一、问题的提出:银行卡线上盗刷案件中举证责任应如何分配
(一)判例的观点:银行需证明已合理履行安全保障义务
梁某在银行办理了一张银行卡(设有密码),该卡账户交易记录显示:2015年1月14日至16日期间,通过“工银e支付”发生3笔消费,金额合计3000元;通过第三方支付(掌钱)转账4笔款项,金额合计16200元,收款人均为他人。梁某认为交易并非本人所为,遂向公安机关报案,并诉至法院,请求银行赔偿存款损失19200元及利息。
一审法院判决驳回了梁某的诉讼请求,认为开通工银e支付功能需要申请人提供银行卡号、网银登录密码、预留手机号和短信验证码,进行工银e支付消费需要申请人提供银行卡号、e支付绑定的手机号及支付验证码;第三方支付需要个人身份信息、银行卡号、银行卡密码、设置支付密码以及银行预留手机号方能注册和支付。梁某的银行预留手机号码和收取短信验证码的手机号码均为其手机号。梁某向银行申请开立网上银行、手机银行业务,并承诺遵守相关业务章程、服务协议,根据《中国银行借记卡章程》和《中国银行电子银行个人客户服务协议》约定,持卡人须妥善保管银行卡和密码、电子银行注册卡号(账号、登录ID或注册手机号码)、电子银行口令卡、U盾、工银电子密码器及接收短信认证和工银e支付信息的手机。即是说,相关信息应由持卡人自行持有并尽妥善保管的义务。根据客户服务协议,银行根据持卡人的电子银行业务指令办理业务,对所有使用持卡人在银行设定的身份标识信息(包括账户账号、卡号、电话或手机号码、客户名称、终端设备信息等),并按照持卡人在银行设定的身份认证方式(包括密码、客户证书、动态口令等)通过身份验证的操作均视为持卡人所为,网上操作所产生的电子信息记录均为银行处理电子银行业务的有效凭据。申请人一旦输入上述有效信息,银行即将操作视为持卡人本人所为,并根据申请人的指令进行相关划款。梁某主张银行未尽妥善保管存款的义务,存在违约或过错,缺乏事实与法律依据,应不予支持。(1)
梁某不服一审判决,提起上诉。二审法院经审理后,判决撤销一审判决,判决银行赔偿梁某七成经济损失即13440元及相应利息。二审认为,按照我国《合同法》第一百零七条、第一百二十条的规定,如果合同履行过程中基于双方共同违约所造成的损失,应当据实分担损失。梁某卡内存款损失系通过“工银e支付”消费和掌钱转账方式而产生,根据流程规则,消费或转账成功均需要银行卡密码、网银登录密码和验证码完全正确。由于银行卡密码和登录密码为梁某掌握,根据日常生活经验法则判断,其个人私密信息、银行卡密码因本人不够谨慎发生泄露,故梁某对于款项的损失有不当之处。但如果银行的验证码能够正常发送至梁某的手机,不被病毒软件拦截,梁某的款项便不会发生损失。本案虽然银行已向梁某的手机发出了验证码信息,但梁某的手机并未收到,且相关证据显示客户短信已被拦截,导致梁某手机无法收到消费和转帐的短信验证码,进而导致存款损失,表明银行在履行合同过程中未正确尽到通知义务,存在违约行为。故梁某的存款损失系梁某和银行的共同违约所致。考虑到银行作为以营利为目的的商事主体,在向持卡人提供服务的过程中,更有能力预防和避免不法分子通过科技手段来侵害金融服务系统,以保障持卡人的资金安全,故根据公平和诚实信用原则,应对存款损失承担相应的赔偿责任。(2)
同类案件,法院对于银行的责任还作如下评述:一、银行虽举证证明其已向持卡人的手机发送验证码短信,但从目前的社会发展情况和网络通信技术水平来看,短信发送行为不足以说明验证码短信已经到达持卡人的个人手机,不排除他人恶意拦截的可能性,以验证码方式保护结算账户的资金安全也可能存在风险问题,银行发送验证码短信的行为不足以证明其履行了安全保障义务;银行在为持卡人提供网上转账交易方式的同时,未尽提供与之相应的必要的安全、保密交易环境、程序的附随义务,其须对持卡人的资金损失承担相应的赔偿责任。二、根据《中国银监会、中国人民银行关于加强银行与第三方支付机构合作业务管理的通知》的有关规定,银行应对持卡人的银行卡帐户资金进行实时监控,并对持卡人通过第三方支付公司进行的交易建立监控机制,发现和处置异常行为、套现或欺诈事件,银行应对持卡人的帐户异常、套现或欺诈事件等事实承担举证责任。银行未能提供网上交易发生地点、资金去向及流转等证据,应承担举证不能的法律后果。(3)
