银行卡盗刷事实及责任认定的理想与现实

《银行卡规定》根据民法典格式合同条款效力、合同责任、侵权责任、诉讼时效等方面有关规定，对银行卡盗刷、息费违约金条款、诉讼时效中断等问题进行了明确规定。其中关于银行卡盗刷事实和责任认定的条文在整个规定中占了较大篇幅，明确规定了盗刷认定的举证责任分配、法院审判规则，盗刷事实认定后盗刷责任的不得重复受偿原则、发卡行无过错归责原则以及持卡人与有过失责任承担及减损义务，为法院审判银行卡盗刷纠纷案件、银行业处理银行卡纠纷提供了重要的指引和基本的裁判规则，在银行卡产业法治化发展进程中具有里程碑意义。

但是银行卡交易业务场景多样、交易主体及环节多、交易链条长，盗刷交易实务问题较为复杂，关于银行卡盗刷事实及责任认定的相关规定主要体现的是原则性、指引性的法律规范，在具体银行卡盗刷事实和责任认定实务应用上仍不明确，存在一定的局限性，需要在处理过程中具体问题具体分析，审慎应用。此外，《银行卡规定》中部分行文表述的倾向性立场可能还会给实务处理带来一些新的问题，需要引起重视。本文拟对银行卡盗刷事实及责任认定的相关规定作简要评述，结合银行卡典型业务场景，探讨《银行卡规定》应用的局限性，并提出相应建议。

《银行卡规定》主要从持卡人与发卡行、非银行支付机构的举证责任分配及法院审判规则两个方面，其中第四条至第六条对盗刷事实认定问题进行了规定。第四条列举了持卡人和银行在争议交易事实认定上可以提供的证据材料种类，其中第一款规定，持卡人主张争议交易为盗刷交易的，可以提供生效法律文书、银行卡交易时真卡所在地、交易行为地、账户交易明细、交易通知、报警记录、挂失记录等证据材料进行证明；第二款规定，发卡行、非银行支付机构主张争议交易为非盗刷交易的，可以提供交易单据、对账单、监控录像、交易身份识别信息、交易验证信息等证据材料进行证明。第五条规定了发卡行的核实义务与证据保全义务，和第四条的举证责任分配相协调。第六条规定了法院的审判规则，即人民法院应当全面审查当事人提交的证据，结合银行卡交易行为地与真卡所在地距离、持卡人是否进行了基础交易、交易时间和报警时间、持卡人用卡习惯、银行卡被盗刷的次数及频率、交易系统、技术和设备是否具有安全性等事实，综合判断是否存在伪卡盗刷交易或者网络盗刷交易。

盗刷事实的认定是银行卡纠纷案件审理的重点和难点，是否存在盗刷事实将直接影响后续的责任承担问题。《银行卡规定》第四条根据“谁主张谁举证”“谁占有证据谁举证”的规则，分别规定了持卡人和发卡行双方的举证责任，同时结合各方的举证能力明确了相应的举证范围，体现了举证责任分配的基本平衡，为银行争议处理提供了明确的法律指引和法律依据，解决了实务中存在的持卡人否认交易但又不配合调查的问题。根据《银行卡规定》第四条规定，持卡人既然向银行主张交易为盗刷，就有义务提供支持其主张的相关证据。

盗刷事实的认定分两种情况：一是有客观证据直接证明存在盗刷事实，如公安侦查结论；二是法院推定存在盗刷事实。由于犯罪分子实施盗刷行为具有较高的隐蔽性，银行卡盗刷案件的侦破率极低，即便有侦查结论，也会存在滞后性问题。因此，民事诉讼中银行卡盗刷纠纷案件的盗刷事实存在与否，基本都是由法院推定的，而推定的事实不一定是客观上的事实，这取决于双方当事人的举证能力。虽然《银行卡规定》第四条列举了一系列的证明材料，第六条规定了法院的判定规则，但这些只是原则性、基础性的规定，实务操作中的证据材料五花八门，不同证据的组合也会影响证明力的大小，法官在运用优势证据规则和高度盖然性原则进行综合评价时，有着较大的自由裁量权，司法实务中因裁判标准不一导致的 “类案不同判”问题仍会存在。

