【聚焦风控】伪卡盗刷案件的举证责任与实践反思

作者｜韦宜均 况凯 姜川 供职于南昌大学立法研究中心

责任编辑｜杨琪

银行卡作为我国普惠的金融工具，在经济社会发展中发挥了巨大的作用。但与之相关的盗刷纠纷也成为困扰银行、持卡人乃至法院的问题。在银行卡盗刷和网络盗刷事实的认定中，明确各类主体举证及相关责任，对加强银行卡交易安全具有重要意义，最高人民法院在2021年5月发布的《关于审理银行卡民事纠纷案件若干问题的规定》（以下简称《银行卡规定》），为盗刷损失的责任分担规定了一个较为明确的标准，同年11月，最高人民法院发布第169号关于徐欣诉招商银行股份有限公司上海延西支行银行卡纠纷案（以下简称“银行卡纠纷案”），加强厘清了此类案件裁判思路，为解决该类问题给出了具有重要参考价值的“中国方案”。

案情与裁判简介

徐欣是招商银行上海延西支行的储户，并持有该行的借记卡。犯罪分子谢某通过9800元人民币购买设备，非法获取徐欣的身份信息、手机号码、取款密码等账户信息后，通过补办手机SIM卡截获招商银行上海延西支行发送的动态验证码，进而进行转账，导致徐欣涉案账户的资金损失。徐欣在发现银行卡内资金被盗后，于2016年5月30日向上海市公安局青浦分局经侦支队报警，警方介入调查后，查明了犯罪分子的身份和作案手法。2016年4月底，福建警方逮捕了涉嫌盗窃罪的谢某，之后，徐欣向法院提起诉讼，请求招商银行上海延西支行赔偿银行卡盗刷损失及利息（图1）。

图1 案情时间轴

一审法院经审理认为，首先，在存在网络盗刷的情况下，招商银行上海延西支行仅以身份识别信息和交易验证信息通过为由，主张案涉交易是持卡人本人或其授权交易，法院认为该主张不成立。其次，根据本案现有证据，无法查明案外人谢某如何获得交易密码等账户信息，招商银行上海延西支行亦未提供相应的证据证明账户信息泄露系因徐欣没有妥善保管使用银行卡所导致，因此应当由招商银行上海延西支行承担举证不能的法律后果。最后，不法侵害发生的原因并非被上诉人未尽基本的注意义务，而是犯罪嫌疑人谢某1盗刷所致，故本案交易系非被上诉人本人操作的伪卡交易。综上，一审以招商银行上海延西支行在储蓄存款合同履行过程中，对持卡人的账户资金未尽到安全保障义务，又无证据证明徐欣存在违约行为可以减轻责任，因此，法院判决招商银行上海延西支行对徐欣的账户资金损失应当承担全部赔偿责任。招商银行上海延西支行不服一审判决，向二审法院提起上诉，二审法院基于与一审相同理由维持原判。

对于银行卡纠纷案的反思：

现行责任分配机制的现状

一是在责任分配上，发卡行需要证明是否存在伪卡交易。依据《银行卡规定》中第4条第1款规定，“持卡人主张争议交易为伪卡盗刷交易或者网络盗刷交易的，可以提供生效法律文书、银行卡交易时真卡所在地、交易行为地、账户交易明细、交易通知、报警记录、挂失记录等证据材料进行证明。发卡行、非银行支付机构主张争议交易为持卡人本人交易或者其授权交易的，应当承担举证责任。”该条规定的目的在于正确地指引持卡人如何全面地提交证据材料证明自己的主张。在司法实践中，并不要求持卡人必须提交上述的全部证据材料方可证明自己的主张，法院在具体案件中，将根据持卡人的举证能力、案件的具体内容综合判断，达成初步的内心确信。

其次，《银行卡规定》第7条规定：“……前两款情形，持卡人对银行卡、密码、验证码等身份识别信息、交易验证信息未尽妥善保管义务具有过错，发卡行主张持卡人承担相应责任的，人民法院应予支持。持卡人未及时采取挂失等措施防止损失扩大，发卡行主张持卡人自行承担扩大损失责任的，人民法院应予支持。”在银行卡纠纷案中，法院经审理认为，在存在网络盗刷的情况下，招商银行上海延西支行仅以身份识别信息和交易验证信息通过为由，主张案涉交易是持卡人本人或其授权交易，法院认为不能成立，判定招商银行上海延西支行承担举证不能的法律后果。其次，招商银行上海延西支行无证据证明徐欣存在违约行为可以减轻责任，因为不法侵害发生的原因并非被上诉人未尽基本的注意义务，而是犯罪嫌疑人谢某1盗刷所致，最终判决招商银行上海延西支行对徐欣的账户资金损失应当承担全部赔偿责任，由此可知，第7条实为第4条因发卡行举证不能的后果，即在发卡行无法证明持卡人为真卡交易时，其只能通过举证持卡人具有《银行卡规定》第7条规定的两种与有过失情形，主张减轻自身的责任。

