犯罪分子利用安装在自助银行门禁系统上的盗码器窃取银行储户的银行卡信息和密码,进而伪造银行卡(俗称克隆卡)提取储户存款,是近年银行卡业务出现的新情况。在这些案件中,储户往往以银行为被告,要求其支付被盗取的存款。如何认定银行和储户在这些案件中的责任,成为储蓄合同纠纷的新问题。在这些案件中,必须厘清以下几个问题:(1)银行在银行卡信息和密码被窃取以及付款过程中是否未尽应尽之义务。(2)发卡行应否对机器所属行的行为负责。因为借记卡信息和密码有时并非在发卡行的自助银行上被窃取,因此需要探讨若由于自助银行的所属行未尽应尽之义务,发卡行是否仍应对此承担民事责任。(3)银行能否以“凡是通过交易密码发生的一切交易,均应视为持卡人亲自所为,银行不应承担责任”这一条款主张免责。(4)储户对于银行卡信息和密码被窃是否存有过错,银行方能否因此免除或减轻责任。
一、银行对储户的信息安全保障义务
银行卡是现代金融创新中应运而生的一种电子支付工具, 较之传统支付工具,存在的一个突出问题就是电子信息数据的 安全。对此,银行应当负有保障储户信息、密码等信息数据安全 的义务,即银行应保证其服务场所、系统设备的安全适用,足以 保障储户信息、密码等信息数据的安全,在储户的信息、密码等 信息数据被窃取之后,银行能采取合理充分的措施保障储户资 金的安全。银行之所以应当对储户承担信息安全保障义务,主 要基于以下几点理由: 首先,合同交易方式电子化的要求。在银行与储户的传统 纸质化交易中,银行的工作人员在柜台的义务主要是核对储户 的纸面化的存取款凭证和储户的身份证件、签名、印章等身份证 明,以保障储户资金支付的安全。而现代银行和储户的电子化 交易是通过银行提供的机器进行的,只要是客观上输入了储户的信息和密码,机器就视为是储户本人在进行交易,哪怕该信息 和密码是盗取的,机器也无法识别。因此,银行对储户资金支付 安全的保障义务,就应当相应扩张至对储户信息和密码的保障。 而随着传统的柜台交易场所逐渐向无人化的交易场所延伸,如 自助银行等,相应地,银行对这些交易场所也负有保障储户交易 信息安全的义务。 其次,收益与风险相一致的要求。在电子化交易下,不法分 子只需窃得储户的信息和密码,即可盗得储户的存款,而避开银 行对取款人身份的书面审查。对这种风险的防范义务,应当由 从这种风险中获益的人承担,这符合收益与风险相一致的原理。 银行和储户从电子化交易中均有获益,但储户作为消费者,其得到的是交易的便利和快捷,而银行作为经营者,直接获取的却是经济上的收益。银行交易的便利和快捷、银行经营环境和条件的改善,为银行吸纳存款和增加盈利提供了机会和空间,银行作为从危险源中获取经济利益者,应当负有制止危险的义务。① 第三,危险控制理论的要求。根据危险控制理论,谁能更经济、合理和有效地控制危险,谁就应当承担控制潜在危险的义务。②银行作为经营者,对自己的服务设施、设备的性能和服务场所的安全情况比储户有更多的了解,也具有更加强大的力量和更为专业的知识,更能预见可能发生的危险和损害,更有可能采取必要的措施防止危险的发生。例如,银行可以动用适当的人员对自助银行进行巡逻,可以配置监控摄像设备,减少不法分子的可乘之机;可以通过明示自助银行门禁的使用说明,减少储户上当的几率;可以向储户提醒犯罪分子可能采取的手段,提高储户的防范意识;还可以通过在磁条信息上增设偏移量或将磁条卡换成芯片卡,以有效识别银行卡的真伪。 第四,合同法社会本位理念的要求。合同法社会本位理念强调对消费者权益的保护。美国《电子资金划拨法》和E条例明确规定,即使在储户存在疏忽而导致他人利用银行卡和密码窃取存款的情况下,该责任也并非一概由储户自己承担,由此将银行卡冒用的风险在金融机构与消费者之间进行分担,在保护消费者和金融机构的利益之间找到了一个适当的平衡点,给予了消费者更多保护。储户因疏忽遗失信息及密码尚且如此,更何况自助银行及电子化交易设备系银行提供,处在银行控制之下。银行作为经营者应当对其经营场所和系统设备承担更多的义务,对储户的信息安全应提供保障。 银行对储户的信息安全保障义务具体包括但不限于以下义 务:(1)危险提示义务。银行应当对各种可能出现的不安全因素 以及可能造成的伤害向储户作出明显的警示。(2)安全防范义 务。银行对于潜在的危险应当采用适当的设备和技术,采取适 当的措施进行防范。(3)安全措施的说明义务。银行对于采取 的安全措施在必要时应当向储户进行必要的说明。(4)危害救 助义务。当不安全因素给储户造成损害时,银行应当进行积极 的救助,避免损失发生或进一步扩大。 综上所述,银行对于储户负有保障其银行卡信息和密码安 全的义务,如果银行违反了此义务,导致不法分子窃取了储户的 银行卡信息和密码,进而窃取了储户在银行的存款,那么银行不 能因此免除其对储户的付款义务,银行仍应按照储蓄合同的约 定向储户支付存款本金和利息。
