肖飒：借记卡被盗刷到底谁的锅？

　　文/新浪财经意见领袖专栏作家 肖飒

　　切勿躺在权利簿上，睡着了。

　　人在家中躺，祸从天上来。银行卡意外被他人盗刷，责任该由谁承担？

　　1

　　案件事实梳理

　　邱某在某银行申请办理借记卡。不久，其手机收到服务提醒，显示其已成功定制短信过滤服务，当时以为是垃圾短信，未在意。次日，邱某取消短信过滤服务后，收到银行卡交易提示。邱某马上取消订单，并检查发现自己借记卡被盗刷。

　　后经立案侦查，盗刷人员童某非法获取公民个人信息后对数据进行切割、整理，保留原始数据中的移动电话号码、身份证号码、密码等，使用专门的扫号软件，在服务器上用盗取的网银登录名和密码进行自动匹配。

　　选取登录名和密码正确的信息，再使用变号软件用被害人的电话号码拨打通信运营公司客服电话，以被害人的名义在被害人的移动通讯功能中开通短信助手业务，增设短信过滤、短信保管、短信转移等功能。

　　然后登录被害人网上银行主页，输入截取的银行发送的转账验证码，将被害人银行卡账户中的存款转账后予以侵吞。

　　刑事案件审理结束后，邱某收到部分执行款。但仍有较大金额未有偿还。就其余损失部分，邱某以银行作为存款管理方应对储户信息和交易安全予以保障。而银行违反安全保障义务，导致储户金额被盗，银行构成违约，应承担违约责任的理由，向法院起诉。（案件来源：国家裁判文书网）

　　争 议 焦 点：

　　1． 盗刷是代理行为吗？

　　2． 储户有无义务防范盗刷？

　　3． 是否构成表见代理？

　　如何认定盗刷行为

　　储蓄存款合同中，储户将其所有的货币交付给银行，并对银行享有还本付息的请求权。而货币作为一种特殊动产，一旦由储户交付于银行，即与银行所有之其他资金发生混合，从而由银行取得其所有权，储户对银行所享有的权利，系一种债权请求权，而非对其存入银行的若干张特定货币的物上返还请求权。

　　储户持实体卡至柜台、自助终端取款或至商户消费，又或开通网络银行后通过电子指令要求转账、支付等行为，其法律性质均系要求银行履行相应之债务，而银行通过工作人员或机器设备又或电子交易系统向储户交付相应金额，或者执行储户的转账、支付指令的行为，系向债权人履行债务而使相应债权消灭。

　　本案中，童某盗用邱某的网银登录名、密码，截取手机验证码，以此盗刷邱某卡内钱款，其在民事法律关系上的实质，即冒用邱某名义向银行主张行使债权。如有储户以外之第三人冒用该储户名义向银行要求行使债权，对此类冒名行为法律虽无明文规定，但衡量当事人间的利益状态，应可类推适用关于代理行为的条文。

　　代理是民事主体通过代理人实施民事法律行为。除法律规定、当事人约定或者因民事法律行为的性质，应当由本人亲自实施的民事法律行为，不得代理外，其他行为，权利人则可委托他人行使。代理人在代理权限范围内实施法律行为，而代理行为的效果由被代理人承担。

　　根据代理行为是否有权利基础可分为有权代理与无权代理。此外，还存在行为人没有代理权、超越代理权或者代理权终止后，仍然实施代理行为的表见代理行为。

　　有权代理情况下，代理人责任需要被代理人承担毋庸置疑；无权代理，因代理人没有代理权、超越代理权或者代理权终止后，仍然实施代理行为，该行为未经被代理人追认的，则对被代理人（本案中的被代理人为借记卡持有人）不发生效力。

　　表见代理的效果则当依据法律专门规定，《民法总则》第一百七十二条明确，“行为人没有代理权、超越代理权或者代理权终止后，仍然实施代理行为，相对人有理由相信行为人有代理权的，代理行为有效”。也即该条采用的是“相对人是否有理由相信行为人有代理权”这一标准。而关于代理理论的运用，直接关系到责任划分。

