銀行卡信息和密碼被竊后的民事責任承擔

犯罪分子利用安裝在自助銀行門禁系統上的盜碼器竊取銀行儲戶的銀行卡信息和密碼，進而偽造銀行卡(俗稱克隆卡)提取儲戶存款，是近年銀行卡業務出現的新情況。在這些案件中，儲戶往往以銀行為被告，要求其支付被盜取的存款。如何認定銀行和儲戶在這些案件中的責任，成為儲蓄合同糾紛的新問題。在這些案件中，必須厘清以下幾個問題：(1)銀行在銀行卡信息和密碼被竊取以及付款過程中是否未盡應盡之義務。(2)發卡行應否對機器所屬行的行為負責。因為借記卡信息和密碼有時并非在發卡行的自助銀行上被竊取，因此需要探討若由于自助銀行的所屬行未盡應盡之義務，發卡行是否仍應對此承擔民事責任。(3)銀行能否以“凡是通過交易密碼發生的一切交易，均應視為持卡人親自所為，銀行不應承擔責任”這一條款主張免責。(4)儲戶對于銀行卡信息和密碼被竊是否存有過錯，銀行方能否因此免除或減輕責任。
一、銀行對儲戶的信息安全保障義務
銀行卡是現代金融創新中應運而生的一種電子支付工具， 較之傳統支付工具，存在的一個突出問題就是電子信息數據的 安全。對此，銀行應當負有保障儲戶信息、密碼等信息數據安全 的義務，即銀行應保證其服務場所、系統設備的安全適用，足以 保障儲戶信息、密碼等信息數據的安全，在儲戶的信息、密碼等 信息數據被竊取之后，銀行能采取合理充分的措施保障儲戶資 金的安全。銀行之所以應當對儲戶承擔信息安全保障義務，主 要基于以下幾點理由： 首先，合同交易方式電子化的要求。在銀行與儲戶的傳統 紙質化交易中，銀行的工作人員在柜臺的義務主要是核對儲戶 的紙面化的存取款憑證和儲戶的身份證件、簽名、印章等身份證 明，以保障儲戶資金支付的安全。而現代銀行和儲戶的電子化 交易是通過銀行提供的機器進行的，只要是客觀上輸入了儲戶的信息和密碼，機器就視為是儲戶本人在進行交易，哪怕該信息 和密碼是盜取的，機器也無法識別。因此，銀行對儲戶資金支付 安全的保障義務，就應當相應擴張至對儲戶信息和密碼的保障。 而隨著傳統的柜臺交易場所逐漸向無人化的交易場所延伸，如 自助銀行等，相應地，銀行對這些交易場所也負有保障儲戶交易 信息安全的義務。 其次，收益與風險相一致的要求。在電子化交易下，不法分 子只需竊得儲戶的信息和密碼，即可盜得儲戶的存款，而避開銀 行對取款人身份的書面審查。對這種風險的防范義務，應當由 從這種風險中獲益的人承擔，這符合收益與風險相一致的原理。 銀行和儲戶從電子化交易中均有獲益，但儲戶作為消費者，其得到的是交易的便利和快捷，而銀行作為經營者，直接獲取的卻是經濟上的收益。銀行交易的便利和快捷、銀行經營環境和條件的改善，為銀行吸納存款和增加盈利提供了機會和空間，銀行作為從危險源中獲取經濟利益者，應當負有制止危險的義務。① 第三，危險控制理論的要求。根據危險控制理論，誰能更經濟、合理和有效地控制危險，誰就應當承擔控制潛在危險的義務。②銀行作為經營者，對自己的服務設施、設備的性能和服務場所的安全情況比儲戶有更多的了解，也具有更加強大的力量和更為專業的知識，更能預見可能發生的危險和損害，更有可能采取必要的措施防止危險的發生。例如，銀行可以動用適當的人員對自助銀行進行巡邏，可以配置監控攝像設備，減少不法分子的可乘之機；可以通過明示自助銀行門禁的使用說明，減少儲戶上當的幾率；可以向儲戶提醒犯罪分子可能采取的手段，提高儲戶的防范意識；還可以通過在磁條信息上增設偏移量或將磁條卡換成芯片卡，以有效識別銀行卡的真偽。 第四，合同法社會本位理念的要求。合同法社會本位理念強調對消費者權益的保護。美國《電子資金劃撥法》和E條例明確規定，即使在儲戶存在疏忽而導致他人利用銀行卡和密碼竊取存款的情況下，該責任也并非一概由儲戶自己承擔，由此將銀行卡冒用的風險在金融機構與消費者之間進行分擔，在保護消費者和金融機構的利益之間找到了一個適當的平衡點，給予了消費者更多保護。儲戶因疏忽遺失信息及密碼尚且如此，更何況自助銀行及電子化交易設備系銀行提供，處在銀行控制之下。銀行作為經營者應當對其經營場所和系統設備承擔更多的義務，對儲戶的信息安全應提供保障。 銀行對儲戶的信息安全保障義務具體包括但不限于以下義 務：(1)危險提示義務。銀行應當對各種可能出現的不安全因素 以及可能造成的傷害向儲戶作出明顯的警示。