二、银行对债务履行辅助人的行为应否承担责任
当储户并非在发卡行的自助银行上被窃取银行卡信息和密 码时,由于储户与自助银行所属行并不存在合同关系,因此其不 能基于合同关系要求自助银行所属行承担责任。那么,储户能 否要求发卡行对自助银行所属行的不作为负责?笔者认为,自 助银行所属行系发卡行的债务履行辅助人,发卡行应对其履行 辅助人的行为承担民事责任。
1.债务履行辅助人的认定。债务履行辅助人,即辅助债务 人履行债务的人,包括使用人和代理人。所谓使用人,是指依债付障碍的危险性,而债务人因分工役使他人从而受益,理应承担其危险性。况且,使债务人负担保义务亦可促其慎于选任、监督履行辅助人。 (3)自助银行所属行是否需具有故意或过失。债务履行辅助人是否需具有故意或过失,应依债的履行本身的归责原则而定。大陆法系多数国家对债的履行的归责原则采过错主义,因此只有当债务履行辅助人具有故意或过失时,债务人才应负责。但我国《合同法》系采严格责任的归责原则,因此并不以履行辅助人具有过错为要件。只要履行辅助人的行为不具备可以免责的事由,债务人即应负责。我国《合同法》第121条规定,“当事人一方因第三人的原因造成违约的,应当向对方承担违约责任。”这里使用的是“因第三人的原因”,而并没有从第三人的主观过错的角度进行规定。原立法草案中采用的本是“因第三人过错”的措辞,这一改动也可看出立法者对此问题的态度。 综上,为债务履行辅助人负责在我国的构成要件,只有履行辅助人系为债务人履行债务这一项。自助银行所属行作为发卡行的履行辅助人,未履行对储户的信息安全保障义务,发卡行作为债务人应当向债权人承担责任。
三、格式条款与免责效力
储户申请银行卡时,均要填写银行卡申请表。这些申請背面通常都记载以下条款:凡是通过交易密码发生的一切交易均应视为持卡人亲自所为,银行不应承担责任。该条款由银行方事先拟定,不与储户进行平等协商,储户只能要么全部接受要么全部拒绝,而不能就某些条款进行修改,这些都符合格式条款的特性。需要探讨的是,这种格式条款能否成为银行主张免责的依据。 由于格式条款并非基于双方当事人平等协商而达成的,因此各国立法对其均有特殊的规制。运用体系解释的方法理解我国《合同法》第39条第1款和第40条的规定,可以得出:免责或限责条款并非一律无效,如果提供格式条款的一方遵循公平原则确定当事人之间的权利和义务,并采取合理的方式提请对方注意免除或者限制其责任的条款,按照对方的要求,对该条款予以说明,并得到对方明确认可时,则该条款仍然有效。因此,银行方要以借记卡申请表背面的格式条款主张免责,必须符合以下两个条件:一是程序要求,即银行方已经采取合理的方式提请储户注意免除其责任的条款,按照对方的要求,对该条款予以说明,并得到对方明确认可。二是实质要求,即该条款权利义务内容的确定符合公平的原则。
从程序上看,当银行方没有就免责条款向储户履行合理提示义务时,虽然在一份书面文件中明确规定免责条款,即使在签订合同时,向对方出示了该文件,也不能认为是“合理地提请对方注意”。因为格式条款不容许相对方修改,相对方很容易在“看不看都一样”的心理下对合同条款不予注意;而且采用格式条款通常是为了提高效率,在时间紧迫的情况下,相对方往往无暇详细阅读全部合同条款。为保证相对方在签署合同之前对免责条款确实了解,对于书面的合同文件,合理的提示必须是醒目的特殊字体,并在显著位置标出,从而使一般人一眼就能注意到或者是另以口头或书面的方式,特别提请对方阅读该免责条款。正如英国的丹宁勋爵所说,“某些免责条款必须用红色字体印在文件的正面,并以红色手指为标志予以指示,其提醒注意才能被认为是充分合理的。”