首页 > 运营管理 > ATM机上客户信息被盗的银行法律责任解析

ATM机上客户信息被盗的银行法律责任解析

2010年6月21日

导读:

伴随着我国银行卡发卡量的高速增长及ATM机等自助银行和自助设备的迅速普及,针对银行卡的金融犯罪活动也日益增多。犯罪分子在ATM机等自助银行和自助设备上加装读卡器、摄像头等高科技设备来窃取客户银行卡信息和密码,然后通过克隆客户银行卡来盗取客户存款。因此,客户不断质疑商业银行对ATM机等自助银行和自助设备的安全运营管理能力,并且引发了对上述问题的投诉乃至诉讼。本文拟通过对一起商业银行银行卡客户信息克隆案的分析,揭示相关法律风险和问题,并就如何保障商业银行银行卡业务健康发展提出若干意见和建议。

  原文作者:中国工商银行法律事务部 湖南大学法学院 周德洋 陈志君



案件背景


2002年11月,顾某在A商业银行上海分行办理了一张借记卡。2003年5月22日,顾某欲进自助银行取款,看到该自助银行门禁上有一个装置,上面有“进门前请先刷卡并输入密码”的提示语。顾某按提示刷卡并输入密码后,自助银行的门却没有打开,顾某随即离开。2003年6月,顾某在取款时发现自己卡内的资金无端少了10068元,于是立即向公安机关报案。经公安机关侦查,原来是犯罪分子在A商业银行设立的自助银行门禁系统上安装了盗码器,窃取了顾某借记卡上的信息和密码,然后复制成伪卡,凭伪卡在异地盗取了顾某卡内的资金。顾某于是以A商业银行对自助银行的管理存在疏漏为由,向上海市黄浦区人民法院提起诉讼,请求判令A商业银行赔偿其损失10068元及此款从2003年6月9日起至判决生效之日止的银行活期存款利息,并负担本案诉讼费用。上海市第二中级人民法院认为本案在辖区内有重大影响,依照《民事诉讼法》第十九条、第三十九条的规定,提审了本案。


在审理过程中,顾某声称,其在A商业银行上海分行办理了借记卡,就与A商业银行建立了储蓄合同关系。自助银行和ATM机是A商业银行推出的交易场所和交易工具,银行有义务加强管理和保障安全。而事实是,犯罪分子看到A商业银行对其自助银行的管理漏洞,就利用加装在自助银行门禁系统上的盗码器窃取储户的存款信息和密码,然后伪造借记卡提款。这不是A商业银行与客户进行交易,而是犯罪分子利用伪卡欺骗商业银行,侵犯的是A商业银行的财产权。A商业银行不能识破犯罪分子的欺骗手段,导致犯罪分子用伪卡取款成功,损失应由商业银行自己承担。


A商业银行辩称,密码是从ATM机上取款的关键,密码只有储户掌握,银行并不知晓。严保密码是储户在储蓄合同中应尽的义务。顾某经常使用自助银行,应该有能力识别犯罪分子加装的盗码器和摄像头。然而顾某没有警觉,以至犯罪分子能顺利地从其账户中盗取存款。顾某设立的密码能被犯罪分子掌握,说明顾某没有尽到注意保密的义务。A商业银行在借记卡的办卡须知中早已向持卡人明示,凡通过交易密码发生的一切交易,均应视为持卡人亲自所为,A商业银行不负责任。这是储蓄合同的一个条款,双方当事人均应遵守。对顾某借记卡内资金的短少,A商业银行既不存在过错也没有违约,不应承担任何责任。


上海市第二中级人民法院经审理后判决如下:A商业银行应自本判决生效之日起十五日内,给付顾某10068元及此款自2003年6月9日起至本判决生效之日止的银行活期存款利息。

争议的法律焦点


本案争议的焦点问题有如下几方面:


