网上银行被盗,银行的责任
——刘某露诉中国工商银行股份有限公司菏泽丹阳支行储蓄存款合同案
【案件基本信息】
1.裁判书字号
山东省菏泽市中级人民法院(2015)菏商终字第410号民事判决书
2.案由:储蓄存款合同纠纷
3.当事人
原告(被上诉人):刘某露
被告(上诉人):中国工商银行股份有限公司菏泽丹阳支行(以下简称工行菏泽丹阳支行)
【基本案情】
刘某露系中国工商银行的银行卡客户。2014年7月18日,刘某露到工行丹阳支行注销了原来的U盾电子银行,申请注册使用电子密码器的电子银行。刘某露在电子银行个人客户注册申请书上定制开通网上银行和手机银行,身份确认工具为电子密码器,并签字确认。同日13时21分,工行丹阳支行为其开通了网上银行、手机银行,刘某露领取了工银电子密码器,但并未开通短信认证业务。随后,刘某露在工行丹阳支行大堂服务人员的演示指导下激活了密码器。当日下午3时左右,刘某露登录其网上银行,发现其账户内的存款被转出151000元,遂立即找到工行丹阳支行,并到菏泽市公安局开发区分局丹阳派出所报案,菏泽市公安局开发区分局于2014年7月30日决定立案侦查,但该案一直未能侦破。
【案件焦点】
网上银行被盗,银行是否应承担赔偿责任。
【法院裁判要旨】
山东省菏泽市开发区人民法院审理认为:刘某露在工行丹阳支行开通了使用电子密码器的电子银行,工行丹阳支行即有义务保障刘某露账户内的存款在其电子银行系统中的安全,现刘某露的存款被他人擅自转走,目前责任不清,工行丹阳支行没有证据证明刘某露泄露个人信息,不能举证证明是由于刘某露自身的过错造成存款被擅自转走的,其应当承担全部赔偿责任。
山东省菏泽市开发区人民法院依照《中华人民共和国民法通则》第一百零六条,《中华人民共和国合同法》第一百二十一条,《中华人民共和国商业银行法》第六条的规定,判决:
中国工商银行股份有限公司菏泽丹阳支行于判决生效之日起三日内赔偿刘某露存款151000元及其利息。
工行丹阳支行不服提起上诉。山东省菏泽市中级人民法院经审理认为:首先,工银电子密码器领用须知中所约定“通过身份验证的操作均视为客户本人所为”的条款,为单方免责的格式条款,应属无效,本案所涉151000元的交易行为不应视为刘某露本人行为。其次,工行丹阳支行作为网上银行相关技术、设备和操作平台的提供者,在其与储户的合同关系中明显占据优势地位,应承担更高的识别与保障义务。银行卡的账号以及相关密码是银行自动识别客户身份、权限的数字、字母或其组合,具有私有性、唯一性和秘密性。因此,持卡人对账号及相关密码应当负有比一般财产更加严格的保管和保密的义务。
本案中,在工行丹阳支行为刘某露办理业务过程中,既已出现刘某露预留的手机号码无法正常接受提示短信的情况,工行丹阳支行对此未予重视并采取防护措施;结合刘某露的银行账户被多次登录并最终登录成功的事实,表明工行丹阳支行的电子银行业务系统存在安全漏洞及技术风险,工行丹阳支行在履行合同过程中未正确尽到安全保障义务,其对于刘某露的款项损失存在违约行为。刘某露的银行卡在2014年7月18日发生款项损失,系通过网上银行转账方式而发生,根据本案所涉身份确认工具为工银电子密码器的电子银行业务流程规则,转账需要网银账号、网银登录密码、电子密码器的开机密码、动态口令代码、动态验证码,由于上述信息均为刘某露本人掌握,包括银行在内的他人均无法知晓,刘某露应妥善保管,结合刘某露的银行账户被多个IP地址登录的情况,根据日常生活经验法则判断,刘某露的网银账号及相关信息存在泄露情形,其本人对于款项的损失亦有不当之处。结合上述分析,认定刘某露涉案银行卡中151000元本金及利息损失系刘某露本人和工行丹阳支行的共同违约所致。在此前提下,对于纠纷双方的违约程度问题,考虑到工行丹阳支行作为以营利为目的的商事主体,在向金融消费者刘某露提供服务的过程中,更有能力预防和避免犯罪嫌疑人通过科技手段来侵害金融服务系统,以保障金融消费者的资金安全。故根据公平和诚实信用原则,法院酌情认定工行丹阳支行应对刘某露151000元款项的损失承担60%(即90600元)的责任,刘某露自行承担40%(即60400元)的责任。
山东省菏泽市中级人民法院依照《中华人民共和国合同法》第一百零七条、第一百二十条,《中华人民共和国民事诉讼法》第一百七十条第一款第(二)项、第一百七十五条之规定,判决:
