上訴人(原審被告):招商銀行股份有限公司上海泰興支行,住所地上海市靜安區(qū)�����。
負責人:傅軍�,行長����。
委托訴訟代理人:高興�����,上海邦信陽中建中匯律師事務所律師�����。
委托訴訟代理人:鄭彬彬����,上海邦信陽中建中匯律師事務所律師�。
被上訴人(原審原告):邱皓天,男�,1974年7月26日生,漢族�����,住上海市徐匯區(qū)����。
上訴人招商銀行股份有限公司上海泰興支行(以下簡稱招商銀行)因與被上訴人邱皓天儲蓄存款合同糾紛一案,不服上海市靜安區(qū)人民法院(2018)滬0106民初35307號民事判決����,向本院提起上訴����。本院于2019年3月11日立案后����,依法組成合議庭,于同年4月16日開庭進行了審理�����。上訴人委托訴訟代理人鄭彬彬����、被上訴人邱皓天到庭參加訴訟。本案現(xiàn)已審理終結�。
上訴人招商銀行上訴請求:撤銷原判,改判駁回邱皓天的原審全部訴請�����。事實和理由:第一����,招商銀行在系爭銀行卡遭盜刷的過程中不存在違約。根據(jù)犯罪分子的訊問筆錄����,其犯罪之初系采用手工輸入方式,后來才租用掃號軟件�,現(xiàn)有證據(jù)無法確認系爭盜刷行為是使用手工輸入方式登錄網(wǎng)銀還是使用軟件登錄。如果是手工登錄�����,則與正常登錄無異�,不存在所謂“自動匹配”、“異常數(shù)據(jù)請求”����,原審認定系爭盜刷行為是通過掃號軟件登錄,缺乏依據(jù)�����。而且原審對“撞庫”存在誤解�,所謂“撞庫”是指犯罪分子非法獲取公民的身份信息、卡號����、密碼等�,從中篩選出有價值的信息�,在網(wǎng)銀上嘗試登錄,如果儲戶在其他網(wǎng)站使用的用戶名和密碼與網(wǎng)銀相同�����,則撞庫成功�����。另外����,邱皓天開通系爭銀行卡網(wǎng)上銀行功能時,簽字確認已經閱讀《招商銀行個人網(wǎng)上銀行/手機銀行簽約服務條款》�����,根據(jù)該條款約定�,憑賬號、密碼�、短信驗證碼等安全要素進行的交易均視為邱皓天本人行為,由邱皓天承擔后果�。在系爭盜刷行為中,招商銀行已驗證上述各項要素�����,盡到了合同義務�����。邱皓天選擇開通電子銀行業(yè)務時����,應當預見潛在的風險,其既然愿意接受該項服務�����,則應承擔相應風險����。第二,邱皓天在系爭銀行卡遭盜刷的過程中存在違約�。《招商銀行個人客戶電子銀行服務章程》中規(guī)定儲戶不能將銀行業(yè)務密碼與其他用途密碼設置為相同�����,但是邱皓天在其他網(wǎng)站中使用了與網(wǎng)銀相同的用戶名和密碼�����,導致發(fā)生盜刷,構成違約����,應自行承擔后果。而且取款密碼系邱皓天自行設置�����,只有其本人掌握����,所以發(fā)生盜刷必然是其不慎泄露密碼所致。此外����,在盜刷行為發(fā)生之前,邱皓天已經注意到手機被開通了短信過濾服務�����,但其沒有在意�����,導致?lián)p害后果發(fā)生。第三����,邱皓天起訴主張按三年期定期利率支付利息,但其賬戶被盜刷時是活期賬戶�,故該項利率主張缺乏依據(jù)。
