借记卡伪卡盗刷案件的法律分析

　　案情简介

　　Ａ自然人在甲地的Ｂ银行办理了一张借记卡。某日，该卡账户内存款被他人在乙地的C百货公司使用POS机消费60余万元。A收到交易信息短信提示后立即报案，并到Ｂ银行打印了账户流水清单。经查明，Ａ的借记卡被他人利用伪造的银行卡盗刷。该笔交易收单银行为D银行，C百货公司为D银行的特约商户。目前，此案尚未侦破。

　　A向法院提起借记卡纠纷诉讼，请求B银行赔偿被盗刷的全部资金损失。一审过程中，Ｂ银行提出追加C百货公司和D银行作为共同被告的请求，得到法院认可。一审判决，由Ｂ银行、C百货公司、D银行分别赔偿Ａ资金损失的25%、25%和50%。被告Ｂ银行、Ｃ百货公司、Ｄ银行不服，提起上诉。二审改判，A承担存款被盗刷40%的责任，Ｂ银行承担存款被盗刷60%的赔偿责任，Ｃ百货公司、Ｄ银行不承担责任。

　　主要争议

　　是否追加Ｃ百货公司、Ｄ银行为共同被告

　　B银行认为应当追加。Ｃ百货公司、Ｄ银行对于损害结果的发生存在过错。第一，Ｃ百货公司没有尽到谨慎审核义务。交易发生时，其操作员发现卡片背面无持卡人签名却让刷卡人补签，对于该项大额可疑交易也未向银联致电查询。第二，Ｄ银行没有尽到对特约商户Ｃ百货公司必要的业务培训和监督管理义务。

　　Ｃ百货公司、Ｄ银行认为不应当追加。A与B银行签署了借记卡相关协议，形成合同关系。基于合同的相对性，A与B银行才是本案的诉讼主体，应由其各自承担相应的法律责任。

　　一审法院认为应当追加。第一，Ｃ百货公司收银员在交易操作过程中未认真履行谨慎审查义务，存在重大过错，应当对A的存款损失承担主要赔偿责任。第二，D银行的POS机终端未能鉴别出伪造的借记卡，存在重大过错，也应当对A的存款损失承担赔偿责任。

　　二审法院认为不应当追加。本案系A依据其与B银行订立的借记卡储蓄存款合同所提起的违约之诉，而非侵权之诉，追加Ｃ百货公司、Ｄ银行为被告无事实和法律依据。

　　主要法律关系分析

　　第一，A与Ｂ银行之间构成借记卡储蓄存款合同关系。A在B银行申办借记卡，签署借记卡账户开户及服务相关协议，在双方之间建立起储蓄存款合同关系。在这一合同关系中，A负有妥善保管借记卡及其密码的义务，B银行对A的借记卡账户内存款资金负有安全保障义务；第二，Ｂ银行与D银行之间构成委托代理关系。根据银联会员入网协议，D银行通过其POS机终端接收持卡人借记卡信息，然后通过银联网络将取款信息传递给B银行，B银行对取款信息进行审验后再发送授权支付指令给D银行，Ｂ银行与D银行构成委托代理关系，D银行在授权范围内的行为后果由被代理人B银行承担；第三，Ｃ百货公司与Ｄ银行构成特约商户合同关系。D银行与Ｃ百货公司签订特约商户协议书，即在双方之间建立起特约商户合同关系。在这一合同关系之下，D银行向Ｃ百货公司提供特定数量的POS机终端，并负有对Ｃ百货公司POS机使用人员进行指导、培训和相关管理的义务，Ｃ百货公司有履行相关操作规程、不得泄露持卡人信息、不得截取密码和磁条信息等义务。

　　合同相对性分析

　　从前述可知，本案中A提起对B银行的借记卡纠纷诉讼，实质上是基于储蓄存款合同关系而产生的违约之诉。因此，应当以储蓄存款合同关系的当事人，即A和B银行作为本案诉讼主体。

　　对于Ｃ百货公司和Ｄ银行而言，其与A之间不存在储蓄存款合同关系，A的合同权利不能及于Ｃ百货公司和Ｄ银行，Ｃ百货公司和Ｄ银行也不承担对A的合同义务。Ｃ百货公司和Ｄ银行可能涉及的履约纠纷，只能是基于Ｃ百货公司与Ｄ银行之间的特约商户合同，或者Ｂ银行与D银行之间的委托代理合同而产生，与A没有直接关系，应当作为另案处理。