　　储户是否需对盗刷承担责任

　　邱某与某银行之间存在签约服务条款。通常而言，所有的凭密交易均视为用户本人行为。对电子交易形式，凭各种安全要素识别是否债权人本人交易，具有合理性，但签约服务并不免除银行作为技术优势一方对异常交易的察觉、甄别和风险控制义务。所谓凭密交易视为本人行为，须以银行已尽一切技术手段审慎核查各项安全要素为前提。若银行未能识别异常交易，草率认定安全要素，自不得援引该条款对抗债权人。

　　邱某于收到短信过滤服务的通知后，于次日取消该过滤服务，及时向公安机关报案、取消消费订单等，已尽到其基本的谨慎注意义务。

　　刑事判决查明，犯罪分子利用非法获取公民个人信息和使用专门扫号软件进行自动匹配，选取登录名和密码正确的信息，再进一步实施其他犯罪行为最终将被害人银行卡账户中的存款转账后予以侵吞。

　　此过程中数据自动匹配俗称“撞库”，对象是银行电子登录系统。当某银行电子银行登录系统遇到此类异常数据请求时，不能识别，无及时合理的防范和应对，客户资金安全即面临风险，最终邱某因此遭受资金损失。

　　网络交易有风险，但风险原则上应当分配于对该风险更有控制力的一方，始能促其防范风险、避免损害。就本案而言，相对于个人储户，某银行显然更有技术能力对异常交易行为进行识别和防范，将风险分配给银行，有助于促使其致力于技术升级，避免损害的再次发生。

　　相反，若将风险分配给个人储户，则不仅无助于技术革新，更可能使公众丧失对新兴交易方式的信心，于社会进步无益。即从风险分配的角度，银行则需承担更多的安全保障义务。

　　关于安全校验技术问题还交由安全工程师处理。但若银行已尽到行业内足够的安全保障义务，则法律不再强人所难。

　　我们注意到，邱某之所以被“撞库”盗刷，也是因为其注册在多个网站、多个账户中的账号密码均相同。银行提示诸位持卡人办理个人电子银行业务的密码应不同于其他用途的密码，还提请读者注意留心。

　　银行是否需对盗刷承担责任？

　　结合上文中的“代理”理论，银行银行如欲主张其向冒名之人履行债务的行为已使储户的相应债权消灭，进而无需再向储户履行给付义务的，则应举证证明系争冒名行为符合表见代理之要件。

　　反之，若银行向冒名之人清偿债务的行为无法受表见代理制度保护的，则该清偿行为的法律效果不能归于储户，储户对银行的债权不因此而受减损，银行仍应向储户履行债务。

　　而是否符合表见代理之要件，属于事实行为。需要案件审理细节来看。

　　（1）并无证据证明因邱某自身的行为而导致第三人具有代理权或可以代表邱某行使权利的外观。

　　（2）就某银行是否有理由相信该第三人可以邱某名义行使权利而言

　　① 根据邱某提交的录音证据，对于登录网银的手机与用户手机是否同一设备，某银行有技术能力进行识别；

　　② 犯罪分子利用其获取的大量用户信息，从同一IP地址或使用同一手机设备尝试登录众多用户的网银，某银行对此异常情况应当能够察觉；

　　③ 根据公安机关对犯罪分子童某的讯问笔录及某银行陈述，网银登录界面的验证码本应确保登录者系手工操作，排除软件自动登录，但某银行设置的验证码却能被犯罪分子使用软件自动识别，使冒名盗刷更为便捷，而某银行对此却未能及时察觉。

　　综合以上事实，法院最终裁判，某银行向冒名第三人清偿的行为在本案情形并不能受表见代理制度的保护，因此不能免除某银行对真实债权人邱某的义务。

　　也即，银行应当向邱某赔偿本金，且邱某将其资金储蓄于银行，本可随时要求提取，但某银行却以已经向第三人清偿为由，拒绝向邱某清偿债务，构成违约，银行也应当赔偿因其违约而造成的债权人损失。

　　通过案例，我们可发现日常实操中的疏忽与纰漏，进而减少不必要的纠纷与争议，前车之鉴，莫要重蹈覆辙。

　　以上就是今天的分享，感恩读者！

　　(本文作者介绍：北京大成律师事务所执业律师，兼任北京市网贷协会法律顾问，主要从事互联网金融法律工作。)