喜报！上海长宁法院一案例入选最高人民法院指导性案例

喜 报

由上海市长宁区人民法院商事审判庭（互联网案件审判庭）一审审理、上海市第一中级人民法院二审维持原判的“徐某诉某银行股份有限公司某支行银行卡纠纷案”入选最高人民法院第30批指导性案例（第169号）。

该案例对于人民法院认定网络盗刷后风险及责任分担具有指导意义，对于规范刷卡行的行为、保障银行卡交易安全，维护持卡人合法权益具有积极作用。

邓鑫

一审主审法官

上海市长宁区人民法院商事审判庭（互联网案件审判庭）综合审判团队负责人，一级法官，上海法院审判业务骨干。承办的案件先后获评中国互联网司法十大典型案例、全国法院系统优秀案例分析优秀奖、上海法院“四个一百”精品案例，承担的课题荣获上海市民主法治建设课题二等奖。

为了正确理解和准确参照适用该指导性案例

近日，最高人民法院案例指导办公室

在《人民司法》刊发了

对该案例的理解与参照

就该指导性案例的

裁判要点、参照适用等有关情况

予以解释、论证和说明

现予以转发，供参考

一

本案例的相关情况

（一）案件基本情况

徐某系某银行股份有限公司某支行（以下简称某支行）储户，持有该行借记卡一张。

2016年3月2日

徐某上述借记卡发生三笔转账，金额分别为50000元、50000元及46200元，共计146200元。转入户名均为石某，转入行为他行。

2016年5月30日

徐某父亲至S市公安局某分局经侦支队报警并取得《受案回执》。当日，该分局经侦支队向徐某发送《立案告知书》，告知信用卡诈骗案决定立案。

2016年6月

F省某市公安局出具《呈请案件侦查终结报告书》，载明：……2016年3月2日，此次作案由谢某1负责转账取款，上家负责提供信息、补卡，此次谢某1盗刷了周某、徐某、汪某等人银行卡内存款共计400700元…… 。

2016年6月22日

F省某市检察院向徐某发送《被害人诉讼权利义务告知书》，载明：犯罪嫌疑人谢某1、谢某2等3人盗窃案一案，已由公安局移送审查起诉……。

徐某向法院起诉请求某支行赔偿银行卡盗刷损失及利息。

（二）裁判结果

一审法院认为

申请办理借记卡，发卡行与持卡人形成储蓄存款合同法律关系，该合同关系合法有效，应当受到法律的保护。根据在案证据，发生不法侵害的原因是犯罪嫌疑人盗刷所致，而非持卡人未尽基本的注意义务。作为借记卡的发卡行及相关技术、操作平台的提供者，在其与储户的关系中明显占据优势地位，其应承担伪卡的识别义务。发卡行在没有证据证明持卡人存在违约或违法犯罪情形的前提下，理应先行向储户承担因银行安全系统漏洞及技术风险所形成的储户资金损失。因此，一审法院判决某支行给付原告存款损失。

二审法院亦认为

在储蓄存款合同关系中，商业银行对存款人具有保障账户资金安全的法定义务。商业银行作为发卡行及相关技术、设备和操作平台的提供者，应当对交易机具、交易场所加强安全管理，对各项软硬件设施及时更新升级，以最大限度地防范资金交易安全漏洞。根据本案现有证据无法查明案外人如何获得交易密码等账户信息，上诉人某支行亦未提供相应的证据证明账户信息泄露系因被上诉人徐某没有妥善保管使用银行卡所导致，上诉人仅以持卡人身份识别信息和交易验证信息相符为由主张不承担赔偿的，人民法院不予支持。