被上訴人邱皓天辯稱����,不同意招商銀行的上訴請求����。第一,不論犯罪分子采用手工還是軟件方式嘗試登錄�����,都會發(fā)生從同一IP地址發(fā)生大量登錄的異常情況�,招商銀行本應能識別該異常并作出風險防范。而且根據(jù)邱皓天與招商銀行客服的通話記錄�����,招商銀行有技術能力識別用于登錄的手機設備是否用戶原來的手機,但是其沒有采取合理的風險控制措施�����。第二�,招商銀行只提供證據(jù)證明尾號為0726的系爭銀行卡開通了網(wǎng)銀功能,且每日使用限額為人民幣1元(以下幣種同)�,另兩張系爭銀行卡無證據(jù)證明已開通網(wǎng)銀,也無證據(jù)證明邱皓天曾申請調高每日使用限額�����。第三�����,招商銀行所稱的憑密消費即視為儲戶本人交易的條款�,屬于免除自身責任、加重對方責任的格式條款�����,應屬無效�。第四,根據(jù)公安機關2015年12月18日的訊問筆錄����,犯罪分子非法獲取的公民個人信息中有一條記錄為“上海-電信-招行9月8日”����,而且數(shù)據(jù)中包括電話號碼和密碼����,故有理由懷疑是從招商銀行的途徑泄露了信息。該筆錄內容同時可以證明�����,招商銀行上訴稱邱皓天將其他網(wǎng)站密碼與網(wǎng)銀密碼設置為相同�����,因其他網(wǎng)站密碼泄露導致網(wǎng)銀被盜的上訴理由不能成立�����,因為被泄露的就是招商銀行的密碼信息�����。第五�,招商銀行要求普通儲戶預見并承擔網(wǎng)銀的潛在風險,對儲戶要求過高�����,招商銀行既然知道有風險�����,就不應將該業(yè)務推向市場����,而自己卻不承擔該風險。第六�,雖然盜刷行為發(fā)生時,系爭賬戶的資金是活期狀態(tài)�����,但可隨時提取用于其他投資�����。自盜刷事實發(fā)生至今已有將近四年�����,該期間內邱皓天喪失了對相應資金的支配使用權和投資機會,故按三年定期利率主張相應損失并不過分�����。第七����,關于招商銀行上訴稱邱皓天對開通短信過濾業(yè)務未加注意,是因為通知邱皓天開通該業(yè)務的號碼并非電信公司的官方服務號�����,故當時誤將其認作垃圾短信未予理睬����。綜上,請求駁回上訴����,維持原判����。
被上訴人邱皓天向一審法院起訴請求:招商銀行賠償邱皓天13,637.73元,及按三年期利率3.75%(招商銀行2015年公布的利率)計算的利息1,534.24元�����。一審審理中,邱皓天確認賠償金額具體計算方式為:(1-648/35,788.5)*13,788.5=13,538.84元�。
一審法院認定事實:邱皓天在招商銀行處申請辦理卡號分別為XXXXXXXXXXXXXXXX、XXXXXXXXXXXXXXXX�����、XXXXXXXXXXXXXXXX的三張借記卡����。
2015年9月14日13時33分,邱皓天到上海市公安局浦東分局南碼頭路派出所報案稱:2015年9月14日13時33分許����,其一張浦發(fā)銀行借記卡被莫名轉走22,000元,其手機號189……89于2015年9月13日3時53分許收到電信XXXXXXXX服務短信�����,成功定制短信過濾服務�����,當時未在意����,次日9時26分許�����,邱皓天取消短信過濾服務后收到短信提示有兩筆交易�。邱皓天馬上取消訂單����,并檢查自己銀行卡發(fā)現(xiàn)一張浦發(fā)銀行借記卡(6225……54)內22,000余元以手機銀行方式被轉走。后邱皓天發(fā)現(xiàn)另外三張招商銀行借記卡(即案涉三張借記卡)被盜刷����,金額為13,888元。
