- 中国法院2018年度案例:金融纠纷
- 国家法官学院案例开发研究中心
- 3231字
- 2020-08-26 12:16:10
5.手机银行短信验证码转账中盗刷行为的责任承担
——李某诉招商银行股份有限公司北京首体支行借记卡案
【案件基本信息】
1.裁判书字号
北京市第一中级人民法院(2016)京01民终字第3072号民事判决书
2.案由:借记卡纠纷
3.当事人
原告(上诉人):李某
被告(被上诉人):招商银行股份有限公司北京首体支行
【基本案情】
2004年3月25日,李某在首体支行开立了卡号为4100621055060×××的银行卡,类型为借记卡,凭密码交易。2015年6月15日23时42分,李某收到招商银行客服号码95555发送的10条手机短信息,内容为转账验证码。23时44分,李某拨打客服电话,客服告知李某目前账户正常,但鉴于账户余额较多,建议李某进行密码修改或者将资金转到其他卡中。李某实际未按建议操作。23时57分39秒,李某的银行卡发生了一笔49500元的交易。次日凌晨0时0分5秒、0时2分20秒、0时3分36秒、0时4分46秒,李某的银行卡发生了四笔5万元的交易。上述五笔交易的交易对手均为章某丹,交易方式为手机银行短信验证码转账。2015年6月16日,李某的信用卡诈骗案被麦子店派出所受理。诉讼中,首体支行称如果使用手机银行对外进行转账,需要卡号、查询密码、交易密码、短信验证码输入一致。短信验证码发送时有相应的风险提示。李某对此表示认可。
【案件焦点】
银行对手机银行短信验证码转账中的盗刷是否应承担责任。
【法院裁判要旨】
北京市海淀区人民法院经审理认为:李某与首体支行之间构成储蓄存款合同关系,该合同关系反映了双方真实意思表示,应确认有效。争议五笔交易的类型为手机银行对外转账,不同于“伪卡”交易,不涉及借助固定机具以及实体的银行卡完成交易。依据李某所述,争议银行卡的手机银行以及短信验证码对外转账功能系其本人开通,争议银行卡的交易密码、查询密码系其本人设定。招商银行手机银行对外转账,需要银行卡卡号、查询密码、交易密码、短信验证码,上述信息正确即可完成转账。争议交易发生时,李某收到了相关短信验证码,依据现有证据无法确认首体支行存在泄露该银行卡卡号、密码和短信验证码的行为。在李某与招商银行客服人员通话过程中,李某未采取口头挂失的措施,在客服人员建议下,也未修改交易密码。综上,依据现有证据无法确认首体支行对于争议交易的发生存在过错。李某没有采取相应措施以有效地降低或阻止争议交易的发生,据此,李某要求赔偿存款损失、利息损失的诉讼请求,缺乏依据,该院对此不予支持。
北京市海淀区人民法院依据《中华人民共和国合同法》第八条,《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第九十条之规定,作出如下判决:
驳回李某的全部诉讼请求。
李某不服提起上诉。北京市第一中级人民法院经审理认为:本案的争议焦点为,银行对手机银行短信验证码转账中的盗刷是否应承担责任。首先,关于本案的争议交易能否认定为盗刷的问题。手机银行短信验证码转账不同于伪卡交易,手机银行系可移动的手机所装载的软件,可实现多部手机、多地点、多人次交易操作。现李某没有其他确实证据指向争议交易系犯罪分子盗刷,公安机关亦未就本案争议交易系犯罪行为作出最终认定,故根据现有证据,无法认定本案争议交易为盗刷交易。其次,如果本案争议交易为盗刷,银行是否应一概承担责任的问题。在伪卡交易中,银行ATM机或刷卡POS机未能辨别非真实的银行卡,此时银行的过错是肯定的。而本案中,手机银行短信验证码转账,银行接收的并无实体物件,仅有卡号、查询密码、交易密码、短信验证码等电子信息,在电子信息均核实无误的情况下,银行接受并完成该笔交易,电子信息的非实体性质决定了银行无法判断上述信息的实质真实性,此时,即使存在盗刷行为,亦无法认定银行的违约责任。最后,关于本案中,李某指出的首体支行存在的违约行为的问题。第一,李某认为首体支行未在第一笔争议交易发生后短信通知李某,扩大了李某的损失。