不同案情的"伪卡盗刷"案件,产生不同主体的不同责任。司法实践中,法院判决银行承担赔偿责任的同类案件的共同特点是:刑事案件已审判终结,犯罪嫌疑人供述了"克隆"银行卡及盗取密码的全过程。但涉案借记卡历年的消费记录表明,,邓某经常在广州进货,长期使用涉案借记卡进行交易,其此次诉称的2011年11月7日被"盗刷"的两笔资金,与其此前在广州的交易,未见明显不同。因此,在刑事案件侦查、审判结束之前,本案宜中止审理。3、邓某在本案中的责任。邓某在交行大望路支行短信提示后长达18个小时后方于次日早晨8点报案,至少说明邓某在借记卡使用管理方面存在严重的疏忽大意。此外,邓某提供的公司录像证据和证人证言,均不能有效证明案发当天其本人确在北京。另外,邓某将银行卡和密码交给他人使用的情形存在。这是导致该卡的磁条信息和交易密码外泄的唯一途径,因其没有尽到妥善管理借记卡和密码义务所产生的损失,应由其自行承担。
二、一审判决苛责银行,将造成巨大的负面社会效应。在现有技术条件下,法律、法规或部门规章没有要求银行必须保证发放的银行卡具有不可复制性(即"唯一性"),也无法赋予特约商户使用的POS机具有识别伪卡的能力(即"可识别性")。持有人掌握的交易密码是控制交易的两个必备要素,完成一笔交易必须以账户信息和密码经核验一致为前提。
(四)二审事实和证据
补充查明:二审庭审中,邓某与交行大望路支行对法院再次到朝阳分局经侦大队调取的诉争借记卡刷卡时商户的监控录像情况及刷卡底单,均表示认可其真实性和合法性。另,一审庭审中邓某之妻李某2确认2011年5月20日在刷卡消费底单上签字一节,刷卡及输入密码的行为系由邓某完成。二审经审理查明的其他事实与一审法院查明的事实一致。
上述事实,有邓某提交的诉争借记卡照片、零售客户交易明细清单、北京市公安局接受案件回执单、录像资料、2012年朝民初字第86号案件的笔录,交行大望路支行提交的交通银行交银理财VIP申请表和领用合约,借记卡章程、太平洋个人借记卡综合申请书、账户交易明细、流水查询、消费底单以及本院调查笔录等证据及当事人庭审陈述在案佐证。
(五)二审判案理由
《中华人民共和国商业银行法》第六条规定:"商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。"《中华人民共和国合同法》第六十条第二款规定:"当事人应当遵循诚实信用原则,根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。"本案在邓某与交行大望路支行之间存在真实有效的储蓄存款合同关系的情况下,交行大望路支行应保障储户的存款安全,其中包括对储户信息安全保障义务,即银行首先要对所发的银行卡本身的安全性予以保障,防止储户信息、密码等信息数据被轻易盗用,其次银行应保证其服务场所、系统设备安全适用。
交行大望路支行之所以必须履行上述合同义务,首先是基于合同交易方式电子化的要求,通过银行提供的机器,只要输入了储户的信息和密码,机器就视作储户本人在进行交易,即使该信息和密码是盗取的也无从识别,因此银行对储户资金支付安全的保障义务就应当相应扩张至对储户信息和密码的保障;其次是从收益和风险相一致的要求看,电子化交易下,银行避免了对取款人身份的书面审查,但从经济上获取收益,因此对潜在的风险及危险的发生负有防范和制止义务;再次是银行作为经营者对自己的服务设施、设备的性能和服务场所的安全情况比储户更多的了解,也具有更加强大的力量和更为专业的知识,更能预见可能发生的危险和损害,更有可能采取必要的措施防止危险的发生。