　　基于必要共同诉讼的分析

　　根据我国《民事诉讼法》及相关司法解释，对于当事人一方或者双方为二人以上，诉讼标的是共同的，法院必须合并审理、合一判决。可见，诉讼标的共同性是必要共同诉讼的前提，该共同性由实体法律关系决定，即当事人之间享有共同的权利或承担共同的义务。这种共同性可以基于特定身份关系、内部不可分割的合同关系、共同侵权行为或共同危险行为而产生。

　　B银行及一审法院均认为，Ｃ百货公司和Ｄ银行对于A的存款损失存在重大过错，应当将Ｃ百货公司和Ｄ银行追加为共同被告，这实际上是依据共同侵权而得出的结论。如果A提出的是侵权之诉，那么Ｃ百货公司和Ｄ银行确有可能因为存在过错而被追加为共同被告，承担连带赔偿责任。但是，在本案中，A是基于B银行未能履行储蓄存款合同的约定，而提出要求B银行承担相应责任，并非基于B银行存在侵权行为而提出诉讼。因此，本案不应以必要共同诉讼将Ｃ百货公司和Ｄ银行追加为共同被告，其也不应承担本案的连带赔偿责任。

　　A与B银行是否应当承担违约责任

　　关于B银行应当承担违约责任争议不大。基于A与B银行之间的储蓄存款合同关系，B银行作为发卡行负有借记卡防伪和资金安全保障义务。他人持伪卡成功消费，B银行未能按照约定尽到资金安全保障义务，应当承担违约责任。而关于A是否应当承担违约责任，则是本案的争议焦点之一。

　　B银行认为A应当承担违约责任。B银行提供了多日的交易录像，显示曾经有多人持A的借记卡凭密码交易。庭审中， A承认曾将借记卡密码告知朋友并请其代为持卡交易。B银行认为，根据储蓄存款合同约定，A应自行设置密码并谨慎保管密码，上述交易录像证明A存在密码保管不当的违约行为，应当对发生的损失承担违约责任。

　　A认为其不应承担违约责任。之前曾将借记卡交付给朋友代为交易的行为，与本次借记卡被盗刷所涉及的密码问题之间并不必然存在因果关系，B银行也没有证据证明本次借记卡被盗刷是A泄露密码所致。因此，A不应对本次借记卡被盗刷的损失承担违约责任。

　　一审法院认为A不应承担违约责任。如果B银行的银行卡系统能够正确识别伪卡并停止交易，无论伪卡使用人是否知道密码都无法完成盗刷交易。B银行的交易系统能否正确识别伪卡是第一位的，持卡人妥善保管密码是第二位的。并且，A泄露密码导致存款损失没有事实依据。因此，A对存款损失无须承担违约责任。

　　二审法院认为A应当承担违约责任。伪卡盗刷交易的完成，既需要银行交易系统对伪卡信息的读入识别，也需要伪卡使用者输入正确密码。A未尽到妥善保管密码义务，也应承担违约责任。因此，由B银行承担60%的责任，A承担40%的责任。

　　银行的违约责任分析

　　B银行应当承担违约责任较为明确。根据储蓄存款合同，B银行未尽到对A所持借记卡账户内存款资金的安全保障义务，对于A存款资金损失应当承担违约责任。

　　A也应当承担部分违约责任。正确输入密码是伪卡盗刷交易成功的必要条件。在涉及到跨行交易时，卡片信息和持卡人所输入的密码都会发送至发卡行的交易系统进行读取、识别和确认，系统校验卡片信息和所输入的密码相符，交易才会成功。一般而言，借记卡持有人有权委托他人代为办理部分银行卡业务，但是其应当尽量减少密码泄露的风险，比如让关系密切的亲属而非朋友、同事等其他人代办业务，或者及时修改密码等。A曾多次委托不同的朋友持卡输入密码代办取款等重要业务，之后也没有及时修改密码。可以认为，A未能充分履行注意义务，大大增加了借记卡密码泄露的风险，无法排除其自身或者知晓其密码的第三人在使用过程中存在不当行为而导致密码泄露的可能性，应当对损失结果的发生承担部分责任。

　　违约责任的分配

　　从技术角度而言，虽然借记卡盗刷案件不少，但是对于特定的伪卡盗刷行为具体如何实现，特别是个案中卡片信息如何复制、密码如何获知等一系列具体情况千差万别，也难以及时查实。因此，准确地量化区分持卡人和发卡银行的责任大小难度很大。