另根據(jù)上海市黃浦區(qū)人民法院(2016)滬0101刑初1072號刑事判決書查明:被告人童可立用非法獲取公民個人信息與被告人唐春模一起對數(shù)據(jù)進行切割�、整理,保留原始數(shù)據(jù)中的移動電話號碼�����、身份證號碼�����、密碼等�,由童可立使用專門的掃號軟件,在服務器上用盜取的網(wǎng)銀登錄名和登錄密碼進行自動匹配����,選取登錄名和密碼正確的信息,再使用變號軟件用被害人的電話號碼撥打通信運營公司客服電話�����,以被害人的名義在被害人的移動通訊功能中開通短信助手業(yè)務�,增設短信過濾、短信保管�����、短信轉移等功能�����,然后登錄被害人網(wǎng)上銀行主頁�����,輸入截取的銀行發(fā)送的轉賬驗證碼等方式�,將被害人銀行卡賬戶中的存款轉賬后予以侵吞。使用上述手法涉及七名被害人,其中邱皓天作為被害人具體有:2015年9月14日�����,邱皓天名下銀行卡(卡號6225……54�、6225……89)中資金共計24,700元轉賬他人銀行卡內、銀行卡(卡號6226……19�����、6212……26)購物共計11,188.5元�。2017年12月8日,邱皓天收到黃浦法院執(zhí)行款648元�。其中卡號為6225……89、6226……19�����、6212……26的三張卡共計13,888元轉賬和消費,即本案所涉的銀行卡盜刷�。
一審審理中,招商銀行對邱皓天主張的損失計算方式無異議�����。邱皓天表示盜刷金額包括100元“招招銀”基金仍在其名下����,可在損失計算的基數(shù)中扣除并調整訴請金額。
一審法院認為����,邱皓天與招商銀行之間因申領銀行卡所建立的儲蓄存款合同法律關系,依法成立����,合法有效,雙方當事人均應恪守履行�。邱皓天應當按照約定妥善保管和使用借記卡和密碼,招商銀行應當按照約定支付存款本息并保障銀行卡內資金和交易的安全�。本案邱皓天及時向公安機關報案、取消異常的短信服務功能和消費訂單�����,已盡到其基本的謹慎注意義務?,F(xiàn)經生效刑事判決查明,邱皓天銀行卡內存款被盜是犯罪分子利用非法獲取公民個人信息和使用專門掃號軟件進行自動匹配,選取登錄名和密碼正確的信息�,再進一步實施其他犯罪行為最終將被害人銀行卡賬戶中的存款轉賬后予以侵吞。此過程中數(shù)據(jù)自動匹配俗稱“撞庫”����,對象是銀行電子登錄系統(tǒng)。當招商銀行電子銀行登錄系統(tǒng)遇到此類異常數(shù)據(jù)請求時,不能識別,無及時合理的防范和應對,客戶資金安全即面臨風險����,最終邱皓天因此遭受資金損失。因此�,招商銀行未能保障客戶資金安全,違反合同約定�����,理應賠償邱皓天資金和利息損失����。邱皓天主張的資金損失計算,與法無悖�����,可予準許�。事發(fā)至今已逾三年,邱皓天主張按招商銀行公布的三年期存款利率3.75%計利息損失�,亦可予準許。綜上�����,邱皓天要求招商銀行賠償13,538.84元及三年利息損失的訴請,合法有據(jù)�,應予支持。遂判決:招商銀行應于判決生效之日起十日內賠償邱皓天13,538.84元及該款按三年期存款利率3.75%計算的三年利息損失�����。一審案件受理費179.3元�����,減半收取89.65元,由招商銀行負擔�。
二審中����,上訴人招商銀行未向本院提交新的證據(jù)。
被上訴人邱皓天向本院提交2019年3月31日其與招商銀行95555客服的通話錄音一份�,證明招商銀行有技術能力識別手機銀行客戶使用的手機是否更換,但是未采取措施控制風險�。