但李某未能举证证明其在争议交易发生时已经开通了涉案借记卡的余额变动短信通知业务,故无法认定首体支行此处存在过错。第二,李某认为招商银行强制将李某的每日转账上限从5万元调整到20万元,扩大了李某的损失。招商银行将手机银行转账上限调整为20万元是对业务的整体性调整,李某可自行调低转账上限,故不存在银行强制将李某转账上限限定为20万元的事实,且银行对手机银行转账上限的调整与李某的损失亦不存在直接关联性。第三,李某主张争议交易使用的手机银行版本及IP地址均与其常用的不一致,法院认为,手机银行作为一款软件,本就可以多部手机,多地点登录,李某并未与银行约定其手机银行登录必须固定版本及IP地址,故李某的该项主张,无法认定银行的过错。第四,李某认为招商银行作为专业机构,应当认识到问题的严重性,但客服电话仅对李某进行建议,存在过错。就此法院认为,招商银行客服电话已经告知李某可能存在的风险并提出建议,客服电话不可能强制要求客户进行某项操作,法院对李某的该项主张不予采信。第五,李某主张招商银行手机银行系统存在漏洞,密码仅个人和银行知晓,银行存在泄露嫌疑。法院认为,手机银行系统是否存在漏洞虽是专业性问题,但无法要求银行来证明其系统不存在漏洞这一否定性命题,仍应由李某就其该项主张承担举证责任,因李某未能举证证明,应承担举证不能的法律后果。
北京市第一中级人民法院依据《中华人民共和国民事诉讼法》第一百七十条第一款第(一)项之规定,作出如下判决:
驳回上诉,维持原判。
【法官后语】
本案系银行卡通过手机银行被盗刷后,持卡人要求发卡行承担违约赔偿责任的典型案例。司法实践中应考虑以下两点问题。
一是如何认定手机银行被盗刷的事实。银行承担违约赔偿责任的前提条件是持卡人在并非本人实际操作的情况下丢失了银行卡中的款项,现有大量的银行卡被盗刷案件中,盗刷的情况仅限于实体伪卡进行ATM机或者POS机交易,法院审理中一般通过交易发生地、银行卡持有人所在地及银行卡持有人在争议交易发生后出具银行卡的时间来推定伪卡交易的发生。手机银行交易系通过数据电文传输完成,由于技术性的限制,法院无法单纯从持卡人的主张来判断是否存在盗刷的情况,故应严格要求持卡人对于盗刷事实的举证责任。
二是对于网上银行的盗刷交易,如何认定发卡行存在违约行为。首先,应要求发卡行就其在与持卡人签订开通手机银行、网上银行业务的合同时履行了告知义务和风险提示义务承担举证责任。若发卡行擅自开通相应业务或未尽告知义务,发卡行应就持卡人的损失承担相应比例的赔偿责任。本案中,李某系自愿开通手机银行业务,在争议交易发生前,其本人多次使用过手机银行对外转账,故应当认定李某对手机银行的交易方式和风险是明知的,发卡行对此不存在过错。
其次,法院对银行网上交易系统安全性的举证责任的分配,应当在发卡行和持卡人之间动态掌握。应当由发卡行证明其在争议交易中的验证方式已经达到当前保障网上交易安全的通常标准。需要注意的是,司法审理中,不能机械判断银行的交易系统是否安全,而应根据争议交易同时期的网络安全标准来判断发卡行是否存在违约行为。本案中,银行与李某均认可,李某如需通过手机银行对外转账,需要卡号、查询密码、交易密码、短信验证码均核对无误才能进行,上述四组数据电文均由李某个人保存或设置,四组数据电文的保障方式已经达到了争议交易发生时网上银行交易的通常安全标准,故此时银行举证责任完成。在此基础上,李某如主张银行的网上银行系统存在漏洞,应由李某承担相应的举证责任。
最后,银行网络系统接收数据电文的同时是否有义务核实数据电文的实际发出人为持卡人,是目前技术条件下网上银行盗刷现象发生后发卡行是否应当承担违约责任的关键问题。根据《中华人民共和国电子签名法》第九条规定,在数据电文传输的条件下,发卡行只对数据电文是否与预留数据相符承担验证义务,要求其就数据电文背后的实际发出人进行核实,超出了合同义务的范畴,亦不符合手机银行和网上银行便利交易的设置初衷。本案中,银行批准争议交易符合电子签名法的规定,故本案中一、二审法院均判决驳回了李某的诉讼请求。
编写人:北京市第一中级人民法院 王晴