（三）推荐理由

近些年随着电子银行的迅速发展，因网络盗刷引发的银行卡纠纷也持续增多。本案根据持卡人提供的刑事侦查程序查明的事实，可以认定网络盗刷的事实。

在存在网络盗刷的场合，能否以身份识别信息和交易验证信息相符认定相关交易为持卡人本人交易？

在持卡人基于与发卡行成立合同法律关系而提起的违约之诉中，发卡行能否以无证据证明自身存在过错要求免除违约责任？

能否仅以交易密码验证通过认定持卡人存在银行卡保管方面的过错？

这些都是涉网络盗刷的银行卡纠纷中法院在认定持卡人与发卡行之间的责任时经常面临的争议，也是理论界和实务界高度关注的问题。审判实践中存在争议，裁判规则也不统一。在如本案查明存在网络盗刷，但并无证据证明银行信息验证、持卡人信息保管存在过错的情况下，有的判决由发卡行承担全部责任，有的判决由发卡行、持卡人分担损失，甚至有个别法院判决发卡行不承担责任。“类案不同判”不仅严重损害司法公信力，也难以发挥司法的规范、指引作用。该案的裁判对以合同为请求权基础的网络盗刷类案件持卡人与发卡行的责任认定，具有较强的参考价值。

二

裁判要点的理解与说明

该指导性案例的裁判要点确认：

持卡人提供证据证明他人盗用持卡人名义进行网络交易，请求发卡行承担被盗刷账户资金减少的损失赔偿责任，发卡行未提供证据证明持卡人违反信息妥善保管义务，仅以持卡人身份识别信息和交易验证信息相符为由主张不承担赔偿责任的，人民法院不予支持。

现围绕与该裁判要点相关的问题解释和说明如下：

在借记卡合同法律关系中，当持卡人将货币存入银行时，即与银行所有的其他资金发生混同，持卡人不再对其享有所有权，而是获得依合同约定请求银行支付本息的债权。虽然本案中持卡人的诉请表述为“赔偿损失”,但实为确认其与发卡行行之间就被盗刷金额的债权债务关系仍然存在，要求发卡行承担继续履行的违约责任。

争议焦点在于：

持卡人与发卡行之间

因网络盗刷发生纠纷的责任认定

（一）网银交易中持卡人本人交易与盗刷事实的认定

无论持卡人持实体卡至柜台、自动终端取款或至商户消费，还是开通网络银行后通过电子指令要求转账、支付等，在法律性质上均为要求银行履行相应的给付之债。银行通过工作人员、机器设备或电子交易系统向持卡人交付相应金额款项，或者执行持卡人转账、支付指令的行为，则系向作为债权人的持卡人履行债务而使相应债权消灭。债务人必须向正确的债权人履行债务，否则不发生清偿的效果。对合同是否正确履行发生争议的，由负有履行义务的当事人承担举证责任。因此，在银行卡合同的履行中，发卡行应采取措施识别银行卡的使用人是否为持卡人本人或经授权的人；在诉讼中，发卡行还应对系争交易是向持卡人本人或其授权的人履行承担举证责任。

网上银行业务不同于物理卡交易，不需要使用银行卡物理介质，银行无法凭借真实有效的银行卡来验证持卡人身份，而是通过卡号、登录及交易密码、动态验证码等持卡人网络交易身份识别信息和交易验证信息的一致性来核实持卡人身份。因此，银行提供的证据证明上述信息验证通过的，通常即认定构成具有受领权的权利外观、银行的给付属于适当履行。本案根据查明的事实，涉案银行卡的网上交易须输入正确的用户名、银行卡号、取款密码以及手机动态验证码，方能完成网银转账交易。某支行亦是以相关信息验证通过为由，主张其在债务履行过程中并不存在违约。然上述网银交易中债务履行适当性的认定，在性质上属于事实推定。即以相关身份识别信息和交易验证信息的私密性为前提，推定系争交易由持卡人或其授权所为。如果持卡人提供证据证明相关交易系他人使用通过盗窃所得的持卡人网络交易认证信息所为，该交易显然并非持卡人本人意思，即可推翻上述事实推定。本案中，根据徐某提供的询问笔录，涉案资金损失系因案外人谢某非法获取被上诉人的身份信息、手机号码、取款密码等银行卡信息后，通过补办手机SIM卡截获上诉人发送的动态验证码，进而完成转账所致。徐某提供的证据已经足以推翻网银交易中的上述事实推定，本案可以认定存在网络盗刷的事实。

（二）网络盗刷交易不应认定为持卡人本人或其授权交易

网络盗刷行为，实质系他人冒用持卡人名义向银行主张债权。关于网络盗刷的责任认定，首先需要解决的是银行卡被网上盗刷，能否认定相关交易为持卡人本人行为。持卡人与银行签订的合同中通常也约定，所有认证信息验证通过的交易，交易后果由持卡人承担。该规则是否公平合理？这涉及冒名行为能否类推适用表见代理，或者对债权准占有人清偿规则问题。就此，理论界和实务中一直存在分歧。