上訴人招商銀行對上述證據(jù)質證認為,對該證據(jù)的真實性�、合法性均無異議,但關聯(lián)性不予認可�。該錄音發(fā)生時間為2019年3月31日,而系爭盜刷行為發(fā)生時間為2015年9月14日�����,針對登錄網(wǎng)銀的手機設備變更情況下的驗證方式,招商銀行于2016年上線了短信驗證碼功能�,于2017年上線了刷臉驗證功能,而在盜刷發(fā)生時并未開通此類驗證功能�����,也不掌握刷臉的技術手段�����。
本院對邱皓天的證據(jù)認證認為�����,招商銀行對其真實性無異議����,本院予以確認。對于關聯(lián)性����,邱皓天提交該證據(jù)旨在證明招商銀行對登錄的手機設備更換有能力察覺,而招商銀行用以否定關聯(lián)性的理由卻是圍繞手機設備更換情況下是否采用短信驗證碼或刷臉方式進行驗證進行陳述����,故其質證意見不足以否定該證據(jù)的關聯(lián)性�,本院對該證據(jù)予以采納�����。
本院經審理查明�,原審認定的事實清楚,證據(jù)充分����,本院予以確認�����。本院另查明:1.邱皓天二審提交的通話錄音中����,招商銀行客服人員表示在客戶手機更換的情況下,招商銀行會識別到����,但識別到之后采取何種風控措施,是根據(jù)風控系數(shù)的級別去做的�����。2.2016年3月22日公安機關對犯罪分子童可立的訊問筆錄中,童可立供述稱“最早是用手工輸入的�����,打碼兔軟件自動識別驗證碼����,嘗試登錄銀行網(wǎng)銀。后來就是用掃號器軟件直接將數(shù)據(jù)導入……”����,二審庭審中,招商銀行表示該段陳述中所稱的“驗證碼”�����,是網(wǎng)銀登錄頁面上的圖案�����、字母�����、文字等形式的組合,需要登錄者驗證后登錄�����,以確保登錄者是人工登錄�����,而非軟件自動登錄�。3.2015年12月18日公安機關對犯罪分子童可立的訊問筆錄記載,公安人員向童可立出示一份收件人為“可力”的電子郵箱數(shù)據(jù)�,附件453條為“上海-電信-招行9月8日”,童可立供稱該郵件“是別人發(fā)給我的撞庫的數(shù)據(jù)����,數(shù)據(jù)中有電話號碼和密碼�。”4.《招商銀行個人客戶電子銀行業(yè)務服務章程》第十一條記載“客戶應提高自身的風險防范意識�,采取以下措施安全使用個人電子銀行……辦理個人電子銀行業(yè)務的密碼應不同于其他用途的密碼……”二審庭審中,招商銀行表示該章程并未以書面形式交給邱皓天閱看�����,而是在招商銀行的網(wǎng)頁上公示�,對于是否曾提示邱皓天去網(wǎng)站上閱讀該章程�����,招商銀行表示不清楚�����。邱皓天則稱�����,招商銀行從未提示其閱讀該章程����。5.《招商銀行個人網(wǎng)上銀行/手機銀行簽約服務條款》第5條記載“客戶申請開通本簽約服務后憑賬號�����、密碼�����、手機號碼和手機短信動態(tài)驗證碼進行轉賬匯款交易時����,客戶對交易指令及由此產生的結果承擔一切經濟和法律上的責任����?���!?br/> 本院認為,儲蓄存款合同中�����,儲戶將其所有的貨幣交付給銀行�����,并對銀行享有還本付息的請求權����。而貨幣作為一種特殊動產�,一旦由儲戶交付于銀行,即與銀行所有之其他資金發(fā)生混合����,從而由銀行取得其所有權,儲戶對銀行所享有的權利,系一種債權請求權�����,而非對其存入銀行的若干張?zhí)囟ㄘ泿诺奈锷戏颠€請求權�。