银行对网上银行业务客户资料负有安全保障义务

岳阳律师为您普法：HTTP://WWW.FABANG.COM/yueyang/

1

裁判要旨

涉银行卡网络盗刷案件中，生效刑事判决确定案涉交易系犯罪分子采用新型犯罪手法盗取账户资金的非授权交易，在无证据证明持卡人有可归责事由的情况下，银行未尽安全保障义务的，应对被盗刷的款项承担赔偿责任。

2

基本事实

2011年4月24日，原告丁某在被告甲银行处开立储蓄账户并领取储蓄卡。2015年9月16日7时29分至7时35分，原告账户使用短信验证码转账功能共向户名为章某的他行账户转账104,750元，同日7时49分许原告口头挂失该卡，并至上海市公安局黄浦分局经侦支队报警。经刑事案件调查，网银账户资金系犯罪分子通过非法渠道获取大量包含公民个人信息的数据，采取“撞号”手法，利用扫号软件批量尝试登陆他人网银账户，试出正确相匹配的登录名及密码。然后通过变号软件拨打通讯运营商客服电话，为他人手机开通短信过滤、短信保管等功能，再登录其网银，输入截取的银行转账验证码将其账户中的钱款转走。原告认为被告对网上银行交易的安全保障存在严重疏漏，应对原告的资金损失承担赔偿责任。被告辩称不存在违约行为，其是在验证转账所需安全要素后才进行的划款，已尽安全保障义务，原告违反信息保管义务，被告不应承担赔偿责任。

3

裁判结果

上海市黄浦区人民法院于2019年1月8日作出（2018）沪0101民初1312号民事判决：被告甲银行应赔偿原告丁某资金损失及相应利息损失。宣判后，被告甲银行提出上诉。上海金融法院于2019年5月17日做出（2019）沪74民终200号民事判决：驳回上诉，维持原判。

4

裁判理由

法院认为，甲银行向冒名者的付款行为不能产生清偿效果。在储蓄存款合同关系中，发卡行负有向持卡人提供安全用卡环境的义务，持卡人则负有妥善保管银行卡卡号、密码等银行卡信息的义务。即便丁某在其他网站使用了与案涉银行卡相同的用户名和密码，亦不能即得出丁某未尽到妥善保管自己银行卡信息的义务。被告未提供相应的证据证明丁某未尽到适当注意义务导致银行卡信息泄露，应承担举证不能的后果。根据《中华人民共和国商业银行法》第六条及《电子银行业务管理办法》第三十八条规定，被告作为专业金融机构，具有保障账户资金安全的法定义务。被告作为借记卡的发行者及相关技术、设备和交易平台的提供者，应对交易机具、交易场所、交易平台加强安全管理，并对各项软硬件设施及时更新升级，最大限度地防范资金交易安全漏洞。从双方利益衡量的角度，商业银行作为电子交易系统的开发、设计、维护者，也是从电子交易的风险中获得经济利益的一方，相较于持卡人而言,应当也更有能力采取更为严格的技术保障措施，以防范有关违法犯罪行为。

5

裁判意义

不同于物理卡交易模式，网上银行业务通常是通过持卡人预留信息的一致性来核实客户身份，但如今数据信息泄露已成为互联网领域关注的焦点，金融市场交易主体在享受互联网金融高效、便捷的同时，亦应警惕其伴随的交易风险。本案正是因犯罪分子利用非法获取的个人信息数据通过“撞库”等新型犯罪手段，盗刷网银引发的储蓄存款合同纠纷案件。银行作为电子交易平台的提供者，亦是电子交易方式的获利者，有能力且有必要采取严格的技术保障措施保障账户资金安全。本案判决明确了持卡人通过刑事判决证明系争交易为非授权交易，且在无证据证明持卡人有可归责事由的情况下，银行应承担赔偿责任，有利于督促行业提高电子交易安全保障，规范金融交易行为。当然，如银行能举证证明持卡人对上述损害有过错的，可主张减免其赔偿责任。

来源：民商事裁判规则