　　实际地考虑，应当结合持卡人和发卡银行各自的安全防范技术水平、诉讼成本承受能力、社会效应等多方面因素综合分析，以对违约责任做出合情合理的划分。首先，从安全防范技术水平来看，发卡银行具有绝对优势，可以通过系统完善和卡片升级等方式，提高交易系统的信息识别能力，增加伪造银行卡的难度，从根本上降低伪卡交易的可能性。而对于持卡人来说，主要是在平时尽量注意防止密码泄露，可以运用的技术手段和水平十分有限。其次，从诉讼成本承受能力来看，相对于持卡人个人，银行作为金融机构在获取证据能力、法律诉讼能力和经济实力等方面具有很大的天然优势，诉讼成本承受力较强。发卡银行在对持卡人承担违约责任后，还有可能向收单银行、伪卡盗刷行为人等要求赔偿。最后，从社会效应来看，一方面，持卡人是金融服务的消费者，由银行承担主要赔偿责任符合保护消费者的取向；另一方面，在有证据证明持卡人存在密码保管不当行为的情况下，由持卡人承担部分责任，也有利于强化持卡人的安全保护意识，从而促进减少伪卡盗刷案件的发生。

　　综上，结合本案双方实际履约情况，由B银行承担资金损失60%～80%的赔偿责任，A承担20%～40%的责任，是较为合理的分配方式。

　　风险防范建议

　　商业银行风险防范建议

　　提高伪卡盗刷风险防范技术能力。一是完善交易系统、交易终端（包括存取款机、POS机）的卡片识别能力，减少伪卡交易操作成功的可能性。二是加快推进借记卡的卡片升级和技术完善工作，例如磁条卡升级为芯片卡的进一步推广，降低借记卡被伪造和复制的风险。三是加强借记卡异地交易动态监测，针对目前伪卡盗刷异地作案多的特点，发卡银行可考虑通过技术手段加强可疑异地交易监控，建立异常账户动态追踪，及时对借记卡持卡人进行短信或电话提醒，向中国银联报送可疑交易信息，为公安机关提供线索。

　　加强对特约商户伪卡盗刷风险管理。在《特约商户协议书》等相关合同中进一步明晰双方权利义务关系，细化业务操作要求，完善对特约商户的管理要求，加强日常的监督、管理和提示，强化对特约商户及其操作人员的培训。同时，对于特约商户在受理借记卡交易操作过程中存在的未认真履行谨慎审核义务、不规范操作等违约行为，应注意保留必要的录像记录、交易凭证记录，以便于依照约定及时有效地处理相关纠纷。比如，本案中的Ｄ银行，如果被另案起诉承担违约责任，则可以依据有关证据及时向其特约商户Ｃ百货公司要求赔偿，从而分化风险、减少损失。

　　持卡人风险防范建议

　　提高警惕，保护个人信息及密码安全。一方面，在日常的终端交易和消费过程中，留意ATM机、POS机是否有异常、被动过手脚，发现可疑设备时停止使用并及时向银行举报；在刷卡消费过程中，留心收银员的操作，确保在自己的监督之下完成刷卡交易，防止银行卡信息被窃取或复制。另一方面，持卡人对于密码应妥善保管，防止密码泄露。交易输入密码时，留意周边是否存在可疑人员，并采取必要的遮挡，防止被他人偷窥或者被摄像头等隐蔽设备记录下密码；在请他人代办业务时尽量将密码泄露风险控制到最小，尽量请关系亲密的亲属而不是朋友等代为办理银行卡业务，在他人代为办理业务后及时更改密码等。本案中，A多次让不同的朋友代为办理银行卡业务，既增加了密码泄露风险，又导致法院认定其未尽到妥善保管密码的义务，从而被判决承担部分责任。

　　增强法律意识，注意获取被盗刷的证据材料。在本案中，A通过短信提示发现借记卡账户异常交易，及时向当地公安机关报案，并在B银行打印该借记卡的流水账单。这些证据有力证明了自己仍持有真实的借记卡和存在伪卡盗刷的事实。在持卡人因伪卡盗刷起诉发卡银行的类似诉讼案件中，部分案件因为持卡人报案时间与资金被疑似盗刷时间相距较长、持卡人无法提供自己在发生资金盗刷时仍持有真实借记卡和自己并未离开当地的证据，从而无法证明存在借记卡被伪造并盗刷的损害事实，只能自行承担资金损失。对此，笔者建议持卡人开通借记卡交易短信提醒服务，随时留意资金变动情况，发现异常及时到就近银行办理查询交易记录或存取款等交易，保留交易凭条，作为自己持有真实借记卡的证据，并将借记卡挂失止付，防止进一步资金损失；同时，尽快到当地公安机关报案，获取回执或受理通知书等文件，作为自己仍在当地且持有该借记卡的有力证明，排除持卡人自身进行异地交易的可能性。