上诉人中国工商银行股份有限公司菏泽丹阳支行于本判决生效之日起五日内赔偿被上诉人刘某露存款90600元及利息损失。
【法官后语】
本案的处理重点在于当事人双方违约程度的认定问题。
第一,银行对储户存款具有安全保障义务。根据《中华人民共和国商业银行法》第六条、第二十九条,商业银行对储户存款具有安全保障义务。上诉人工行丹阳支行为被上诉人刘某露提供网上银行电子密码器服务,就应当确保该网上银行的数据信息不被非法窃取并加以使用。并且,上诉人工行丹阳支行作为网上银行相关技术、设备和操作平台的提供者,在其与储户的合同关系中明显占据优势地位,上诉人工行丹阳支行理应承担更高的识别与保障义务。
第二,银行卡密码是持卡人在办理银行卡时向银行预留的、未来办理业务时提供给银行自动识别客户身份、权限的数字、字母或其组合,具有私有性、唯一性和秘密性。因此,持卡人对密码应当负有比一般财产更加严格的保管和保密的义务,才符合银行卡领用法律关系的特征。
第三,工行丹阳支行认为其与刘某露在《中国工商银行电子银行个人客户服务协议》《工银电子密码器领用须知》约定“以客户的注册卡号(账号、用户名)、电子密码器产生的动态口令作为识别客户有效身份的标志,对使用以上标志进行的操作视为客户本人所为”。因此,上诉人工行丹阳支行认为案涉151000元的交易行为应视为被上诉人刘某露本人所为。针对这一问题,承办法官认为,格式条款,又称定式条款,是指当事人为了重复使用而预先拟定,并在订立合同时未与对方专门协商的条款。为保护交易中处于弱势的一方(常见如消费者),《中华人民共和国合同法》第三十九条规定了格式条款的定义及使用人的义务,第四十条规定了格式条款无效的情形,第四十一条规定了格式条款在解释时如出现歧义则不利于提供者。审判实践中关于“格式条款”的争议大多集中在两个方面:其一,是否符合格式条款定义,即提供条款一方是否在缔约时相对于对方具有强势地位且未经双方协商;其二,如属于格式条款,那么是否无效,即提供格式条款一方是否免除了己方责任、加重了对方责任或者排除了对方主要权利。因此,本案中,结合实际情况,在责任未能予以区分的前提下,工行丹阳支行直接免除自身责任、加重被上诉人责任、排除被上诉人主要权利,属于格式条款,工行丹阳支行事先未举证证明其已尽到合理的提示和说明义务,故该格式条款应属无效,本案所涉151000元的交易行为不应视为被上诉人刘某露本人行为。
第四,从利益衡量来比较分析,其一,在损失分配方面,如果由上诉人工行丹阳支行先行承担损失,其既具有更强的经济、技术、法律能力进而向有关责任方追偿,也可以通过增加服务成本等形式,在大量的银行持卡人和特约商户之间进行分散,使每位持卡人承担的数额非常微小,从而减除了单个持卡人可能存在的损失风险。其二,在损失处理能力方面,上诉人工行丹阳支行更容易获得产生类似本案损失的成本、频率和原因等详细交易信息,因此上诉人工行丹阳支行明显具有更强的经济能力,可以更有效地控制损失。其三,在损失预防方面,上诉人工行丹阳支行更可以通过采取各种交易技术升级创新措施,来极大地降低损失带来的经济负担。综上,从利益衡量角度来看,对于本案的损失风险,先由上诉人工行丹阳支行承担全部或大部分能更好地保护被上诉人刘某露作为金融消费者的合法权益,同时也有利于促进整个银行卡业务的良性健康发展。
第五,从承担比例来加以分析,由于双方均未能提供充分的证据证明对方在密码使用及密码泄露中存在过错,应当自行承担网上银行密码泄露的风险和损失。根据《中华人民共和国合同法》第一百二十条“当事人双方都违反合同的,应当各自承担相应的责任”的规定,综合考量银行和储户对合同义务的违反程度,根据合同的约定和法律的规定来确定上诉人、被上诉人的实体责任,最终决定上诉人负60%的责任,被上诉人负40%的责任。
“正常情况下,只有同时具备‘正确的卡’和‘正确的密码’两把钥匙,才可以进行银行卡的消费和转账等活动。然而,在目前的科学技术手段下不能够排除不通过交易密码亦能进行交易的可能性,也不能排除整个交易系统存在密码泄露或者被破译的可能性,更不能够排除犯罪嫌疑人通过技术手段获取密码信息的可能性。”因此,一方面储户要保护银行卡相关信息,确保用卡安全;另一方面银行业应提高银行卡保护技术,保证金融秩序的安全、有序运行。
编写人:山东省菏泽市中级人民法院 王群