4 网络盗刷案件中,持卡人未尽合理注意义务应承担部分资金损失
——李某诉招商银行股份有限公司、招商银行股份有限公司北京朝外大街支行借记卡案
【案件基本信息】
1.裁判书字号
北京市朝阳区人民法院朝民(商)初字第55939号民事判决书
2.案由:借记卡纠纷
3.当事人
原告:李某
被告:招商银行股份有限公司(以下简称招行)、招商银行股份有限公司北京朝外大街支行(以下简称朝外大街支行)
【基本案情】
李某向朝外大街支行申请开立借记卡一张,并申请开通了该卡的网上个人银行(大众版)/手机银行服务。网上个人银行(大众版)/手机银行签约服务条款载明:客户申请开通后凭账号、密码、手机号码和手机短信动态验证码进行转账汇款交易时,客户对交易指令及由此产生的结果承担一切经济和法律上的责任。
2015年7月25日,李某收到95555发送的短信一条,内容为“您的银行卡积分已满可兑换1288元现金礼包,请及时登录wap.cmbcix.cc进行兑换,逾期积分清零。\〖招商银行\〗”。李某点击了短信上显示的链接网址,在弹出的网站上输入了银行卡卡号等相关信息,并点击获取验证码。李某点击三次,均未收到验证码,遂拨打招行客服电话询问,招行客服回复称银行目前没有这个积分兑换活动。李某称招行客服未作钱款存在风险的提示,李某本人在通话后亦未对账户实施防范措施。
2015年7月25日15:34:18至2015年7月26日11:19:05,李某的招行储蓄卡发生21笔支出,总计支出金额为121091元。其间,招行系统向李某预留手机号发送短信17条,内容为支付验证码和账户资金交易情况。上述短信中,没有对冒充招行客服电话发送虚假信息予以风险提示的短信内容。李某称可能因为被伪基站干扰,当天未收到银行发送的上述短信。
2015年7月26日晚上,李某给朋友转账时发现被盗刷,进行口头挂失并到附近的东湖派出所报案。当晚23:24:26,李某按照警方要求将被盗刷银行卡在ATM机上进行存取操作,以证明持有银行卡。公安机关于次日出具受案回执。招行将通过“银联无卡自助消费CUNP”方式转出的11笔共计4992元追回并返还给李某,剩余盗刷款项朝外大街支行表示需要通过公安机关追回。
庭审中,招行称本案中的盗刷卡是因为李某点击了伪基站发送的钓鱼网站,该网站(wap.cmbcix.cc)不是招行官方网站域名,李某在钓鱼网站上输入了自己的上述信息后,由犯罪嫌疑人拦截了银行发送的验证码后在网络平台上进行转账。
【案件焦点】
1.李某是否必须等待公安机关侦破案件后向犯罪人求偿;2.涉案交易是否为李某授权交易;3.朝外大街支行、招行是否需承担违约赔偿责任。
【法院裁判要旨】
北京市朝阳区人民法院经审理认为:本案非授权交易的行为人涉嫌犯罪,而犯罪嫌疑人并非本案诉讼的参与人,犯罪事实与本案事实并非同一事实和同一法律关系;李某基于借记卡合同关系主张招行、朝外大街支行赔偿损失,可根据民事诉讼的证明责任分配和证明标准完成事实的认定,无须以刑事案件的处理结果为依据。故李某无须等待公安机关侦破案件后再向犯罪人求偿。
本案是犯罪分子利用技术手段,假冒招行短信,骗得李某的银行卡号、密码等信息,并窃取了银行系统发送的手机验证码。按照一般民事案件的高度可能性的证明标准,可以认定涉案交易并非李某的授权交易。招行、朝外大街支行主张签约服务条款约定凡凭密码进行的交易均视为李某本人交易,该条款属于格式免责条款,加重了李某的责任、排除了李某主要权利,招行、朝外大街支行不能以该条款之约定主张免责。
银行保障持卡人资金安全的义务涵盖有形场所的物理安全控制,运营设施、业务处理系统和相关数据存储的安全性,网络通信系统的安全性。银行应当在办理网上支付业务中尽到审慎审核义务,对风险的存在以及防范尽到告知义务;发现钓鱼网站应当及时告知持卡人,并及时采取合理措施防范风险。现无证据证明,朝外大街支行就钓鱼网站相关风险向李某进行了提醒告知或者积极采取防范措施,故本案中朝外大街支行未尽到安全保障义务,应当对李某的损失承担赔偿责任。