根据本案查明的事实,邓某持有的作为储蓄合同凭证的真借记卡并没有进行交易,而是犯罪嫌疑人利用伪造复制的卡片,在POS机刷卡使用,表明该借记卡不具有唯一的可识别性,从一个侧面证明了银行卡系统存在一定的安全隐患,主要是指银行卡背面的磁条信息容易被复制的安全隐患。故本院认为交行大望路支行在合同履行过程中存在未尽到安全保障的违约行为。
根据我国合同法在违约责任规则原则上采取的严格责任原则,不论违约的当事人主观上有无过错,只要不是依照合同约定或者法律规定可以免责的事由,就必须承担违约责任。现交行大望路支行并没有充分证据证明邓某对其持有的借记卡没有妥善保管或合理使用,因此其主张邓某没有尽到妥善管理借记卡和密码义务所产生的损失应自行承担,缺乏事实和法律依据。
(六)二审定案结论
依照《中华人民共和国民事诉讼法》第一百七十条第一款第(二)项、《中华人民共和国合同法》第六十条第二款、第一百零七条的规定,判决如下:
一、撤销北京市朝阳区人民法院(2012)朝民初字第17703号民事判决;
二、交通银行股份有限公司北京大望路支行于本判决生效后十日内赔偿邓某存款三十万四千五百元及利息(自二○一一年十一月八日起至实际付清之日止,以三十万四千五百元为基数,按照中国人民银行同期存款利率计算)。
(七)解说
从2011年至今北京市第二中级人民法院共审理储蓄存款合同纠纷9件,其中一审1件,二审8件,储户起诉银行案件多集中在储蓄卡上的金额被人转走,借记卡、信用卡被人恶意盗刷等情形。这类纠纷,社会影响大,案件处理不当,不仅损害储户的利益,也会阻碍银行业的健康发展。针对与这类案件,笔者认为应该关注如下问题:
一、储户诉权的选择问题
银行卡被盗刷涉及到两个法律关系。一个是银行与储户之间的储蓄存款合同关系,银行有没有尽到妥善保管资金的义务,是否应当承担违约责任。另一个是盗刷者侵害储户资金的侵权责任问题,也有观点认为金钱转移占有及转移所有,盗刷者侵害的是银行的权益,他与银行间产生侵权责任法律关系。笔者更倾向于盗刷者与储户间成立侵权关系,理由是:盗刷者是利用伪造卡片、盗取密码等手段,取走的是储户账户内的款项。如果把银行卡片和管理系统比作保险柜的话,储户的账户和密码则可以比作是保险柜里的小保险箱,从盗刷者的本意和目标,来看应该是小保险箱里面的现金,直接受害人是储户。因此,认定盗刷者对储户构成侵权更为合适些。
储户账户资金受到盗刷后,其面临的就是诉权的选择问题,笔者认为,其可向银行主张违约责任,也可以向盗刷者主张侵权责任。根据《中华人民共和国民法通则》第一百二十一条的规定:"当事人一方因第三人的原因造成违约的,应当向对方承担违约责任。当事人一方和第三人之间的纠纷,依照法律规定或者按照约定解决。"根据此规定,如果储户向银行主张违约责任的话,一旦银行违约责任成立并进行了相应的赔偿后,银行即获得了对盗刷者进行追偿的权利。这一点上类似于保险合同中的代位追偿权。
二、当事人的过错问题。有的观点认为,对于储户与银行间储蓄合同违约责任的认定,应坚持严格责任标准,只要储户账户内的资金受到了他人的侵害,就应认定银行没有尽到安全保障义务,必须无条件负责赔偿。笔者认为,这种观点过于武断,应为储户账户资金被盗刷,有的纯粹是储户个人的原因,有的时候是银行的原因,甚至也有个别的商户的原因。《中华人民共和国合同法》第一百零七条规定:"保管期间,因保管人保管不善造成保管物毁损、灭失的,保管人应当承担损害赔偿责任,但保管是无偿的,保管人证明自己没有重大过失的,不承担损害赔偿责任。"储蓄存款合同在合同法意义上讲应为无名合同,在合同双方的权利义务上讲,应是一种特殊的保管合同,银行对储户的资金有安全保障义务,保管不善的就应承担相应的责任。《中华人民共和国合同法》第一百二十条:"当事人双方都违反合同的,应当各自承担相应的责任。"法院在案件审理过程中,应该坚持过错原则,详细查明损失造成的原因,是持卡人使用、保管不善造成的,还是由于银行没有尽到安全保障义务造成的,根据双方的过错大小,合理划分双方的责任并根据当事人的过错程度的大小作出相应的判决。