①银行卡的免责条款一般印在申请表的背面,字体和其他条款相同,不足以引起一般储户的注意;在申请表正面通常虽有“请申请人认真阅读本申请表背面的银行卡章程和申领使用银行卡须知”的字样,但这些文字字体很小,并不醒目,而且只是指示相对人阅读背面所有条款,并没有特别提示相对人阅读背面的免责条款;除非银行方有证据表明已告知相对人特别注意哪些免责条款,原则上应认为银行方没有履行合理提示义务。 从内容上看,该免责条款并没有遵循公平原则确定当事人之间的权利和义务。由储户在借记卡上设立自己能掌握和控制的密码,是保障储户存款安全和防范犯罪的一个手段,但并非万无一失。若银行违反本文第一、二部分所述的信息安全保障义务,导致储户的银行卡信息和密码被窃取,进而导致储户存款被盗取的,银行仍应向储户承担支付存款本金和利息的责任。该格式条款把一些本应由银行承担的责任也推向储户,无疑加重了储户的责任,有违公平。
四、过失相抵与储户的过错问题
1.此类纠纷能否适用过失相抵。所谓过失相抵,是指就损害的发生或扩大,被害人(包括债权人)有过失时,减轻或免除加害人(债务人)的赔偿责任。过失相抵不仅适用于侵权损害赔偿,也适用于债务不履行责任,甚至及于其他依法律规定所生的损害赔偿。例如《德国民法典》和《日本民法典》都分别对债务不履行责任中过失相抵和侵权行为责任中的过失相抵作了规定。过失相抵虽然与双方当事人的主观状态有联系,但主要是从因果关系的角度来考虑后果分担的,因此它属于“外来原因”的抗辩。所谓“相抵”,是指受害人的过错构成损害发生或扩大的原因,以该原因的原因力抵消其所受损害可能请求赔偿的一部分或全部。所以过失相抵不仅适用于过错责任领域,也适用于无过错责任和严格责任领域。 我国民法对于侵权责任中的过失相抵有明确的规定,如《民法通则》第131条规定:“受害人对于损害的发生也有过错的,可以减轻侵害人的民事责任。”在债的不履行领域,我国《合同法》在起草时原本也规定了过失相抵,但最终却以双方违约代之,此即《合同法》第120条:“当事人双方都违反合同的,应当各自承担相应的责任。”严格地说,双方违约与过失相抵是两个不同的制度。不过在学理上和实践中,我国一直承认债的不履行责任可以适用过失相抵。
2.储户是否存有过错。所谓过错,是指能预见、能避免而未避免。认定储户在此类纠纷中是否存有过错,首先要认定储户能否预见盗码器系犯罪分子安装在自助银行门禁系统上,能否避免银行卡信息和密码被窃取。对此,应以一般人、理性人而非行为人是否可以预见、是否可以避免作为判断标准。当然,在行为人本身具有职业或生理等方面的特性时,判断其过错可以充分考虑其特性,但依然只能依一个与其状态相似的抽象人的注意标准去衡量,这实际上还是一个客观的标准,只不过是更为具体的客观标准。 从一般人、理性人的标准出发,笔者认为储户不能预见安装在自助银行门禁系统上的盗码器系犯罪工具。首先,盗码器系安装在作为银行经营场所延伸的自助银行的门禁系统上,而当储户与银行之间基于合同的存在,从一般普通关系进入到一种特殊信赖的关系时,储户对于银行的经营场所的安全具有合理的信赖。这种信赖足以使储户丧失警觉性,这是储户不可预见的基础。其次,近几年银行的交易系统不断升级换代,在自助银行外安装门禁系统也只是近几年的事,在银行方对于如何使用门禁系统未作说明的情况下,储户有足够理由相信这是银行的装置,这是储户不可预见的条件。第三,从法律经济学分析的角度,也不应要求储户能预见到装在自助银行门禁上的盗码器为犯罪分子所为。因为储户无法负担预见盗码器的成本,其不可能雇用人员,或使用一些仪器设备,或就每个陌生的装置向银行或公安部门求助。一旦这种成本无法化解,储户就会选择放弃这种交易方式,这将给储户和银行带来更大的损害。相反,银行可以比储户更经济地化解这些成本,其可以通过增收服务费等方式将预防的成本分摊在储户身上,也可通过保险来减少此类危险给其造成的损害。这是储户不可预见的成本限制。 综上所述,银行对于储户银行卡的信息和密码负有安全保障的义务,犯罪分子利用安装在自助银行门禁系统上的盗码器窃取储户的银行卡信息和密码,进而窃取款项,非储户所能预见,银行应对此承担民事责任。
摘自: 沈志先总主编《法官论文精选(二)(判案论法丛书/沈志先主编)》