另外，《银行卡规定》第四条在规定持卡人和发卡行的举证责任时，第一款和第二款的行文存在差异，在第二款规定发卡行举证责任时有“应当承担举证责任”的表述，而第一款规定持卡人举证责任时却无此表述，这一差别可能会带来理解上的分歧，也会给实务处理带来一些问题。首先，持卡人会认为针对自己提出的否认交易是不是盗刷交易，可以举证也可以不举证，持卡人没有举证压力；而银行基于“应当承担举证责任”规定，需要去举证，可能会引发持卡人恶意否认的道德风险，增加银行的争议处理成本。其次，在审判实务中，这一差别可能会误导法官在举证责任的分配、证据的采信及证明力大小的认定等方面对银行更严格，银行因此会承担更大的败诉风险。

在认定盗刷事实后，基于纠纷产生主体和法律关系的不同，《银行卡规定》第七条至第十二条分别对不同主体之间的盗刷责任进行了规定，第十三条规定了不得重复受偿原则。其中第七条主要规定了在持卡人与发卡行之间成立银行卡合同法律关系情形下，银行卡盗刷纠纷的责任认定问题，即规定发卡行无过错归责原则以及持卡人与有过失的责任承担及减损义务。

最高人民法院认为采用无过错归责原则的法理基础在于：作为银行卡产品与服务的推行者，发卡行在提供银行卡产品获得收益的同时应当以更加安全的技术保障持卡人的用卡安全，这符合制造风险者应防范风险的法理以及风险与收益相对等原则；同时，相较于持卡人，发卡行具有更强大的风险预防、控制和承受能力，规定无过错归责原则有利于鼓励发卡行提供安全性更高的银行卡产品和服务。笔者认为，采用无过错归责原则的法理基础存在片面性问题，无过错归责原则可以适用于伪卡盗刷案件的认定，因为伪卡交易的产生确实与银行未能提供相应的用卡安全保障（银行卡被复制为伪卡及复制的伪卡成功发生交易）存在因果关系，但是在某些盗刷案件场景下，如网络盗刷案件中的电信诈骗，犯罪分子得以成功实施盗刷行为，主要是由持卡人受骗或泄露信息导致，与银行产品和服务的安全性不存在因果关系，此类案件认定盗刷事实后，倘若仍对银行适用无过错归责原则，判定持卡人与有过失为补充责任，显失公平。

《银行卡规定》第七条第三款和第四款明确规定了持卡人与有过失的责任承担及减损义务，特别是第三款明确规定了持卡人未对银行卡、密码、验证码等身份识别信息和交易验证信息尽到妥善保管义务具有过错，应承担相应责任。《银行卡规定》出台前，审判实务中法院在认定盗刷事实后，对于责任分担问题存在不同的判决结果。同样在持卡人泄露银行卡信息、密码等交易验证信息，具有过错的事实前提下，法院判决会出现发卡行承担全部损失、持卡人承担全部损失、发卡行和持卡人按比例承担损失三种截然不同的判决结果。第七条第三款对持卡人与有过失责任承担的明确规定，意味着审判实务中一旦法官采信了持卡人对盗刷交易发生存在过错的事实，持卡人应当会根据过错的大小承担一定比例甚至全部的损失。

《银行卡规定》第八条、第九条规定了发卡行在持卡人开通网络支付功能时的告知义务和新增网络支付业务时的全面告知义务，同时也规定了持卡人的过错责任。告知义务将会成为持卡人否认网络盗刷交易时的主要抗辩理由，银行应当对此给予足够的重视：一是需评估自身是否正确履行了告知义务；二是在发生网络盗刷争议交易时，要举证证明盗刷交易与告知义务之间不具有因果关系，证明持卡人在盗刷交易中存在过错。

关于银行卡盗刷事实及责任认定问题，《银行卡规定》虽然对多年来实务中关切的重要争议问题作出了回应， 但实务中存在银行卡盗刷纠纷案件涉及场景复杂多样、证据材料种类繁多、收集调取证据难度较大的情况，因此《银行卡规定》在具体实务应用中仍存在一定的局限性，实务中诸多纷繁复杂问题的甄别、认定及采纳与否仍需要具体问题具体分析。下文中笔者主要对实体卡盗刷交易纠纷和网络交易纠纷作具体分析。