(二)银行的观点:证明责任过于严苛
对于银行卡线上盗刷案件,以往法院多以持卡人未能提供充分证据为由,驳回其诉讼请求,(4)判决银行承担一定责任的案件并不多。(5)随着时间的推移,开始出现法院以银行未尽安全保障义务为由,判处银行对持卡人的存款损失承担主要责任。(6)虽然当事人在案件终审后能偃旗息鼓,但他们都想刨根问底,弄清线上盗刷的过程。尤其是银行,其认为在网络支付安全保障措施上,银行已为用户的存款设置了不止一道的“防盗门”,然用户若将大门钥匙“交给”他人,那么不论大门的安全系数有多高,门总会被打开。银行还认为,在电子支付中,银行支付系统只会识别交易指令的“对”与“错”,在指令正确的情况下,支付系统不可能对发送指令人的身份进行识别。作为法官,也经常纠结于按照民事诉讼证据规则作出的裁判,是否符合电子支付的交易规律,在判定银行是否已尽对存款的安全保障义务上,标准是否合理。
(三)学界的观点:证明责任应符合电子支付的交易规律
银行卡交易包括柜面、ATM机、电话和网上银行等交易方式,不同的交易模式差异,银行履行注意义务的难度有所不同,在柜面交易相对比较容易,而在其他交易中则比较困难,尤其是在电话和网上银行业务中根本无法审查身份证件和银行卡。(7)
我国《电子签名法》第九条第(三)项规定:“收件人按照发件人认可的方法对数据电文进行验证后结果相符的。”视为发件人发送;第十四条规定:“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”故有观点认为,只要客观上在电子银行交易中使用了密码,如无免责事由,则视为交易者本人使用密码从事了交易行为,本人对此交易承担相应责任,除非有密码使用涉及的软件密级程度过低、失窃失密后及时向银行挂失、操作系统受到黑客攻击等情形。(8)
根据电子支付流程,银行卡网上消费或转账需要银行卡密码、交易密码和验证码完全正确,方能交易成功。银行接受正确的支付指令,若属于善意不存在过失的,出于密码交易的有效性,应视为银行正确履行了合同,银行进行的付款行为具有民法上的履行效力,根据表见代理理论,无权处分不必然导致行为无效。按照“外观主义原则”,如果无受领权人在外观上给人以受领权的表象,则会产生履行人的履行行为有效的效果,产生债务人清偿债务的效力。(9)
电子签名的法律效力和外观主义理论的适用,在一定程度上影响着线上支付案件的举证证明责任,在银行提供证据证明支付系统符合《电子银行安全评估指引》的要求时,持卡人若不能提供其他免责的证据,将面临不利的诉讼后果。
二、银行卡线上盗刷案件举证现状剖析
银行卡线上盗刷案件证明难度极大,其中涉及大量网络信息与相关电子数据的调查,科技性含量高且需要包括电信部门、银联组织、非金融支付机构等案外人的大力配合,其间还必须兼顾相关公民隐私权的保护,不得不说此类案件的证明实在是步步维艰。
(一)缺乏证据以至事实难以认定
按照我国《民事诉讼法》对于举证责任的一般规定,银行卡线上盗刷案件中,作为原告的持卡人应当证明其银行卡被他人盗刷的事实。然而此类案件整个交易过程皆发生在网络之上,即便是持卡人所能提供的直接证据也不多,因此绝大多数案件起诉时持卡人只能提供个人身份资料、银行卡、账户流水清单、报警回执等证据材料,其他能够证明存在线上盗刷事实的证据材料基本无法提供。因此,受接触证据范围所限,原告方基本无法知悉持卡人的个人资料、银行卡信息、密码的泄露过程,更遑论提供证据进行证明。值得一提的是,当支付环节涉及非金融支付机构如第三方支付公司时,还要查明第三方支付公司与银行之间的关系、第三方支付公司履行职责的情况。绝大部分的案件如果不向银联组织、电信部门、非金融支付机构调查核实,根本无法查清事发真相。然相关的协助查询部门并非案件当事人,配合法院调查的积极性尚且不高,一些部门甚至以法院调查不符合《宪法》规定,(10)不予配合。一般公民若要从中获得证据,更是困难重重。因此,遵循“谁主张谁举证”的一般证据规则,将举证责任归于原告,很可能导致维权无门的境地。
(二)难以发现被盗刷的过程以至于无法及时获取证据
