裁判要旨

  银行客户与银行之间存在合法有效的储蓄存款合同关系，开户银行负有保证银行账户（银行卡）内存款安全的义务。金融机构在提供电子银行服务时，因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的，金融机构应当承担相应赔偿责任。

  案情

  原告段某某在被告中国工商银行固始支行处办理了借记卡一张，卡号为6222081718000178xxxx。截至2015年7月9日，原告卡上尚有存款47937.85元。从2015年7月17日至2015年7月19日，案涉借记卡发生15笔交易，通过中间业务后台方式、POS交易、网上银行方式将原告卡上存款转走共计26454元。2015年7月27日，原告持卡到被告处办理业务时，发现存款被盗取，并就上述交易以案涉银行卡被盗刷为由向固始县公安局刑警队报案，2015年8月24日，固始县公安局作出（2015）3802号立案决定书，到庭审时止，案件尚未侦破。2016年2月2日，被告通过第三方支付平台追回了5000元。现原、被告双方对于被盗刷的现金赔付协商未果，原告遂诉讼。

  审判

  一审法院生效裁判认为：当事人对自己提出的主张，应提供证据予以证明。被告辩称原告的存款是第三方支付平台转走的，没有通过被告处银行网点转账，从而该责任应由原告自行承担。由于上述事实仅是开户银行工商银行固始支行的推测，且未提供证据证明，本院不予采信。根据《电子银行业务管理办法》（以下简称《办法》）第四十条的规定；“金融机构应采取适当的措施和采用适当的技术，识别与验证使用电子银行服务客户的真实、有效身份，并应依照与客户签订的有关协议对客户作业权限、资金转移或交易限额等实施有效管理。”及该《办法》第八十九条的规定：“金融机构在提供电子银行服务时，因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的，金融机构应当承担相应责任。”在本案中，段某某与开户银行中国工商银行股份有限公司固始支行之间存在合法有效的储蓄存款合同关系，开户银行负有保证段某某银行账户（银行卡）内存款安全的义务，段某某在开户银行违约时依法具有起诉要求赔偿的权利。由于开户银行作为收单银行其服务识别系统无法识别通过段某某银行卡账户非法刷卡消费支出的伪造卡，造成段某某银行卡账户内存款损失，其民事责任应由开户银行承担，故本院认为开户银行履约存在过错，应当向原告作出赔偿。被告应赔偿原告存款21454元，并从2015年7月17日起按照本金21454元支付中国人民银行公布的同期活期存款计息。依照《合同法》第四十四条、第六十条第一款、第一百零七条、第一百一十三条、《电子银行业务管理办法》第四十条、第八十九条的规定，判决被告中国工商银行股份有限公司固始支行应于本判决生效之日起十日内赔偿原告段某某存款本金21454元，并从2015年7月17日起按照本金21454元以中国人民银行公布的同期活期存款利率计息至实际还款日为止。一审判决后，被告中国工商银行股份有限公司固始支行不服提起上诉，二审信阳中院经过审理认为，一审法院判决认定事实清楚，适用法律正确，应予维持，遂作出：驳回上诉，维持原判。

  评析

  银行客户自然人与银行之间存在合法有效的储蓄存款合同关系，开户银行负有保证银行客户银行账户（银行卡）内存款安全的义务。金融机构应采取适当的措施和采用适当的技术，识别与验证使用电子银行服务客户的真实、有效身份，并应依照与客户签订的有关协议，对客户作业权限、资金转移或交易限额等实施有效管理，否则应该承担法律责任。本案主要涉及银行承担法律责任的依据，银行在储户存、取款交易中的过错的认定，双方的举证责任分配等法律问题。

  一、银行责任承担的法律依据

  随着现代电子金融交易技术的发展，银行卡业务也在由传统的存取，衍生到线上、线下等多个层面的领域，在储户使用银行卡时，可能通过该银行卡与其他平台的绑定，方便消费和支付。然而，随着银行卡被大范围的使用，关于银行卡的法律纠纷也在日益增多。根据银行卡是否具备透支功能，银行卡分为信用卡（又称贷记卡）和借记卡两种。具备透支功能的是信用卡，不具备透支功能而只能用于储蓄和转账的是借记卡。在本案中，仅是具备储蓄功能的借记卡。一般来讲，银行卡被盗刷后，持卡人及时报警，犯罪分子被及时抓获并追回赃款，这当然是最好的。但是很多情况下，是犯罪分子不能及时归案，即使归案钱款早已被挥霍致无法追回。此时，持卡人想到向银行追偿，那么银行在银行卡被盗刷后，应承担什么责任？在确定责任前，应明确一下法律关系。储户与银行的关系，双方是储蓄合同关系。因为储蓄合同关系在合同上没有明确的规定，所以在《合同法》分则或其他法律没有明文规定的合同，适用《合同法》总则的规定，并可以参照《合同法》分则或其他法律最新类似的规定。按照《合同法》总则第六十条规定，当事人应当遵循诚实信用原则，根据合同的性质、目的和交易习惯履行通知、协助、保密义务。其中包括银行对储户信息安全保障义务，即银行首先要对所发的银行卡本身的安全性予以保障，防止储户信息、密码等信息数据被轻易盗用，其次银行应保证其服务场所、系统设备安全适用。在没有合同约定或法律规定的免责事由出现的情况下，银行就应该对未履行上述义务时，承担责任。