二是在归责原则上，以合同关系作为责任承担的基础。在银行卡纠纷案中，司法机关认为在储蓄存款合同关系中，商业银行对于存款人，具有保障账户资金安全的法定义务以及向存款人本人或者其授权的人履行的合同义务，银行卡盗刷在合同履行中属于银行作出的错误给付，在发卡行无过错情况下，应当承担违约责任。与此类似的案件还有2019年上海市金融法院审理的“招商银行股份有限公司上海淮中支行与丁鼎储蓄合同纠纷案”中（以下简称“储蓄合同纠纷案”），原审法院认为银行对丁鼎账户资金未尽到安全保障义务，亦不能证明丁鼎存在的违约行为可以减轻责任，故应承担赔偿丁鼎损失的违约责任。上述两个案例，均依照了合同严格责任的规定进行归责，即当事人一方不履行合同义务或者履行合同义务不符合约定的，应当承担继续履行、采取补救措施或者赔偿损失等违约责任。

三是在损失分担上，原则上以发卡行承担赔偿责任为主。银行卡纠纷案的裁判结果是银行承担全部责任，其裁判理由主要有以下两点：一是在银行卡的储蓄合同关系中，发卡行作为银行卡的开发者与推行者，负有严格的安全保障义务，有义务和能力为持卡人提供更安全稳定的用卡环境。二是依据合同法中违约责任适用严格责任的归责原则，如银行无法举证证明持卡人存在未尽到妥善保管个人信息的情形，则银行要承担举证不能的后果，即判决银行承担全部责任。

该类损失分配方式的法理在于，一方面，银行对持卡人存款承担法定的安全保障义务；根据《中华人民共和国商业银行法》第6条规定：“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯”。换言之，即使是由于第三人原因导致银行卡盗刷事实的出现，也属于发卡行作为安全保障义务的提供者未尽到该义务的情形。另一方面，对于发卡行而言，作为银行卡的提供者和服务的推行者，同时又是专业的金融机构，其在金融市场上无疑是占有绝对的优势地位。从衡量双方利益的角度出发，商业银行作为交易系统的开发者与设计者，属于交易中获得更多经济利益的一方，并且其相较于持卡人而言，具有更强的经济能力和技术优势，更有能力采取严格的技术保障措施，以增强防范银行卡盗刷的能力。因此，在银行卡盗刷纠纷中，银行需要承担更多的证明责任和赔偿责任。

现行责任分配机制的不足

发卡行需要承担的举证责任过重。在盗刷卡案中，发卡行减轻或者免除自身赔偿责任的方式为证明持卡人对于伪卡盗刷事实发生存在过错，即证明持卡人对银行卡信息泄露或对银行卡保管不善有故意或过失的情形。首先，按照生活常理，持卡人可能会将自己的密码告知家人或者与自己联系密切的亲友，密码的私密性和不为外人所知性大大降低。其次，一般银行卡的密码是六位数的随机组合，理论上虽然存在着非常多种组合，但持卡人为了方便记忆，通常会将密码设置为自己熟知的数字组合，例如自己与家人的生日、重大事件的纪念日、身份证号码中的某几位等易被知晓的数字，第三人可能通过某些易知的持卡人信息就猜测出银行卡密码。同时，持卡人为了方便使用，可能会在其他网站或者系统中使用与银行卡密码一致的密码，而相关网站未尽到妥善保管密码的义务致使持卡人的密码为他人所知悉。最后，六位数的密码组合本身也存在着极大的风险，在实践中，就出现过以技术手段破解持卡人密码的情形。而银行仅在能够证明盗刷者是持卡人的亲友或者其他关系密切的人时，才可认定持卡人未妥善保管银行卡、卡片信息、密码等身份识别信息和交易验证信息，进而要求持卡人应承担相应责任，此种完全由银行举证持卡人未尽到妥善保管义务的证明模式，将使得银行承担的证明责任过重而有悖公平。