有观点认为，代理为民法上的一种特殊制度，只能在代理人表明代理人身份时才能适用，不应随意扩大解释或类推适用。

另有观点认为，可类推适用无权代理制度，但在被冒名者拒绝追认的情况下行为效果通常不能归属于被冒名者。

还有观点认为，第三人冒名交易行为可类推适用表见代理制度。

也有学者认为，冒用人的身份为债权准占有人，善意清偿者对债权准占有人的给付发生清偿的效力。

实践中，有的判决即认为，银行在收到网上支付指令核验输入相关信息正确后，完全有理由相信该笔交易系持卡人本人的合法交易，故银行的付款行为构成表见代理，无需就盗刷款项承担责任。

对于包括网络盗刷在内的冒名行为，我国现行法律并无明文规定。诚如最高院在相关判决中所言，代理制度下对相对人而言明知存在代理人与被代理人两个主体、行为主体与责任主体不一致，而冒名行为对相对人而言只有一个主体、其主观意识是认为行为人与责任主体是一致的，两者存在明显区别。当然，衡量当事人间的利益状态，冒名行为并非无类推适用代理制度、对债权准占有人清偿规则的空间。而且，在盗刷情形下，由于相关信息验证通过使银行有理由相信为持卡人本人操作，这和表见代理中无权代理人具有代理权外观使得相对人认为其具有代理权、债权准占有人具有债权人的外观征象使得债务人认为其为债权人相似。

然而，即便类推适用代理制度、对债权准占有人清偿规则，尽管就被代理人、真实债权人的可归责性应否作为认定表见代理、对债权准占有人有效清偿的构成要件一直存在分歧，但持无需该要件者也并不否认该考量因素存在的正当性，只是适用过失相抵原则予以平衡。因为表见代理、对债权准占有人有效清偿实际是以牺牲被代理人、真实债权人的利益而成全相对人的信赖利益，如果在被代理人、真实债权人对形成权利外观没有任何过错，尤其是即便履行注意义务也无能力阻止该外观形成的情形下承担责任，有违公平原则，也会导致利益的失衡。《中华人民共和国民法典》第三百一十二条、第三百一十九条关于遗失物、漂流物等不适用善意取得制度的规定，正体现了法律在对动态的信赖利益与静态的所有权保护之间的利益平衡。最高人民法院司法解释的相关规定也体现了这一精神。

网络盗刷应否适用表见代理制度、对债权准占有人有效清偿规则，认定为持卡人本人交易，实质关涉银行卡盗刷的风险及责任分配问题。

因此，应考量谁更有能力控制风险的发生和提升、谁更有能力转嫁风险、谁由此风险而获益等。

银行卡是由银行设计、发行的一种服务于大众的交易结算方式和金融产品。网银交易模式不同，交易流程及所需交易要素也不相同。但银行作为专业金融机构，对其所提供的供客户选择的任何一种网上交易模式，均具有保障账户资金安全的义务。对此，《中华人民共和国商业银行法》《电子银行业务管理办法》等均有规定。持卡人之所以选择将案涉款项存入银行，也正是基于对其作为商业银行的信任。为此，作为发卡行及相关技术、设备和操作平台的提供者，应当对各项软硬件设施加强安全管理、及时更新升级，以最大限度地防范交易安全漏洞。尤其是随着电子银行业务的发展，银行作为电子交易系统的开发、设计、维护者，也是从电子交易的风险中获得经济利益的一方，且相较于持卡人而言,更有能力采取措施防范和分散风险。因此，从利益衡量和风险防范的角度，将盗刷的风险及责任分配给银行也更为合理。