  二、银行在储户存、取款交易中有无过错的认定

  银行有无过错要看其是否履行了上述《合同法》规定的相应义务。即为客户提供一个安全的交易环境，包括银行网络系统的安全保障、ATM机及银行交易场所的安全维护、对持卡人的身份信息识别。长期以来，我们对银行网络有着过高的信任，认为他们是绝对安全的，事实上从大量银行卡犯罪案件中，我们看到，即使持卡人在卡未离身的情况下，也可能发现银行卡被盗刷。有专家指出，银行通信专网主要由两种方式组成，一种是租用国家数字数据王的线路构成，另一种是通过光纤系统接入国家公用数字网。无论哪种方式组成的专网，都没有信息传输的安全保障，在专网的任何节点上都可能发生信息被截获。此外，数字的加密并非无懈可击，密码的相互破译和被破译都绝非个案，银行通信专网上的信息在传输过程中完全有可能被窃取，窃取后的信号有可能被破译，因而客户存款被盗取或被转走就不再是什么“稀奇”的事了。由此可见，银行网络并非万能。一旦发生银行卡盗刷案件，银行习惯性认为自己的网络绝对没有问题，而把原因归咎于储户的疏忽大意、不小心、错误点击非法链接等。银行的这种“绝对安全”思维，致他们对出现银行卡盗刷的事情采取回避或不予理睬的态度，法院在判例中也倾向于将银行在储户取款审核上是否有过错作为其是否担责的依据。而且，银行作为银行卡的制作方，掌握其制作技术和加密保护技术，具备识别其真伪的技术能力与硬件设施，所以银行方应对银行卡的真伪承担实质上的审查义务，而非简单的具备银行卡功能的账号和密码的卡片就是银行卡。如果银行连他们自己发行的物品都不能有效识别，不管在法律上还是情理上都让人难以理解。对此而产生的赔偿，应当承担赔偿责任。

  三、双方的举证责任分配

  《最高人民法院关于民事诉讼证据若干规定》第七条：在法律没有规定，依本规定及其他司法解释无法确定举证责任承担时，人民法院可以根据公平原则和诚实信用原则，综合当事人举证能力等因素确定举证责任的承担。在银行卡案件中，适用的是“谁主张谁举证”。从专业角度出发，银行作为专业的金融机构和发卡人，无论财力、人力亦或信息资源的占有，均处于绝对优势，并且银行的交易系统带有很强的专业性和技术性，在举证责任的分配上应强于储户。所以作为被告的银行需要证明储户银行卡被盗刷是因为原告未能妥善保管其银行卡或错误操作卡号密码和身份信息，而信息泄露致卡被盗刷的情况（这里的情形很多，比如，储户轻信他人陈述、不当提供短信验证码、轻易点击一些钓鱼网站或木马病毒的链接、不及时更换软件系统和防毒软件等）。而作为储户的原告的证明标准则弱于银行，他只需证明自己与银行之间存在有效的储蓄合同关系（拥有被告所发的银行卡），且储户持有的银行卡向银行提取钱款遭到拒绝（原因是储户持有他的身份证、银行所发的银行卡、打印交易清单证明账户资金被盗取的事实等）。这种做法一方面会让银行、持卡人之间对证据的分配与其地位相适应，另一方面更能促进银行提高安全技术手段、加强注意义务，从源头上去防止此类案件的发生。

  最后，持卡人应注意对其账户和个人信息的保护，避免因泄露信息而导致损失。果发生银行卡被盗刷的情况，第一时间向银行挂失，向公安机关报案，采取积极有效的措施避免损失的扩大。而银行则需要加强对用户身份的审查，对于存疑的身份信息，采取辅助性的调查措施，改进银行及其与其他交易平台的运用，尽量避免多渠道操作时出现漏洞致钱款被盗刷的情况。本案中固始县法院作出上诉判决是正确的。

作者：固始县人民法院 裴国刚 吴未未