单一的严格责任致使损失分散和防范失衡。严格责任的归责模式，虽与合同法的法理基础一致且利于保障持卡人的利益，但存在着以下两方面的弊端。

一是从损失分散的角度。首先，在银行无法证明持卡人存在未妥善保管银行卡信息的情形时，由银行承担全部责任或大部分责任，对银行而言负担较重，有悖于公平原则、风险与获得利益相适应原则。其次，由于该类案件犯罪手段多样，犯罪涉及领域广泛、犯罪技术不断升级，此类案件的破案率一直较低，若无法确定犯罪嫌疑人，最终损失只能由银行承担。最后，即使判决银行承担全部责任，银行也会通过其他途径分散损失，例如通过增加服务成本将损失分散给其他储户，不利于社会的整体利益。

二是从损失预防的角度。仅因发卡行举证不能就判定其对持卡人承担完全赔偿责任，难以对将来类似案件起到预防作用。首先，若盗刷卡是由于持卡人一方的过错导致信息泄露，而银行却无法举证，会使持卡人产生“损失由银行买单”的心理，将会诱发持卡人恶意向银行主张赔偿的不利后果，降低社会整体资金流转和社会活动效率，甚至有可能刺激持卡人与他人恶意串通，进行虚假诉讼，合谋骗取银行资金的犯罪行为，进而严重影响国家金融市场的稳定与安全。其次，虽然判决银行承担全部或较大比例的责任，能够倒逼银行建立健全更完善的安全系统，促使银行提升自身的安全防范技术水平，从根本上防范银行卡盗刷风险的发生。但金融行业尤其是银行卡业务依赖支付技术的安全性，银行支付安全技术的大幅度升级不仅需要依托互联网技术和支付技术的发展，而且需要耗费大量的时间与资金成本，银行是否愿意承担或者是否有能力承担该项技术成本也是值得思考的问题。

过度保护持卡人致使风险与利益不匹配。在银行卡纠纷案裁判过程中，法院对持卡人的责任进行了最小化处理，而将重点放在了银行的安全保障义务上。法院认为，作为金融服务的提供者，银行应具备更强的经济能力和技术优势，因此有责任提供更安全的用卡环境，并采取严格的技术保障措施来防范盗刷风险。这种裁判思路在一定程度上体现了对持卡人权益的倾斜性保护，可能导致对持卡人在风险防范和信息保管方面的个人责任有所忽视，从而在一定程度上对持卡人进行了过度保护。

根据风险与利益相匹配理论，所有金融活动的风险和收益都应当是对称的，即投资者应获得与其承担风险相匹配的收益。在银行卡伪卡盗刷纠纷中，现行的责任分配机制在某些情况下有过度保护对持卡人利益的倾向，这种过度保护可能会打破风险与利益之间的平衡。在银行卡伪卡盗刷纠纷中，对持卡人的保护是必要的，因为相对于金融机构，持卡人往往处于信息和谈判能力较弱的地位，然而持卡人作为金融产品的消费者，在享有便捷支付方式的同时，应当预料到背后潜在的金融风险，简言之，持卡人开通银行账户，并将资金存入银行，就应当负有一定的谨慎注意义务和风险防范意识，当持卡人不需要为自己的风险行为承担后果时，市场便无法有效地分配风险和收益，导致市场信号失真，导致资源配置效率降低。影响金融市场的效率和活力。

总之，以上对银行卡纠纷案的分析，反映了银行卡伪卡盗刷纠纷案件中举证责任分配机制的不足。首先，现行法律对银行的举证责任要求过高，导致银行在证明持卡人存在伪卡交易或其对银行卡的保管存在过失方面的举证责任通常难以完成，进而承担了全部的赔偿责任。其次，在归责原则上，司法实践以合同关系作为银行卡伪卡盗刷纠纷责任承担的基础，但单一的严格责任归责模式忽视了风险与利益相适应原则，易导致持卡人风险意识的缺失，增加银行的运营成本，对社会整体利益产生负面影响。最后，损失分担上，现行裁判以发卡行承担赔偿责任为主，存在过度保护持卡人的倾向，忽视了持卡人应承担的谨慎注意义务，致使风险与收益不匹配。

通过对指导性案例裁判思路的推广，各地法院此后对于此类案件在裁判标准和思路方面的差异会进一步缩小，对事实认定、举证责任、损失承担等方面也会逐渐适用相同的标准，从司法的统一性和节约司法成本的角度而言，银行卡纠纷案这一指导性案例无疑对此类案件的处理进行了统一规范指导。

（本文系江西省社科基金“电子支付服务商的民事责任体系研究”研究成果）

— 推荐阅读 —