正常情况下,只有同时具备“正确的卡”和“正确的密码”两把钥匙,才可以进行银行卡的消费和取现活动。密码也称为“私人秘钥”,由本人生成且只有本人知悉,其作用在于辨识文件签署者身份及表示签署者同意电子文件内容并对数据电文进行保密,具有唯一性和私密性的特点。在大部分地区法院审理的伪卡交易民事案件中,“密码泄露”的过错在于发卡行还是持卡人,决定着持卡人是否承担民事责任,或在承担责任前提下的比例多寡。
“密码泄露过错”或称为“持卡人未尽到妥善保管密码的义务”的举证责任分配,各地法院区别较大。一般分为三种类型:第一,适用严格过错责任原则,将举证责任分配给持卡人,如持卡人没有证据证明发卡行有泄露其密码的行为,直接推定持卡人泄露了密码;第二,将举证责任分配给发卡行,如银行无证据证明持卡人对密码泄露存在过失从而导致存款被他人盗取的,推定持卡人尽到了妥善保管密码的义务;第三,在将举证责任分配给发卡行时,在一定情形下推定持卡人未尽妥善保管密码的义务,如银行有证据证明或持卡人自述曾经将密码告知他人、委托他人办理相关业务等导致密码被泄露或加大密码泄露可能性的事实,则认定持卡人有泄露密码的行为。
笔者认为,在目前的科学技术手段下不能够排除不通过交易密码亦能进行伪卡交易的可能性,也不能排除整个交易系统存在密码泄露或者被破译的可能性,更不能够排除犯罪嫌疑人通过技术手段(如在持卡人适度遮挡的情况下犯罪分子仍然可通过测录器、摄像头等设备获悉密码)的可能性,因此将举证责任完全分配给持卡人是不恰当的,银行一方确实有证据证明持卡人在银行卡的保管和密码的保护方面确有过错的情况除外。
五、伪卡交易民事案件的责任认定
上海市浦东新区人民法院(2013)浦民六(商)初字第667号陈莹与兴业银行股份有限公司上海交易所支行储蓄存款合同纠纷案(本案与案例6为同一案,二审阶段关于双方当事人的责任分担未成为争点):
本院认为,首先,银行对储户存款具有安全保障义务。根据《中华人民共和国商业银行法》第六条、第二十九条,商业银行承担对储户存款具有安全保障义务。被告为原告提供借记卡服务,就应当确保该借记卡内的数据信息不被非法窃取并加以使用。并且,被告作为银行借记卡的发卡行及相关技术、设备和操作平台的提供者,在其与储户的合同关系中明显占据优势地位,被告理应承担伪卡的识别义务。犯罪嫌疑人能够利用原告借记卡的伪卡通过银行交易系统进行四笔系争交易,说明原告持有的真正银行卡内数据信息可以被复制并存储到其他的伪卡内,并且伪卡输入密码后还可以进行正常的交易活动,因此被告制发的借记卡以及交易系统存在技术缺陷,被告未能充分尽到对于系争借记卡的交易安全保障义务,违反了前述法律规定,给原告造成了经济损失,因此应当承担赔偿的法律责任。
其次,本案中被告对原告负有全面履行储蓄存款合同的义务。根据储蓄存款合同的性质,被告应对原告储户尽到保障期借记卡内资金安全的合同义务,即被告负有按照原告的指示,将存款按约支付给原告或者原告指定的代理人,并保障原告借记卡内存款安全的义务。原告作为借记卡的储户,在其得知所持银行借记卡于异地发生系争四笔非正常交易后,立即向当地公安机关进行报案。这表明当不法侵害发生后,原告作为储户已尽到了其基本的谨慎注意和及时通知义务,而被告则违反了保障原告借记卡内资金安全的合同义务,故对于原告借记卡内产生的54万元损失,被告应承担违约赔偿责任。