(一)银行过错责任的认定。
保证储户的存款安全是银行的基本义务,为了能够保护储户的自己安全,就需要安全保障方式的有效性。在借记卡消费中,必须要满足两个基本条件,即合法有效的银行卡和正确有效的密码。也就是说银行卡本身的安全性包括不可复制性是确保储户账户资金安全的重要手段之一,相当于前文提到的"大保险柜"。更进一步讲,银行首先保证其提供的银行卡是安全、可靠的,银行卡自身的安全可靠是确保储户资金安全的前提。在技术上能不能确保银行卡的唯一性和可识别性呢,能不能提高银行卡的安全性呢。答案是肯定的,在技术上难度也不大,举例来讲,芯片卡就能防止卡片的信息被复制,具有较高的安全性,当前各银行使用的银行卡是磁条卡,很容易被复制、盗刷。银行不愿意用芯片卡代替磁条卡不是技术上的问题,更多的经济上的考量,芯片卡的成本远远要高于磁条卡。也就说说客观上银行放弃了安全性更高的芯片卡,降低了储户账户资金的安全性。近些年来,银行卡被复制盗刷案件层出不穷,关于磁条卡的安全性问题也被诸多专家学者提起,银行业早就应该有所警醒,并采取相应的措施,但事实上银行依就我行我素,可以说银行对储户账户的安全从技术上是一种放任自流的状态,主观上不能不说是有过错的。
本案中,银行卡使用的是磁条卡,银行在客观上、主观上有一定的过错。法律、法规或部门规章没有要求银行必须保证发放的银行卡具有不可复制性,并不能否定银行就不应该保证发放的银行卡具有不可复制性,法律上的问题不是储户考虑的问题。法律规定具有一定的滞后性,不论法律有无规定,银行均应该顺应潮流,针对卡片已存在的问题,不断从技术上加以改进提高,从而确保储户资金的安全性,怠于改进本身就有过错。
(二)储户的过错认定。储户有无过错主要看安全保密责任是否尽到。有的储户在使用卡片时,不注意保密,密码被他人盗走,有的客户随意将卡片交给他人使用,也无意间泄露了个人信息和密码。还有的储户方便记忆,设置的密码较为简单,比如出生日期、卡片后六位等等,一旦该银行卡的其他身份认证信息被不法分子获得,该卡片密码很容易被破解。甚至有的储户将密码写在银行卡背面,这就造成一旦银行丢失,盗刷者就很容易取走款项。在上述情况下,储户就存在一定的过错。如果储户采取凭签名消费的方式,或者采用数字、字母组合密码和签名的双重保护,或者设定了电子银行最高转账额度,这些情况可以证明储户尽到了一定程度的谨慎义务。
(三)举证责任的分配
1、银行卡被盗刷的举证责任。《最高人民法院关于民事诉讼证据的若干规定》第二条规定:"当事人对自己提出的诉讼请求所依据的事实或者反驳对方诉讼请求所依据的事实有责任提供证据加以证明。没有证据或者证据不足以证明当事人的事实主张的由负有举证责任的当事人承担不利后果。"在处理盗刷案件中,储户应对银行卡被盗刷,给自己造成损失进行举证。根据中国人民银行《银行卡业务管理办法》第三十九条规定,发卡银行依据密码等电子信息为持卡人办理的存取款、转账结算等各类交易所产生的电子信息记录,均为该项交易的有效凭据。发卡行可凭交易明细记录或清单作为记账凭据。储户在收到短信、得知银行卡被盗刷或被转账时,应第一时间收存好证据,证明卡在自己身上并证明自己不在银行卡被盗刷地,没有"作案时间"等。可到就近的营业点查询了卡片的余额并索取凭条等等。