银行卡线上盗刷属于电子支付交易,互联网领域涉及专业技术性问题较多。持卡人使用手机误入钓鱼网站或点击带有恶意软件的手机短信后,其个人资料和银行卡信息随即可能发生泄露。现实中发现,不法分子利用获取的持卡人个人资料和银行卡信息,登录支付网站,修改用户的银行预留手机号,达到“接管”用户银行卡账户的目的,继而截取交易验证码,实施线上盗刷行为。其修改用户的银行预留手机号,造成持卡人无法接收到交易验证码和账户余额提示短信,延误了保全证据的时间,事实还原困难。以移动支付为例,持卡人初次注册只需提供银行卡号、户名、手机号码和银行卡密码等信息,经银行验证正确即可实现手机与账户的绑定,再次使用时不需重复输入银行卡信息,只需通过短信验证码即可完成支付。在手机银行这类通过移动终端完成交易的电子支付中,很难跟踪支付指令的发送坐标,无法以“时空间隔不合常理”来判断线上支付是否涉及盗刷行为。
(三)涉案电子证据科技性强,收集与认证难度大
在银行卡线上支付交易中,支付指令的发送、接收、信息确认,均是通过数据传输方式完成,整个流程以电子数据形式展现为主。电子证据相比于传统证据具有高科技性、易损性、隐蔽性等特征,证据采集、固定和认证的专业性较强,一般人员很难取证。客观存在的电子证据如未能详尽呈现于法庭,造成许多与法律责任认定有关的事实无法形成完整的“证据链”,案件事实不清。在司法实践中,往往出现法庭将举证责任分配给谁,谁就面临举证不能的败诉风险。
(四)现有法律规范缺失,举证证明标准界定不明
至今为止,立法机关尚未制定调整线上支付纠纷案件的法律法规或司法解释。现用于规范线上支付业务的主要规范是中国人民银行制定的《电子支付指引(第一号)》、《非金融机构支付服务管理办法》及其实施细则,这些规定属于部门规章,法律位阶不高,对于解决线上支付纠纷案件的举证责任问题,没有具体规定。法官在处理该类案件时,受价值取向和利益衡量的影响,对举证证明责任的认定标准难统一,同案异判现象时有发生。
三、线上电子支付案件的举证责任分配规则的重构
在分配线上电子支付的证明责任之前,应对相关的支付流程有所了解,以便可以根据不同的交易环节和风险点,适用民事诉讼证据规则,分配举证责任。
电子银行业务流程,(11)开通网上支付功能,这是银行卡进行网上支付的第一步骤。线上电子支付交易的业务种类主要有网上银行、电话银行、手机银行以及其他利用电子服务设备和网络,由客户通过自助服务方式完成金融交易的银行业务。不论哪种支付模式,使用银行卡进行线上电子支付,通常需要经过两个环节:一是申请开通网上支付功能;二是进行网上支付操作。在这两个环节中,涉及的支付风险包括系统风险和操作风险。若属于系统风险,由于支付系统是由系统提供者负责,故系统安全与否、是否存在漏洞等事实,应由系统提供者承担主要举证责任;若属于操作风险,由于操作行为属于行为人作出的意思表示,故操作过失的事实,应根据谁操作谁负责的原则,由行为人承担举证责任。因此,我们认为在银行卡网络盗刷案件中,举证责任的分配不应一概而论,而需要根据不同的交易环节和风险点,适用民事诉讼证据规则,有针对性地明确举证责任之归属。
(一)举证责任分配规则
线上电子支付并未改变银行与持卡人之间储蓄合同关系的权利义务,持卡人仍负有妥善保管银行卡及其密码的义务,银行则对持卡人的银行卡帐户内存款资金负有安全保障义务以及谨慎审查电子交易信息的义务。在该类案件中,持卡人是否泄露了银行卡密码和线上支付是否本人或授权交易是案件审理的难点。由于民事诉讼查明事实的手段有限,案件的一些关键事实根本无法查清,比如银行卡信息和密码究竟是如何泄露的,持卡人是否与盗刷者存在共谋而报假案,法院只能依据证据优势原则和分配举证责任认定事实,法院查明的法律事实远没有接近客观事实。(12)但是法院对案件不能拒绝裁判,故确定合理的举证责任分配规则,显得尤为重要。线上电子支付交易有其不同于传统交易模式的业务环境和运行方式,在处理民事纠纷中应建立与之相适应的举证责任规则。
1.初步证明责任遵循“谁主张谁举证”的举证原则