(2)安全防范義 務。銀行對于潛在的危險應當采用適當的設備和技術，采取適 當的措施進行防范。(3)安全措施的說明義務。銀行對于采取 的安全措施在必要時應當向儲戶進行必要的說明。(4)危害救 助義務。當不安全因素給儲戶造成損害時，銀行應當進行積極 的救助，避免損失發生或進一步擴大。 綜上所述，銀行對于儲戶負有保障其銀行卡信息和密碼安 全的義務，如果銀行違反了此義務，導致不法分子竊取了儲戶的 銀行卡信息和密碼，進而竊取了儲戶在銀行的存款，那么銀行不 能因此免除其對儲戶的付款義務，銀行仍應按照儲蓄合同的約 定向儲戶支付存款本金和利息。
二、銀行對債務履行輔助人的行為應否承擔責任
當儲戶并非在發卡行的自助銀行上被竊取銀行卡信息和密 碼時，由于儲戶與自助銀行所屬行并不存在合同關系，因此其不 能基于合同關系要求自助銀行所屬行承擔責任。那么，儲戶能 否要求發卡行對自助銀行所屬行的不作為負責?筆者認為，自 助銀行所屬行系發卡行的債務履行輔助人，發卡行應對其履行 輔助人的行為承擔民事責任。
1．債務履行輔助人的認定。債務履行輔助人，即輔助債務 人履行債務的人，包括使用人和代理人。所謂使用人，是指依債付障礙的危險性，而債務人因分工役使他人從而受益，理應承擔其危險性。況且，使債務人負擔保義務亦可促其慎于選任、監督履行輔助人。 (3)自助銀行所屬行是否需具有故意或過失。債務履行輔助人是否需具有故意或過失，應依債的履行本身的歸責原則而定。大陸法系多數國家對債的履行的歸責原則采過錯主義，因此只有當債務履行輔助人具有故意或過失時，債務人才應負責。但我國《合同法》系采嚴格責任的歸責原則，因此并不以履行輔助人具有過錯為要件。只要履行輔助人的行為不具備可以免責的事由，債務人即應負責。我國《合同法》第121條規定，“當事人一方因第三人的原因造成違約的，應當向對方承擔違約責任�！边@里使用的是“因第三人的原因”，而并沒有從第三人的主觀過錯的角度進行規定。原立法草案中采用的本是“因第三人過錯”的措辭，這一改動也可看出立法者對此問題的態度。 綜上，為債務履行輔助人負責在我國的構成要件，只有履行輔助人系為債務人履行債務這一項。自助銀行所屬行作為發卡行的履行輔助人，未履行對儲戶的信息安全保障義務，發卡行作為債務人應當向債權人承擔責任。
三、格式條款與免責效力
儲戶申請銀行卡時，均要填寫銀行卡申請表。這些申請背面通常都記載以下條款：凡是通過交易密碼發生的一切交易均應視為持卡人親自所為，銀行不應承擔責任。該條款由銀行方事先擬定，不與儲戶進行平等協商，儲戶只能要么全部接受要么全部拒絕，而不能就某些條款進行修改，這些都符合格式條款的特性。需要探討的是，這種格式條款能否成為銀行主張免責的依據。 由于格式條款并非基于雙方當事人平等協商而達成的，因此各國立法對其均有特殊的規制。運用體系解釋的方法理解我國《合同法》第39條第1款和第40條的規定，可以得出：免責或限責條款并非一律無效，如果提供格式條款的一方遵循公平原則確定當事人之間的權利和義務，并采取合理的方式提請對方注意免除或者限制其責任的條款，按照對方的要求，對該條款予以說明，并得到對方明確認可時，則該條款仍然有效。因此，銀行方要以借記卡申請表背面的格式條款主張免責，必須符合以下兩個條件：一是程序要求，即銀行方已經采取合理的方式提請儲戶注意免除其責任的條款，按照對方的要求，對該條款予以說明，并得到對方明確認可。二是實質要求，即該條款權利義務內容的確定符合公平的原則。
從程序上看，當銀行方沒有就免責條款向儲戶履行合理提示義務時，雖然在一份書面文件中明確規定免責條款，即使在簽訂合同時，向對方出示了該文件，也不能認為是“合理地提請對方注意”。因為格式條款不容許相對方修改，相對方很容易在“看不看都一樣”的心理下對合同條款不予注意；而且采用格式條款通常是為了提高效率，在時間緊迫的情況下，相對方往往無暇詳細閱讀全部合同條款。為保證相對方在簽署合同之前對免責條款確實了解，對于書面的合同文件，合理的提示必須是醒目的特殊字體，并在顯著位置標出，從而使一般人一眼就能注意到或者是另以口頭或書面的方式，特別提請對方閱讀該免責條款。正如英國的丹寧勛爵所說，“某些免責條款必須用紅色字體印在文件的正面，并以紅色手指為標志予以指示，其提醒注意才能被認為是充分合理的�！