再次,从本案原、被告双方当事人损失的利益衡量来比较分析,……其一,在损失分配方面,……如果由被告发卡行先行承担损失,其既具有更强的经济、技术、法律能力进而向有关责任方追偿,也可以通过增加服务成本等形式,在大量的银行持卡人和特约商户之间进行分散,使每位持卡人承担的数额非常微小,从而减除了单个持卡人可能存在的损失风险。……其二,在损失处理能力方面,被告发卡行……更容易获得产生类似本案伪卡交易损失的成本、频率和原因等详细交易信息,因此被告发卡行明显具有更强的经济能力,可以更有效地控制损失。……其三,在损失预防方面,被告发卡行更可以通过采取各种交易技术升级创新措施,来极大地降低损失带来的经济负担。因此综上,从利益衡量角度来看,对于本案因伪卡盗刷产生的损失风险,先由被告承担能更好地真正保护原告作为金融消费者的合法权益,同时也有利于促进整个银行卡业务的良性健康发展。
江伟仪诉中国建设银行股份有限公司广州花都支行借记卡纠纷案(一审:广州市花都区人民法院(2013)穗花法民二初字第890号,二审:广东省广州市中级人民法院(2013)穗中法金民终字第1389号):
一审法院认为,在储蓄合同关系下,被告作为专业的金融机构,负有保障原告账户内资金安全的重要义务,其涵盖了对交易机具、交易场所的安全管理,以及对包括银行卡在内的各项软硬件设施及时更新升级,以最大限度防范银行卡使用过程中的安全漏洞。本案中,被告的代理行不能准确识别伪造的银行卡,直接导致原告的账户资金被盗用。显然被告未能尽到上述安全保障义务,是造成原告损失的主要原因,故被告应对原告的资金损失承担主要责任。交易密码由储户自行设定,只有在操作密码与设定密码一致时,才能交易成功,是密码交易制度的基本准则,亦是众所周知的事实,原告作为涉案银行卡的密码持有人,该密码是由原告设定的,除其本人知道之外,任何人包括被告在内均无法查询得知。现双方均未能提供充分的证据证明对方在密码使用及密码泄露中存在过错,应当自行承担密码泄露的风险和损失。根据《中华人民共和国合同法》第一百二十条:“当事人双方都违反合同的,应当各自承担相应的责任”的规定,综合考量银行和储户对合同义务的违反程度,根据合同的约定和法律的规定来确定原、被告的实体责任,本院酌定被告负70%的责任,原告负30%的责任。
二审法院认为,基于诚实信用原则和我国《合同法》第一百二十条“当事人双方都违反合同的,应当各自承担相应的责任”的规定,原审法院判令由建行花都支行承担江伟仪涉案损失的70%,合法、适当,依法应予维持。
关于伪卡交易民事案件中各方实体责任认定,各地法院在法律适用问题上差别非常明显,同案不同判的情形屡见不鲜。以上两案同样是人卡未分离,第三人用伪卡在异地刷卡消费或取现,均未有证据证明持卡人对密码未尽保管义务,上海地区法院依照《合同法》第五条、第六十条、《商业银行法》第六条、第二十九条判决发卡行一方对资金损失承担全部赔偿责任,广州地区法院则依照《合同法》有关规定判令发卡行承担70%的责任,持卡人承担30%的责任。
实际上,从广州地区法院的判决表述可以看出,其认定持卡人承担30%的责任的前提是将密码泄露过错的举证责任完全分配给了持卡人。根据上文提到的广东市高级人民法院伪卡交易案件会议纪要的内容,对于借记卡被伪造后进行交易的案件,首先将伪卡交易银行责任确定为不少于50%,持卡人对银行卡被伪造存在过错的可以减轻或免除发卡行或收单行的民事责任;持卡人用卡不规范导致密码泄露的,在50%的范围内承担责任。发卡行或收单行对密码泄露存在过错的,可减轻或免除持卡人用卡不规范而应承担的责任。上海地区法院上述判决在适用《合同法》(安全保障作为合同附随义务)、《商业银行法》(安全保障作为法定义务)基础上,进一步将发卡行和持卡人分别放在经营者与金融消费者的位置上,创造性的提出了从保护金融消费者权益的角度判定双方责任分配的主张,很有新意,该案也入选了上海市高级人民法院2014年发布的2013年度上海法院金融商事审判十大案例。