因传统磁条卡安全性能较低，容易被复制并盗刷，实体卡盗刷交易纠纷案件主要集中在磁条卡伪卡盗刷交易方面。如前文所述，一旦法院认定此类案件存在盗刷事实，虽然在归责问题上《银行卡规定》已经予以明确，但盗刷事实的认定环节仍难点重重。伪卡的盗刷事实甚少可以通过直接证据来证明，法院需根据案件实际情况及相关证据，综合评价后推定事实。由于不同的案件情况或不同的证据组合，同类证据在不同的案件中可能会出现不同的采信结果以及证明力效果。虽然《银行卡规定》第四条、第五条、第六条中列举了一系列盗刷事实的证明材料，但这些只是比较笼统的规定，在实务中，如何认定“举证不能”（《银行卡规定》第五条）、如何进行“综合判断”（《银行卡规定》第六条），仍存在一些比较复杂的问题，应当审慎对待。笔者针对伪卡盗刷实务中几个比较典型的问题作以下简要分析。

（1）“交易单据签名”证明力问题

签购单作为交易凭证，在缺乏交易录像等证据的情况下，是法院认定伪卡盗刷事实的重要依据。持卡人以交易非本人签名为由否认交易，银行如果不能提供充分的证据证明交易为持卡人所为，司法实务中，法院基本会支持持卡人的诉求，判定交易为伪卡盗刷。在银行卡的使用过程中，他人（亲友）持卡交易是比较普遍的，而且此类恶意否认案件也时有发生，特别是随着个人征信变得越来越重要，部分持卡人以修改不良征信记录为目的而否认交易的情况逐渐增多。2017年，交通银行与上海警方联合破获一起持卡人恶意否认案件，持卡人以签字非本人所为为由否认交易，要求交通银行赔偿其被盗刷的损失，并向警方报案银行卡被盗刷。交通银行在欺诈调查过程中发现“盗刷者”与本人历史用卡习惯相符，交易不具有欺诈特征。于是交通银行展开进一步调查，向支付公司申请协查交易POS机具相关情况，发现该POS机具的注册人竟然是持卡人本人。综上来看，对于持卡人恶意否认交易，银行可以向支付公司申请协查，全面收集交易特征、持卡人历史用卡习惯（交易地点、交易种类，卡片出借、套现等违规用卡行为等）、支付方式等证据，证明交易与持卡人相关。法院在审理此类案件的过程中，也不能简单以交易非持卡人本人签名为由判定交易为盗刷，应充分考虑银行提交的证明交易与持卡人相关的证据，综合评价以作出裁决。

（2）“银行卡交易行为地与真卡所在地距离”证明力问题

在银行卡伪卡盗刷纠纷案件中，“银行卡交易行为地与真卡所在地距离”证明力问题一直是银行欺诈调查工作中的难点。持卡人以盗刷交易发生在异地，本人在本地短时间（持卡人否认交易的发生时间到其本人承认用卡的交易时间，这一时间范围内，客观上持卡人不能实现从异地回到本地）发生承认交易的，或持卡人否认异地交易发生时短时间存在其本地承认交易的，银行一般直接认定为伪卡盗刷交易。法院依据《银行卡规定》第六条“银行卡交易行为地与真卡所在地距离”证明内容，基本也会认定为伪卡盗刷。然而实务中，有部分持卡人看到发生于本地的交易在交易短信通知或账单明细中显示为异地（甚至是境外）时，恶意向银行以被盗刷为由否认交易。还有少数持卡人抱着侥幸心理，铤而走险，将真实卡片交给亲友境外刷卡交易，本人持有复制的伪卡在本地短时间试卡后，向银行提出否认境外交易。恶意否认的持卡人往往会事先了解银行的调查手段和法院的裁判标准，在交易特征上刻意制造伪卡盗刷的假象，配合银行进行试卡、报案等相关工作。2018年，交通银行联合广东省公安厅侦破一起境外机交易案，境外机可以实现在国内任何地方刷卡交易而在银行显示为境外交易，因此，虽然“银行卡交易行为地与真卡所在地距离”是伪卡盗刷交易最重要的认定标准，但银行在欺诈调查中，不能以此交易特征直接认定为伪卡盗刷。针对不同类型案件，银行可进一步向支付公司申请协查，或者进一步与持卡人核实卡面颜色等卡片特征（伪卡卡面往往与真卡不一致，甚至是白卡），必要时可要求持卡人当面出示卡片进行验证。