雹巽y行卡的免責條款一般印在申請表的背面，字體和其他條款相同，不足以引起一般儲戶的注意；在申請表正面通常雖有“請申請人認真閱讀本申請表背面的銀行卡章程和申領使用銀行卡須知”的字樣，但這些文字字體很小，并不醒目，而且只是指示相對人閱讀背面所有條款，并沒有特別提示相對人閱讀背面的免責條款；除非銀行方有證據表明已告知相對人特別注意哪些免責條款，原則上應認為銀行方沒有履行合理提示義務。 從內容上看，該免責條款并沒有遵循公平原則確定當事人之間的權利和義務。由儲戶在借記卡上設立自己能掌握和控制的密碼，是保障儲戶存款安全和防范犯罪的一個手段，但并非萬無一失。若銀行違反本文第一、二部分所述的信息安全保障義務，導致儲戶的銀行卡信息和密碼被竊取，進而導致儲戶存款被盜取的，銀行仍應向儲戶承擔支付存款本金和利息的責任。該格式條款把一些本應由銀行承擔的責任也推向儲戶，無疑加重了儲戶的責任，有違公平。
四、過失相抵與儲戶的過錯問題
1．此類糾紛能否適用過失相抵。所謂過失相抵，是指就損害的發生或擴大，被害人(包括債權人)有過失時，減輕或免除加害人(債務人)的賠償責任。過失相抵不僅適用于侵權損害賠償，也適用于債務不履行責任，甚至及于其他依法律規定所生的損害賠償。例如《德國民法典》和《日本民法典》都分別對債務不履行責任中過失相抵和侵權行為責任中的過失相抵作了規定。過失相抵雖然與雙方當事人的主觀狀態有聯系，但主要是從因果關系的角度來考慮后果分擔的，因此它屬于“外來原因”的抗辯。所謂“相抵”，是指受害人的過錯構成損害發生或擴大的原因，以該原因的原因力抵消其所受損害可能請求賠償的一部分或全部。所以過失相抵不僅適用于過錯責任領域，也適用于無過錯責任和嚴格責任領域。 我國民法對于侵權責任中的過失相抵有明確的規定，如《民法通則》第131條規定：“受害人對于損害的發生也有過錯的，可以減輕侵害人的民事責任�！痹趥�的不履行領域，我國《合同法》在起草時原本也規定了過失相抵，但最終卻以雙方違約代之，此即《合同法》第120條：“當事人雙方都違反合同的，應當各自承擔相應的責任�！眹栏竦卣f，雙方違約與過失相抵是兩個不同的制度。不過在學理上和實踐中，我國一直承認債的不履行責任可以適用過失相抵。
2．儲戶是否存有過錯。所謂過錯，是指能預見、能避免而未避免。認定儲戶在此類糾紛中是否存有過錯，首先要認定儲戶能否預見盜碼器系犯罪分子安裝在自助銀行門禁系統上，能否避免銀行卡信息和密碼被竊取。對此，應以一般人、理性人而非行為人是否可以預見、是否可以避免作為判斷標準。當然，在行為人本身具有職業或生理等方面的特性時，判斷其過錯可以充分考慮其特性，但依然只能依一個與其狀態相似的抽象人的注意標準去衡量，這實際上還是一個客觀的標準，只不過是更為具體的客觀標準。 從一般人、理性人的標準出發，筆者認為儲戶不能預見安裝在自助銀行門禁系統上的盜碼器系犯罪工具。首先，盜碼器系安裝在作為銀行經營場所延伸的自助銀行的門禁系統上，而當儲戶與銀行之間基于合同的存在，從一般普通關系進入到一種特殊信賴的關系時，儲戶對于銀行的經營場所的安全具有合理的信賴。這種信賴足以使儲戶喪失警覺性，這是儲戶不可預見的基礎。其次，近幾年銀行的交易系統不斷升級換代，在自助銀行外安裝門禁系統也只是近幾年的事，在銀行方對于如何使用門禁系統未作說明的情況下，儲戶有足夠理由相信這是銀行的裝置，這是儲戶不可預見的條件。第三，從法律經濟學分析的角度，也不應要求儲戶能預見到裝在自助銀行門禁上的盜碼器為犯罪分子所為。因為儲戶無法負擔預見盜碼器的成本，其不可能雇用人員，或使用一些儀器設備，或就每個陌生的裝置向銀行或公安部門求助。一旦這種成本無法化解，儲戶就會選擇放棄這種交易方式，這將給儲戶和銀行帶來更大的損害。相反，銀行可以比儲戶更經濟地化解這些成本，其可以通過增收服務費等方式將預防的成本分攤在儲戶身上，也可通過保險來減少此類危險給其造成的損害。這是儲戶不可預見的成本限制。 綜上所述，銀行對于儲戶銀行卡的信息和密碼負有安全保障的義務，犯罪分子利用安裝在自助銀行門禁系統上的盜碼器竊取儲戶的銀行卡信息和密碼，進而竊取款項，非儲戶所能預見，銀行應對此承擔民事責任。
摘自： 沈志先總主編《法官論文精選(二)(判案論法叢書/沈志先主編)》