密码被盗是否应由持卡人承担相应法律责任


客户到A商业银行办理借记卡后,与A商业银行建立了储蓄合同关系,接受和认可了A商业银行的借记卡章程和办卡须知。根据《A商业银行借记卡章程》的有关规定,持卡人应妥善保管借记卡的密码,防止泄露;凡是与密码相符的交易均视为合法交易;因密码失密造成的资金损失,由持卡人自行承担。需要讨论的是,密码在客户和商业银行之间处于一种什么地位。由于自助银行业务和商业银行柜台业务不同,采取的是人机对话的模式,所以在客户识别与确认问题上,密码成为了一个十分关键的问题。一般而言,密码是客户表明身份和对交易内容进行确认的重要手段。密码由本人设置并持有,只有客户本人知晓,除非客户本人告知或因过错失密或经过复杂的破译程序,否则他人不可能知晓。就商业银行而言,密码生成后直接进入商业银行的计算机网络系统,商业银行业务操作人员不可能知晓客户密码的具体内容。输入密码就表明是客户本人进行了相关的交易行为,商业银行在接收到客户通过密码发出的交易指令后,即视其为客户本人的操作,应按照客户指令办理相关银行业务。从上述密码使用规则来看,只要与商业银行存在储蓄合同关系的客户在交易过程中客观上使用了密码,如果在没有相反的证据来证明或者其他法律上的免责事由存在,那么我们就有理由视为是客户本人使用密码从事了交易行为。相应地,客户本人就应该对上述交易行为承担相应的法律义务。


在本案中,顾某在去自助银行取款时,虽然注意到该自助银行的门禁处多了一个新装置,但在该自助银行没有操作规范、使用说明和风险提示的情况下,顾某无法识别这个新装置究竟是银行对门禁系统的改进设施,还是犯罪分子的犯罪工具,以致其借记卡信息和密码被窃取。同时,顾某在发现借记卡内资金短少后马上报警,并及时采取了相关措施。也即,顾某并未告知他人密码或因过错失密,商业银行不能以顾某未尽到注意及防护义务为由来主张顾某对其借记卡信息及密码泄露承担相应责任。


需要注意的是,作为商业银行和客户之间进行交易的一种介质,密码并非是交易产生法律效力的唯一要件。按照商业银行确认客户的一般规则,在客户到商业银行办理业务时,商业银行还需要审核客户身份证件和银行卡卡片真伪等诸多问题。


商业银行是否履行了保障自助设备安全运营的义务


伴随着金融电子化、信息化的发展浪潮,自助设备在商业银行业务中得到广泛应用,并发挥着越来越重要的作用。商业银行利用先进技术向社会推出的具有交易场所功能的自助银行和具有交易功能的ATM机等金融工具。这些金融工具在改善商业银行经营环境的同时,更是给客户带来了巨大的便利。然而由于其特性,自助银行与自助设备的推出,容易成为犯罪分子攻击的目标,这给金融交易安全带来了新的风险。针对此,我国《商业银行法》第六条规定“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯”。第十二条亦规定“设立商业银行,应当有符合要求的营业场所、安全防范措施和与业务有关的其他设施”。商业银行在推出自助银行和自助设备时,其作为商业银行的营业场所和营业设备,应该符合法律规定的安全运营要求。同时,《合同法》第六十条第二款规定:“当事人应当遵循诚实信用原则,根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。”这实际上是对商业银行安全保障义务的进一步明确。商业银行提供新的金融工具,应该具备相应条件和能力来防控风险,保障金融工具的正常顺利运营。


在本案中,顾某正是在使用自助银行时,看到其门禁上有一个新装置(上面写有“进门前请先刷卡并输入密码”的提示语)后,按照提示要求操作才导致信息和密码被盗的结果。可见,A商业银行在这一过程中并未履行好相应的安全保障义务,虽然A商业银行有能力和条件来防范针对其自助银行和自助设备的犯罪,但是其并没有采取足够措施来防范,从而导致其成为犯罪分子攻击的目标。因此,按照《合同法》第一百零七条的规定,A商业银行应当承担继续履行、采取补救措施或者赔偿损失等违约责任。


商业银行是否有识别银行卡真伪的义务


客户与商业银行建立了储蓄合同关系后,商业银行就承担了相应的法律义务。一旦客户前来办理相关银行业务,商业银行就必须审核相关资料。也即商业银行必须确认客户为真实客户,且客户提供的是真实有效的银行卡、输入的是正确密码以及提供的是真实的身份证件,否则商业银行有权拒绝为客户办理相关银行业务。虽然商业银行利用先进技术向社会推出的具有交易场所功能的自助银行和具有交易功能的ATM机等自助设备,从而使得商业银行当面审核客户义务困难有所增加,但是这并不能成为商业银行免责的理由,商业银行仍然可以通过识别银行卡真伪和客户密码对错来确认客户。如果商业银行未尽上述审核义务,那就需要承担相应的法律责任。