综上，从理论以及利益衡量和风险防范角度考量，在网络盗刷的场合不应认定身份识别信息和交易验证信息相符的交易为持卡人本人或其授权交易。

（三）网络盗刷违约责任的认定应采用无过错归责原则

银行卡网络盗刷纠纷往往涉及多方主体，本案就包括发卡行、持卡人、诈骗方、电信运营商等。有些案件还涉及第三方交易平台、特约商户、收单行等。每一个主体均与案涉交易的发生存在一定的关联甚至因果关系，各个主体之间的法律关系也错综复杂。因网络盗刷发生纠纷时，发卡行经常会以盗刷并非自身原因所导致进行抗辩。本案中某支行即提出，自身在信息验证等方面并不存在过错，徐某账户被盗刷是由于犯罪行为所致，手机运营商在涉案事件中亦存在过错，不应由其承担民事责任。

银行卡纠纷既包括合同纠纷，也包括侵权纠纷。本案徐某起诉时选择的请求权基础为合同法律关系。《中华人民共和国合同法》第一百零七条规定，“当事人一方不履行合同义务或履行合同义务不符合约定的，应当承当承担继续履行、采取补救措施或者赔偿损失等违约责任”。第一百二十一条规定，“当事人一方因第三人的原因造成违约的，应当向对方承担违约责任。”可见，我国法律违约责任的认定采无过错归责原则，同时坚持合同的相对性。根据无过错责任原则，在违约责任的一般构成中不考虑过错，不因违约方的无过错而免除违约方的违约责任，这有利于减轻非违约方举证负担，保护非违约方利益，增强当事人的守约意识。基于合同的相对性，在债务人因第三人的原因造成违约时，仍应当先向债权人承担违约责任，债务人与第三人之间的纠纷，可以另行依照法律规定或者按照约定处理，这有助于保护债权人的合理期待，进而保障交易的安全。因此，在网络盗刷的情形下，持卡人以合同纠纷要求发卡行承担责任的，虽然发卡行在信息验证方面不存在过错，案涉资金损失是由合同以外的第三人造成的，与持卡人存在合同关系的发卡行，对借记卡的持卡人仍应当先行承担本息的支付责任。本案中，某支行关于信息验证方面自身不存在过错，以及手机运营商存在过错应免除其违约责任的抗辩，法院均未予采纳。至于某支行对徐某承担违约责任后向手机运营商、犯罪嫌疑人的追偿，也并非本案审理范围。

（四）不能仅以信息验证通过认定持卡人未尽妥善保管义务具有过错

涉网络盗刷的银行卡合同纠纷中，以下两种情形下持卡人自身亦应当承担相应的责任：

一是持卡人未尽到妥善保管银行卡卡号、密码等银行卡信息的义务具有过错；

二是持卡人未及时采取挂失等措施防止损失扩大，就扩大的损失应自行承担责任。

实践中，在没有直接证据证明持卡人存在过错的情况下，发卡行经常会以个人信息及密码等由客户设置、修改并保管为由，主张推定密码等被案外人使用系持卡人保管疏忽所致。还有银行在银行卡章程等中规定持卡人不能将银行业务密码与其他用途密码设置为相同，诉讼中以持卡人在其他网站使用了与案涉银行卡相同的密码主张持卡人存在过错。本案中，某支行即以取款密码由徐某自行设置为由主张徐某自身存在泄露信息的过错。

关于持卡人是否尽到妥善保管义务的认定，应当从持卡人是否依照相关法律、行政法规、行政规章等的规定和通常做法，妥善保管银行卡卡片、卡免信息、密码等身份识别信息和交易验证信息，以具有安全性的方式使用银行卡等方面进行综合考量。发卡行以信息验证通过为由进行的上述抗辩，是以密码等信息的私密性，即银行账户信息只有持卡人知晓为前提进行的推定。然而，网银交易系统的安全性不高、银行对网银交易环境的管理不善等均有可能导致银行卡信息泄露。在上述事实推定的前提不成立的情况下，发卡行的该等主张显然也是不能成立的。至于银行卡章程中关于各类密码设置应不同的内容，按照社会的一般认知，也应仅属提醒性质，而非使持卡人负有此项义务，否则对持卡人未免过于严苛。因此，本案在某支行就徐某违反信息保管义务未提供其他证据证明的情况下，对其仅以信息验证通过为由要求持卡人自身承担相应责任的主张，法院未予支持。

（案例编写人：二审承办法官 崔婕）

原标题：《喜报！上海长宁法院一案例入选最高人民法院指导性案例》

阅读原文