近日,市民李某到银行柜台办理业务时发现,自己的银行卡内突然少了1万5千余元,遂查询交易记录,获知3月中旬其银行卡账户被转走19笔款项共计15300元,而这些交易均不是其本人所为。李某意识到可能被他人非法盗刷了银行卡,立即向当地公安机关报案。
公安机关侦查发现,上述19笔转账均由广东的IP地址登陆网上银行操作实施,而李某事发时本人一直在山东,由此初步判断这是一起盗刷银行卡的犯罪案件。因犯罪分子采用了一定的网络科技手段窃取持卡人信息,犯罪方式较为隐秘,故一直未能追回款项。李某认为,银行未能采取有效措施保护储户信息安全和资金安全,应当赔偿其损失,据此向法院起诉。
日照市岚山区人民法院审理查明,李某2012年办理银行卡后就开通了手机银行和短信服务;涉案的19笔转账发生时,银行未向李某手机号发送过验证码和提示短信,一审审理后支持了李某的诉求。银行不服提出上诉,日照市中级人民法院亦认定银行应赔偿李某损失,作出驳回银行上诉、维持原判的终审判决。
法官说法
《中华人民共和国合同法》第六十条第二款规定了合同当事人的附随义务,即当事人应当遵循诚实信用原则,根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。具体到银行与储户之间,银行应保障储户个人信息、密码等私密信息的安全,从而确保储户能够有效地使用和兑付资金。随着互联网技术的发展,利用银行卡进行互联网转账和支付的情况越来越普遍,这种不以银行卡作为交易介质模式,在带来交易便利的同时,也加大了交易的风险。发卡银行更负有告知银行卡是否具有网上支付功能、交易规则、交易风险以及法律责任的义务。为此,中国银监会公布的《电子银行业务管理办法》第三十九条规定,金融机构应向客户充分揭示利用电子银行进行交易可能面临的风险。中国银监会《关于做好网上银行风险管理和服务的通知》第三条亦规定,金融机构要加强网上银行安全防范,及时对客户进行风险提示。本案中,发卡银行未能提供充足证据证明已对李某进行了银行卡网上交易的风险提示。
《电子银行业务管理办法》第三十八条规定,金融机构应采用适当的加密技术和措施,保证电子交易数据传输的安全性与保密性,以及所传输交易数据的完整性、真实性和不可否认性。中国人民银行公布的《电子支付指引(第一号)》第二十八条规定,银行应与客户约定,及时或定期向客户提供交易记录、资金余额和账户状态等信息。而本案中,对于3月中旬李某账户通过网上银行进行的转账和支付,发卡行不能证明已通过短信服务平台向李某手机号发送过验证码和相关提示信息。《电子银行业务管理办法》第三十七条第(二)项规定,以开放型网络为媒介的电子银行系统,金融机构应合理设置和使用防火墙、防病毒软件等安全产品与技术,确保电子银行有足够的反攻击能力、防病毒能力和入侵防护能力。第四十三条规定,金融机构应建立电子银行入侵侦测与入侵保护系统,实时监控电子银行的运行情况,定期对电子银行系统进行漏洞扫描,并建立对非法入侵的甄别、处理和报告机制。据此,发卡行对其手机银行系统运行中的安全隐患,应进行及时地排查与处理。
涉案发卡银行未进行银行卡网上交易的风险提示,亦未按照约定以短信方式提供交易验证、资金余额和账户状态等信息,且不能证明对手机银行系统的安全运行进行了有效排查,其并未履行开卡行所应负有的合同附随义务。对于李某银行账户被非法转账和支付所造成的财产损失,发卡行应承担违约赔偿责任。
至于李某的手机银行APP可能因遭到网络攻击而造成信息泄露,但第三方的违法行为并不能成为银行的免责事由。根据《中华人民共和国合同法》第一百二十一条的规定,当事人一方因第三方的原因造成违约的,应当向对方承担违约责任,当事人一方和第三方之间的纠纷,依照法律规定或者按照约定解决。发卡银行在本案向李某承担违约赔偿责任后,可向违法犯罪的第三方依法追偿。
法制网讯 记者 徐鹏 通讯员 胡科刚