李某作为持卡人在保管银行卡信息及审查交易页面真实方面未尽到足够的注意义务。李某点开的钓鱼网站与招行官方网站域名存在显著差异,其未经辨别即行点开。即使在发觉异常、得知没有积分兑换活动后仍未采取积极防范措施保护资金安全,导致损失进一步扩大。李某作为完全行为能力人,对自己的借记卡卡号、密码等信息未尽到合理的保管义务,应在其违约范围内承担部分责任。
综上,依照《中华人民共和国商业银行法》第六条,《中华人民共和国合同法》第八条、第四十条、第六十条、第一百二十条、第一百二十一条,《中华人民共和国民事诉讼法》第六十四条第一款之规定,判决如下:
一、被告招行、朝外大街支行于本判决生效之日起十日内赔偿原告李某损失58049.5元;
二、驳回原告李某的其他诉讼请求。
【法官后语】
随着电子支付的普及,网络盗刷的责任分担成为审判工作中的重点和难点。银行不能借助实体介质判断交易的真伪,但把交易验证码泄露的风险全部分配给储户,加重了储户的责任,应为无效条款。但在犯罪手段高超的现代社会,如果把损失风险都分配给银行,而不考虑不特定个人对自己的资金、信息安全进行主动保护的必要性,则持卡人没有了主动保护权利的积极性,对银行显失公平。法院判决具有社会示范效果,引导持卡人作为金融消费者对自己的信息安全尽到谨慎注意义务,也是裁判文书应追求的示范效果之一。
因此,本案的审判思路如下:在持卡人完成初步举证责任证明交易为非本人授权交易后,首先审查银行是否尽到足够的安全保障与风险提示义务,如果义务履行有瑕疵,银行应当承担相应责任;其次审查持卡人是否尽到合理注意义务及损失减损义务,如果持卡人未尽到此等义务,则持卡人也应承担相应责任。
第一,银行是否尽到安全保障义务和风险提示义务。安全保障义务的重点在于提供安全的交易环境,这个环境不局限于物理营业场所的安全,还包括网络信息传递途径的安全。银行的客服电话是提供服务的重要途径和载体,银行应当采取积极有效的安全措施避免客服电话被犯罪分子冒用。本案中,银行没有提供安全的网络通信系统,应对损失的发生承担部分责任。对于风险提示义务,银行采用官方客服电话号码联系持卡人、通知交易验证码等相关信息,应明知持卡人会基于对官方客服电话的信赖为一定行为;例如,在电话挂失的时候,银行客服会要求持卡人提供个人信息。因此,银行至少应该做到三点:一是对电子支付模式较传统支付模式而言可能产生的风险进行着重提示;二是在钓鱼网站频现的背景下,主动以短信形式告知持卡人相关风险;三是在持卡人产生初步怀疑并电话询问的时候,银行应提醒持卡人及时采取挂失银行卡、冻结账户等防范措施。本案中银行风险提示义务履行不完全,应当对持卡人的损失承担相应赔偿责任。
第二,审查持卡人是否尽到合理注意义务和损失减损义务。关于合理注意义务,李某应谨慎保管个人身份信息、账户密码、交易验证码,并且注意交易环境的安全性。在钓鱼网站域名与招商银行域名明显不同的情况下,持卡人由于疏忽大意未加注意,仍在不安全的网站随意输入个人信息,应当认为是没有尽到合理注意义务,应对盗刷产生的损失承担部分责任。关于损失减损,《中华人民共和国合同法》规定:当事人一方违约后,对方应当采取适当措施防止损失的扩大。在招行已告知银行目前没有积分兑换活动的前提下,李某仍未对账户采取防护措施(如及时挂失银行卡或冻结账户),从而导致盗刷金额的增加,故应对损失的扩大承担责任。
综上,双方各自违反了部分义务,法院酌定双方各自对损失承担50%的责任。此类案件中,法院应对持卡人和银行的义务分别进行审查,对持卡人和银行的行为分别进行规制,从而达致公平原则和社会示范效果的统一。
编写人:北京市朝阳区人民法院 刘奇琦 陈曦