银行卡线上盗刷案件属于一般侵权案件,当事人首先应当按照《民事诉讼法》的“谁主张谁举证”基本举证原则,对自己的主张和抗辩意见提供相应证据予以证明。作为持卡人,起诉时应当按照《民事诉讼法》有关规定,(13)提供侵权事实发生的证据,以证明其民事权利受到侵犯;作为银行,应提供其支付系统符合技术规范,不存在安全漏洞的证据,以证明其履行了存款安全保障义务。
2.银行卡密码发生泄露的证明责任适用“推定法则”
如上图所示,凡进行线上电子支付,银行卡密码的输入是必经环节,即便一些快捷支付服务无需输入密码,但在注册开通快捷支付前,仍需要凭银行卡密码办理。由此可见,银行卡密码是线上电子支付的一把“钥匙”。在银行卡密码的保密问题上,银行与持卡人任何一方证明对方泄露了密码,都能够以此要求对方承担相应的责任。但在没有证据证明对方对密码的泄露存在过错的情况下,基于密码是由持卡人自行设定和保管,具有唯一性和私密性。从现有技术看,银行卡密码一经设定,非经复杂的破译程序不可再现。根据证据持有人负有举证责任的原理,应由持卡人举证证明银行对密码保管不善的责任,如不能举证,则根据生活经验法则,推定持卡人因密码保管不妥导致泄露,存有过错责任。
3.线上支付是否本人或授权交易的证明责任适用“举证责任倒置”
在互联网金融中,银行和其他网络服务提供者控制着大量与交易有关的数据信息,这类信息非一般人员能获取。基于电子银行业务数据由银行保存(14)和解决金融消费者维权成本高的考量,有必要对线上支付安全性的证明问题采取举证责任倒置规则,以缓解金融消费者的举证证明难题。由提供网络金融服务一方即银行,对其支付行为无过错的事实承担举证责任,可较为彻底的解决持卡人在专业性、技术性较强的案件中的举证困难。
(1)举证责任倒置的必要性
网上支付交易涉及利用互联网技术和信息通信技术实现资金融通、支付等新型金融业务模式。在诉讼中,法官对当事人科以举证责任时,应当是占有或者接近证据材料,有条件并有能力收集证据的一方当事人,否则,由远离证据材料,又缺乏必要的收集证据的条件与手段的当事人负举证责任是不公平的。(15)电子证据具有高科技性、易损性、隐蔽性等特征,完整、真实和不可否认的传输交易数据具有证据的证明力。司法实践中需要解决电子证据的收集、固定和确定其内容保持原有状态的问题。对于证据收集渠道,需要根据电子数据的传输痕迹,由数据交换接收系统的系统管理方提供;在证据固定方面,需要通过一定的形式如公证或专业机构认证,实现电子证据向“有纸化”的转化。这些工作,作为金融消费者的持卡人,受客观因素和举证能力影响,往往难以收集、固定这类证据。因此,有必要对该类案件的某些交易环节采取举证责任倒置。
(2)举证责任倒置的可行性
随着大数据技术的运用和信息化建设的推进,各系统各部门逐步实现资源共享,从举证能力的角度考虑,银行有能力凭借自已的数据系统,收集到相关数据信息和实时分析,由此获得仅凭直觉难以发现的有用信息,进而揭示数据背后的规律,分析持卡人的消费规律和用卡习惯,对异常交易及时发现和预警。而且,根据最高人民法院印发的《关于审理银行卡民商事纠纷案件若干问题的座谈会纪要(讨论稿)》,其中第三条第(八)项规定了关于“客户未经网上银行登录进行网上支付发生的交易,持卡人不得以此拒偿因使用银行卡交易所产生的债务”格式条款的效力,指出银行卡领用合约约定,对于客户未经网上银行登录进行网上支付发生的交易纠纷,银行不负任何责任,客户不得以此拒偿因使用银行卡交易所产生的债务,但有证据证明该网上支付交易不是持卡人本人或者授权交易,且发卡行无证据证明持卡人对该交易具有过错的,对于发卡行关于其不承担该交易责任的请求,人民法院不予支持。可见,审判机关对持卡人在线上盗刷中是否存在过错责任的问题,亦是采取过银行负责举证的原则。
(二)持卡人的举证责任
1.银行卡原件,以证明持卡人是与本案有直接利害关系的公民;
2.银行卡账户资金流水清单,通过清单上的资金减少、资金划转时间、收款人或商家名称等记录内容,证明交易异常,发生侵权事实;
3.银行卡挂失记录,报警回执、向银行或第三方支付平台申请冻结账户等凭证,以证明线上电子支付行为并非本人所为;
4.立案决定书、刑事判决书,以证明犯罪嫌疑人实施了银行卡线上盗刷行为的事实;