（3）银行取证不能问题

持卡人否认交易延迟，导致银行取证不能（签购单、监控录像等无法调取），同时也没有充分证据（没有及时试卡等）证明交易非本人所为的，银行是否需要承担举证不能的责任？笔者认为不能一概而论。如果因延迟否认交易导致证据保管超过法定、行业规定或合理期间的，则银行不承担举证不能的责任；如果证据没有按法定、行业规定或合理期间保存的，则取证不能与持卡人延迟否认交易没有因果关系，银行需承担举证不能的责任。

网络交易又称“无卡交易”。在实务应用中，发卡行为保障交易真实性、安全性，一般会采用“双因子”甚至“多因子”验证模式，即除需验证银行卡卡号、有效期等静态信息外，还要验证发卡行是否给持卡人在本行系统预留的手机发送了动态验证码，有些网上支付业务还会额外增加生物识别验证环节。

网络盗刷交易的事实往往难以认定，一方面在于网络交易的盗刷手法智能，作案过程隐蔽；另一方面在于网络交易的特殊性常会导致持卡人与账户分离的情况出现，发卡行仅能通过身份识别信息（如银行卡号、登录账户及密码等字段）和交易验证信息（如CVV2、交易密码等）来确认交易是否为持卡人操作。因此，在网络盗刷交易纠纷中，往往会出现持卡人与发卡行之间的证据博弈，法院需根据案件的实际情况及相关证据进行综合评判。如前文所述，《银行卡规定》虽对网络盗刷交易的事实和责任认定作出了相关规定，但在实务应用中，网络交易场景多样，涉及交易环节复杂，有些业务实践中的典型问题仍未明确。笔者就几种典型场景作简要分析。

（1）“短信嗅探”问题

“短信嗅探”盗刷是指不法分子通过“GSM劫持+短信嗅探”技术实时获取用户手机短信内容，并利用各大银行、网站、移动支付App存在的技术漏洞窃取信息，从而实施资金盗刷。该类交易的盗刷手法智能，作案过程隐蔽，发卡行难以在交易验证环节进行识别，仅能提供发送动态验证码的证据以证明已基本履行安全保障义务，持卡人以此为由否认交易。针对此种情形，司法实践中发卡行与持卡人之间的责任应如何认定？笔者认为：其一，是否为“短信嗅探”事实本身难以证明，因此不能课以银行过重的举证责任，或者直接就以此认定银行应承担盗刷责任；其二，即使是“短信嗅探”盗刷，从客观角度来看，以“短信嗅探”技术实施盗刷的关键是在窃取信息环节，并不是在交易验证环节，不法分子提供的验证信息均为持卡人真实信息，在责任分担环节应结合实际综合考量，不能简单认定银行应承担全部盗刷损失。

（2）“手机劫持”的问题

在实践案例中，持卡人承认被电信诈骗，在诈骗分子的话术引导下下载了“安全防护App”，后手机信号被屏蔽，银行卡账户发生交易。但持卡人坚持否认泄露银行卡信息及动态验证码，表示交易发生时无法接收到任何电话和短信，以“手机劫持”为由否认交易。在此类案件中，持卡人可以提供“手机劫持”相关证据（如运营商通信记录、手机通信记录截屏及短信记录截屏），证实交易发生期间存在“手机劫持”，无法收到动态验证码，从而证明网络交易非本人授权交易。而发卡行仅能提供发送动态验证码至持卡人在本行系统预留手机号的证据。司法实践中，法院往往会认为发卡行发送的交易动态验证码没有安全到达持卡人手机，从而判定发卡行承担损失责任。笔者认为，发卡行发送的交易动态验证码没有安全到达持卡人手机，是持卡人手机安全使用问题，与银行产品和服务不存在因果关系，不能简单认定由银行承担盗刷损失。因此，此类案件中存在的“手机劫持”问题还需在理论和实务中进一步探讨。

