一、盗刷交易的责任主体
银行的业务规则主要根据交易发起场景、验证责任的完善等进行责任判定,在发卡机构和收单机构之间寻求责任兜底方;而发卡机构与持卡人之间的责任判定则是盗刷司法案件的主要争议点,司法机关会根据合同法、商业银行法等法律规定,对相关过错责任进行综合判定。
二、盗刷交易的判定
在盗刷交易中最常见的形式是伪卡盗刷,伪卡交易中存在物理介质,持卡人主张且可证明卡片发起交易的时间以及卡片由本人保管,未经丢失或被盗。在银行卡账户发生交易时,有证据证明或者依据常理推断持卡人未在该时该地交易的,是银行和法院最常见的伪卡交易认定形式。在伪卡交易中,法院通常认为银行作为专业金融机构,对客户的银行卡账户资金负有安全保障义务。银行应承担提高风险防范能力、不断完善技术设备和提升银行卡防伪能力的职责。银行未能保障卡片的安全性能,对伪卡交易未能有效识别,最终导致银行卡被伪造并造成盗刷交易,应由银行负主要责任。在银行业所遵循的卡组织差错规则下,通常也认为发卡机构需要承担伪卡交易损失的风险。除非存在特殊情形,例如,收单机构涉嫌在收单业务中存在严重违规行为,收单商户入网信息不真实或不完备等,经发卡机构调查举证,可通过差错争议业务实现交易损失责任转移。当前,各卡组织均在积极推广芯片卡,基于卡片部分信息难以被读取和复制的特点,芯片卡的安全性大大提高,因此,通过芯片卡完成的交易通常不被银行认定为伪卡交易。通过案件研究发现,在某些地区的司法判例中,法院通常会依据芯片卡难以被复制这一特殊性作出判决。例如,在一起司法判例中,持卡人声称被盗刷交易是通过芯片卡完成。法院认为,芯片卡的安全系数高于一般的磁条卡,且银行在涉案交易发生后及时通过短信向持卡人作出交易提示,履行了储蓄存款合同约定的安全保障义务。在持卡人未能提供证据证明涉案交易为伪卡交易且银行存在过错的情形下,不支持资金损失由银行负责。
三、盗刷交易的信息验证
通过查阅各银行官方发布的章程或领卡合约可以发现,当交易以密码或其他验证方式完成时,均被银行视为持卡人本人的交易,即持卡人具备妥善保管其密码的义务。但在伪卡交易中,即使是正确输入密码完成的交易,法官通常也认为银行应承担主要责任,除非银行可举证信息或密码泄露系因持卡人未能妥善保管银行卡或密码所致。但是不基于物理卡介质的线上消费,通过验证持卡人的个人信息、预留手机、动态密码等完成的交易,在发生盗刷的情形下,法官则有可能认为持卡人未尽妥善保管的义务。
四、思考和建议
通过以上案例可以看出,司法机关一般认为银行有保障持卡人资金账户安全、提升银行卡防伪能力的义务,因此对于伪卡盗刷交易,通常判定由银行承担全部或部分责任,但是综合银行卡伪造难易程度以及银行举证持卡人未尽到妥善保管个人信息义务等情况,司法机关也会判定持卡人承担部分或全部盗刷责任。 因此,银行在指定盗刷交易处理规则时,不能仅凭物理卡片介质信息简单判定银行和持卡人的责任归属,而应综合考虑卡片介质、交易场景、持卡人信息保管情况等条件进行判断。业务规则的完善可以有效降低盗刷司法成本,减少相关客户投诉,提升银行的企业形象。上述司法实践的判决反映出银行在交易举证方面存在漏洞,故银行应完善交易步骤,在每个验证环节做好信息采集和数据监控工作,减少在司法案件中因举证不足而产生的损失。为减少此类争议的产生,银行应从交易源头降低卡片盗刷风险。根据银行与持卡人的合同,银行有保障持卡人账户资金安全的义务。因此,银行应提升自身技术,在持卡人身份验证等方面不囿于传统短信及密码验证,可引进生物验证等技术,避免因为信息管理问题而造成的盗刷交易。同时,银行应尽到交易提醒义务,对疑似盗刷类交易进行有效识别,并及时提醒持卡人,使之避免因信息不对称而造成的账户资金损失。
作者:范洁 郭颖彬 马聪敏 单位:中国光大银行信用卡中心运营管理部