5.手机通话记录、短信记录或网页截面,以证明持卡人遇到电信诈骗,点击打开过带有木马病毒的短信、登录过钓鱼网站,以证明持卡人曾经遇到诈骗;
6.持有预留手机号码的手机,以证明持卡人履行了妥善保管移动支付终端的义务。
(三)银行承担的举证责任
1.持卡人开通线上电子支付功能的证据。如持卡人填写的开卡申请表、持卡人申请开通线上支付功能的客服录音或操作网页截图,以证明银行已向用户履行线上支付风险问题的告知义务;(16)
2.对电子银行服务协议的责任减免条款已作明确说明义务的证据。银行应对服务协议中有关用户权利义务的条款予以说明和解释,尤其是有关银行方面责任减轻和免除的格式条款,以证明服务协议相关条款具有法律效力;
3.持卡人未尽妥善保管银行卡信息的证据。线上电子支付不需要实体卡作为接触介体,需要的银行卡信息主要为卡号、有效期、CVV校验码等,而这些信息记载于卡片表面,具有开放性,即便持卡人谨慎用卡,“有心人”也可以通过摘抄、复印、拍照、记忆等方式获取这些信息,故该些信息发生泄露,需要区分是否存在持卡人主观上可非难的情况。若持卡人否认未尽妥善保管该些信息时,按照“证有不证无”的基本证明原则,银行应对持卡人未尽妥善保管银行卡导致银行卡信息发生泄露的事实承担举证责任。(17)
4.交易验证码短信已到达持卡人预留手机的证据。银行应提供其支付系统向持卡人预留手机号发出验证码短信,且该短信已到达该预留手机号的证据,以证明银行在接受支付指令的过程中不存在过失;
5.线上电子支付流程符合行业标准的证据。银行应根据持卡人发送的支付指令办理业务,对所有使用持卡人在银行设定的身份标识信息(包括账户号、卡号、电话或手机号码、客户名称、终端设备信息等),并按照持卡人在银行设定的身份认证方式(包括密码、数字证书、动态口令等)进行身份验证,以证明银行可以依照技术规范将操作视为持卡人本人所为,构成外观效力的有效抗辩;
6.银行与第三方支付平台合作的证据。在涉及第三方支付平台的线上电子支付中,银行应提供其与第三方支付平台签署的合作协议、第三方支付公司的经营资质、安全评估等级证书等资料,以证明银行履行了对第三方支付平台安全性审查的义务;
7.已实施防止损失扩大的证据。中国银监会、中国人民银行发出的《关于加强银行与第三方支付机构合作业务管理的通知》的有关规定,银行应对持卡人的银行卡帐户资金进行实时监控,并对持卡人通过第三方支付公司进行的交易建立监控机制,发现和处置异常行为、套现或欺诈事件,银行应对持卡人的帐户异常、套现或欺诈事件等事实承担举证责任。据此,银行应对其未及时发现和处置异常行为所导致的存款损失部分承担举证责任;
8.其他有关银行履行了安全保障义务的证据。如对于收到更改银行预留手机号码的申请时,银行已扩大审核范围,核实用户身份,充分进行了身份验证,以证明银行已尽商事主体的合理注意义务,防止他人利用持卡人的信息登录支付系统篡改用户预留手机号,截获交易验证码并实施侵权行为。
(四)未能完成举证证明责任的法律后果
《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第九十条第一款规定:“当事人对自己提出的诉讼请求所依据的事实或者反驳对方诉讼请求所依据的事实,应当提供证据加以证明,但法律另有规定的除外。”第九十一条规定:“人民法院应当依照下列原则确定举证证明责任的承担,但法律另有规定的除外。”此表明当事人对自己提出的主张,除按照《民事诉讼法》第六十四条规定,有责任提供证据以外,还要求所提供的证据具有证明力。在银行卡线上盗刷案件中,持卡人和银行如没有证据或者证据不足以证明当事人的事实主张的,按照《最高人民法院关于民事诉讼证据的若干规定》第二条第二款的规定,将由负有举证责任的当事人承担不利后果。
结语
在无纸化的线上电子支付案件中,证据的来源和收集具有多样性和复杂性,当事人充分举证对查明案件事实起着关键作用。虽然从案件类型看,线上电子支付案件属于一般民事纠纷案件,举证规则仍在民事诉讼证据制度的框架内运行,但线上电子支付模式不同于传统的支付模式,在分析民事诉讼的举证证明责任时,需要结合具体民事行为的特点,才能掌握好证明责任的尺度和边界,避免因感情用事而造成举证分配不公,导致裁判结果失当。