在本案中,虽然犯罪分子通过在自助银行门禁上加装读卡器等高科技设备来窃取客户借记卡信息和密码,但是其仍然需要通过克隆客户银行卡来盗取客户存款。也就是说,A商业银行仍然可以通过审核银行卡的真伪来确保其正确履行相关义务,从而保护客户财产权。本案中,A商业银行并未能识别出犯罪分子伪造出的假借记卡,从而出现错误付款。也就是说,A商业银行没有履行或者没有充分履行相关审核义务,其并未成功确认那张取走顾某存款所使用的借记卡究竟是不是A商业银行发给顾某的那一张借记卡。实际上,鉴于商业银行自助设备的现有情况,其并没有通过技术投资和硬件改造来达到相应的识别要求,所以对于这种安全漏洞及技术风险,商业银行应承担相应法律责任。


商业银行是否应当承担赔偿责任


犯罪分子在自助银行门禁上加装读卡器等高科技设备窃取了顾某的借记卡信息和密码,然后通过克隆卡盗取了顾某的存款。本案中,A商业银行认为犯罪分子是从顾某处盗取了卡上的信息和密码,然后通过ATM机在顾某的账户内进行了交易。因此,顾某卡内资金的短少与A商业银行无关,不应由A商业银行承担赔偿责任,而应该由犯罪分子来承担赔偿责任。


从法律关系角度来看,顾某和A商业银行通过订立储蓄合同而构成储蓄合同关系,而犯罪分子因构成信用卡诈骗犯罪,与顾某之间存在侵权民事法律关系。由于A商业银行没有认真履行义务,造成犯罪分子诈骗成功,造成顾某的财产损失。那么这二者就存在竞合关系。对此,顾某既可以侵权为由起诉犯罪分子,也可以以违约为由起诉A商业银行。故在本案中,顾某以A商业银行违约为由请求赔偿损失的,A商业银行应当承担相应的赔偿责任。

启示


本案最终以商业银行的败诉而告终,但商业银行总结经验,在面对类似问题时,从以下几方面来注意防范借记卡盗用有关法律风险:


第一,加强ATM机等自助设备的安全运营管理工作,防范欺诈风险。作为商业银行自身推出的新型金融工具,商业银行应切实加强对自助设备的日常检查工作。严格落实自助设备的检查制度,定时定期对自助设备工作区域进行检查,并做好检查记录,特别是要加强对其自助银行区域的安全管理。同时,商业银行还必须在自助设备营业场所安装闭路电视监控系统、报警系统及24小时监测系统等,注意定期检查监控录像设备和相关录像资料并做好备份工作。重点查看有无可疑人员在银行自助设备上安装物件,并做好调阅情况记录,一旦发现特殊情况,应立即向公安机关报案。通过上述措施来确保金融管理秩序的正常运转,确保客户存款的安全,维护客户的合法财产权益。


第二,加强对客户的宣传和教育工作,提高客户的风险防范能力。商业银行机构应通过多种渠道对客户进行有关银行卡安全使用知识的宣传,使客户了解银行卡的基本常识,加强客户的风险防控能力。同时,商业银行应注意通过多种形式向客户提示犯罪分子利用银行卡作案的新手段和新动向,提高客户的安全意识和自我保护能力。例如,商业银行可以在其自助设备的显著位置标注相应提示标记,提醒客户在办理相关业务时的注意事项和相应法律风险。


第三,注意加强各金融机构之间的合作与交流,建立健全银行卡风险防范合作机制。按照银监会关于当前银行卡业务风险及其防范的要求,商业银行应加强与中国银联、公安机关的合作与沟通,建立良好的信息共享机制。一旦某商业银行发现不良持卡人,应及时报至该系统,以实现信息共享,共同防范风险。

分类: 运营管理 标签:
本文的评论功能被关闭了.