2、银行的举证责任。《最高人民法院关于民事诉讼证据的若干规定》第7条规定:"在法律没有具体规定,依本规定及其他司法解释无法确定举证责任承担时,人民法院可以根据公平原则和诚实信用原则,综合当事人举证能力等因素确定举证责任的承担。"因此,银行应对自身无过错,尽到了保障储户银行卡及密码安全的义务承担举证责任。现实中,银行掌握并控制着储户登记资料、资金存储、数据交换、加密算法、交易设备、交易监控等一切信息及技术。相对于普通储户来讲,银行在储蓄合同及交易过程中都占有积极的和主导的地位,在银行卡或者交易系统安全性方面的举证能力来讲,银行的举证能力较强。就本案来讲,对于盗刷者进行消费是否使用伪卡一事,应由银行举证银行卡不可能被复制并使用。如果银行不能证明银行卡是安全可靠的就应该承担没有尽到安全保障义务的责任。
3、储户的举证责任。对于由谁来举证证明储户的过错问题,在实践中争议很大。如果由储户证明自己无过错,在实践中又会有哪个当事人会主动承认自己有过错。但问题是如果把举证责任分配给储户,储户不能证明自己无过错,又会承担相应的责任,这对确实没有过错的储户来讲确实不公平。笔者认为,这个问题可根据《最高人民法院关于民事诉讼证据的若干规定》第7条的规定来解决,首先要求储户对银行卡进行和密码的保管、银行卡的使用是否尽到了谨慎的注意义务进行解释说明,接着要求银行对储户在银行卡的使用过程中有过错进行举证。正如上文分析的那样,银行的举证能力高于一般储户,因此,在储户尽到合理说明的前提下,由银行对储户有过错承担举证责任。如果有证据证明,第三人利用银行的管理漏洞,采取先进作案手段,窃取储户的个人信息并伪造借记卡等进行骗取钱财本案中,在无法查明密码泄露原因、无法查明储户过错的情况下,应由银行承担责任,不能推定储户就有过错。
4、过错的衡量问题。如果银行对安全保障义务没有充分尽到,储户自身对安全义务也有过错,如何衡量呢!《电子银行业管理办法》第八十九条规定:"因客户有意泄漏交易密码,或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的,金融机构可以根据服务协议的约定免于承担相应责任,但法律法规另有规定的除外。"如果完全是由于储户故意或重大过失造成了银行卡被盗刷,银行可以免责。如果双方都有过失呢,笔者认为,在银行的谨慎审查、安全保障义务与储户谨慎保护密码中,银行的谨慎审查义务是第一位的,储户的谨慎保护密码义务是第二位的。因为当他人使用伪造的借记卡消费时,如果银行系统可以识别出来,就应该拒绝该卡接下来的操作,即使他人获悉了密码也无法消费,银行应承担主要过错责任。通俗来讲,就是如果"保险柜"是安全的,"保险箱"即使有瑕疵也是次要的。
就本案来讲,交行大望路支行在合同履行过程中存在未尽到安全保障的违约行为,也没有充分证据证明邓某对其持有的借记卡没有妥善保管或合理使用,银行应对盗刷损失承担全部责任。总之,法院在处理这类案件时,应根据当事人的过错程度进行相应的判决。对于储户未能尽到对自己的银行密码等重要信息的保密义务,致使他人控制其账户并将其存款转走或者进行信用卡刷卡消费,该损失应该由储户自己承担。对于银行未能尽到充分的注意义务或者管理上存在漏洞,给储户造成不必要损失,按照过错程度承担相应的义务责任。商户存在过错的,也要承担相应的责任。
(王国才、申小琦)
【裁判要旨】银行在合同履行过程中存在未尽到安全保障的违约行为,也没有充分证据证明邓某对其持有的借记卡没有妥善保管或合理使用,银行应对盗刷损失承担全部责任。