（3）“全面告知义务”问题

《银行卡规定》第八条规定了发卡行的全面告知义务，持卡人若主张发卡行未履行完全告知义务，且没有与银行就相关网络支付开通业务达成合意，发卡行将承担不利诉讼后果，这在实务中可能会成为持卡人的主要抗辩理由。笔者认为，发卡行是否需要因未履行全面告知义务而承担盗刷损失的责任，要看盗刷交易与全面告知义务之间是否存在因果关系。如果因银行告知不全面导致持卡人不知情被骗，则存在因果关系；实务中，若持卡人在被盗刷前多次以同样的网络支付方式完成支付，或盗刷交易的发生是由于持卡人把足以完成网络支付的信息告知犯罪分子，则不存在因果关系。例如，某持卡人在之前营销员向其推销POS业务时，曾将银行卡信息及动态验证码告知过该营销员，随后该营销员将持卡人银行卡绑定了PAY类支付产品。发卡行将安全提示短信发送至持卡人在本行系统预留的手机，告知持卡人其银行卡正在绑定PAY类支付产品。一个月后，该银行卡发生多笔非持卡人本人操作的PAY类网络支付交易。此类案件中，盗刷交易的发生是由于持卡人本身未妥善保管银行卡信息导致的，持卡人本身存在过错，但持卡人若以自身未进行任何PAY类支付产品的绑定、支付操作，且发卡行未告知其绑定该支付功能会与实体卡刷卡具有同样相关风险来进行抗辩的，部分法官依然会支持持卡人的主张。笔者认为：其一，虽然绑卡操作不是持卡人本人所为，但却是其泄露信息“配合”不法分子完成的；其二，正因为绑卡操作不是持卡人本人所为，所以绑卡操作及盗刷交易与全面告知义务无因果关系。因此，法院在此类案件的认定上应该持审慎态度，不能简单地以银行未全面告知为由作出认定，关键要看盗刷交易与全面告知义务之间是否存在因果关系。当然，证明是否存在因果关系涉及证据问题，这里说的证据主要是指可以证明持卡人熟悉并熟练使用支付方式的历史交易、被不法分子欺骗“配合”绑卡或交易的录音资料等。

另外，实务中还存在如何评价银行是否已经履行全面告知义务的问题。在告知内容上，《银行卡规定》明确了持卡人身份识别方式、交易验证方式、交易规则等足以影响持卡人决定是否使用该功能的内容，但在告知形式上并没有提及，而评价是否已全面履行告知义务存在形式与内容上的双重标准，形式上如何符合法院评价标准需要银行去认真思考和准确把握。

如前文提及持卡人恶意否认等问题，发卡行仅通过内部环节取证很难获取直接证据证实持卡人存在过失。《银行卡规定》第四条规定的举证材料种类、第六条规定的法院审判规则对发卡行在全流程的调查取证方面提出了新的要求。基于无过错归责原则，前文所提及的以修改不良征信记录为目的的恶意否认事件可能会日益增多，并且也不排除不良中介诱导持卡人进行恶意否认的可能。因此，发卡行在落实调查取证工作时，对于持卡人的历史交易习惯（如实体卡交易地点、网络交易常用设备、交易频次、卡片外借情况、套现养卡行为等）、签购单、录像证据、录音证据以及还款证据等全流程的调查取证均需做到应调尽调。若发现持卡人存在疑似恶意否认的情况，发卡行应积极主动地联系收单机构和非银行支付机构进行商户端的调查取证。

《银行卡规定》第五条明确了发卡行在持卡人反馈交易异议时，若未及时核实卡片持有及使用情况、未及时保管相关证据材料，需承担举证不能的法律后果。为避免因举证不能产生损失，发卡行可将实体卡持有及使用情况的话术前置到客服、交易监控环节。另外，对于签购单、录像等具有时效性的证据，应在持卡人反馈交易异议时及时进行调取、归档。

《银行卡规定》中第八、九条均阐述了关于发卡行在订立银行卡合同、开通网络支付业务功能或者新增网络支付业务时，应履行对持卡人的全面告知义务。发卡行应依据《银行卡规定》中第八、九条相关告知义务要求，对领用合约、网络支付产品相关协议等纸质、电子文本从内容和形式上进行全面的梳理和完善。特别是在形式上，重点告知内容应在文本信息中进行突出显示（如加粗、添加下划线予以标示等），在持卡人开通网络支付功能或绑定支付产品时强制弹屏显示告知内容，并添加阅读时间，以确保持卡人能够全面知晓该支付产品相关内容。

《银行卡规定》规定了不同主体之间的盗刷责任，并在第十三条规定了不得重复受偿原则。持卡人在向发卡行、收单机构等多个不同主体间所获赔偿数额不应超过其因银行卡被盗刷所致损失总额。这一点一直以来没有引起发卡行的重视。对内，发卡行应加强内部案件管理，建立从案件判定、争议处理到损失返还环节的盗刷案件损失返还闭环管理机制；对外，发卡行应积极拓展收单机构、非银行支付机构等各主体渠道，构建全方位的案件损失闭环管理机制，避免出现持卡人重复受偿的情况。