準此,儲戶持實體卡至柜臺�����、自助終端取款或至商戶消費�,又或開通網(wǎng)絡銀行后通過電子指令要求轉賬、支付等行為�,其法律性質均系要求銀行履行相應之債務,而銀行通過工作人員或機器設備又或電子交易系統(tǒng)向儲戶交付相應金額�,或者執(zhí)行儲戶的轉賬、支付指令的行為�,系向債權人履行債務而使相應債權消滅。如有儲戶以外之第三人冒用該儲戶名義向銀行要求行使債權�,對此類冒名行為法律雖無明文規(guī)定,但衡諸當事人間的利益狀態(tài)����,應可類推適用關于無權代理的條文,因此�,銀行如欲主張其向冒名之人履行債務的行為已使儲戶的相應債權消滅,進而無需再向儲戶履行給付義務的,則應舉證證明系爭冒名行為符合表見代理之要件����。反之,若銀行向冒名之人清償債務的行為無法受表見代理制度保護的�����,則該清償行為的法律效果不能歸于儲戶�����,儲戶對銀行的債權不因此而受減損����,銀行仍應向儲戶履行債務。
本案中�,犯罪分子盜用邱皓天的網(wǎng)銀登錄名、密碼�����,截取手機驗證碼�����,以此盜刷邱皓天卡內錢款�����,其在民事法律關系上的實質即冒用邱皓天名義向銀行主張行使債權�����。招商銀行向該冒名第三人支付錢款的行為����,能否發(fā)生使邱皓天的債權消滅的后果,應視該冒名行為能否構成表見代理而定�,就本案現(xiàn)有證據(jù)分析:其一,并無證據(jù)證明因邱皓天自身的行為而導致第三人具有代理權或可以代表邱皓天行使權利的外觀����。其二,就招商銀行是否有理由相信該第三人可以邱皓天名義行使權利而言�,首先,根據(jù)邱皓天二審提交的錄音證據(jù)�,對于登錄網(wǎng)銀的手機與用戶手機是否同一設備,招商銀行有技術能力進行識別�����;其次,犯罪分子利用其獲取的大量用戶信息�����,從同一IP地址或使用同一手機設備嘗試登錄眾多用戶的網(wǎng)銀�,招商銀行對此異常情況應當能夠察覺;再次�����,根據(jù)2016年3月22日公安機關對犯罪分子童可立的訊問筆錄�,以及招商銀行在二審中的陳述,網(wǎng)銀登錄界面的驗證碼本應確保登錄者系手工操作����,排除軟件自動登錄,但招商銀行設置的驗證碼卻能被犯罪分子使用軟件自動識別�����,使冒名盜刷更為便捷�,而招商銀行對此卻未能及時察覺。綜據(jù)上述�,本院認為招商銀行向冒名第三人清償?shù)男袨樵诒景盖樾蜗虏荒苁鼙硪姶碇贫鹊谋Wo,因此不能免除招商銀行對真實債權人邱皓天的義務����,原審判令招商銀行清償本金,于法有據(jù)�����。
邱皓天將其資金儲蓄于銀行�,本可隨時要求提取,但招商銀行卻以已經向第三人清償為由�,拒絕向邱皓天清償債務,構成違約�����,應當賠償因其違約而造成的債權人損失�。此處所稱損失,應指債權人因債務人遲延給付����,對相應資金無法使用而遭受的損失,而非假設在債務人不違約且債權人長期不要求行使債權的情況下�����,債權人本可獲得的利息�����。鑒于招商銀行的違約行為至今已逾三年,造成債權人在此期間對相應資金無法使用�����,故邱皓天主張參照三年期定期利率賠償損失�,尚屬合理,原審予以支持并無不當�����。招商銀行上訴要求按活期利率賠償損失�,本院不予采信。
招商銀行另上訴稱�,邱皓天對《招商銀行個人網(wǎng)上銀行/手機銀行簽約服務條款》簽字確認,根據(jù)該服務條款規(guī)定�,所有憑密交易均視為用戶本人行為,對此本院認為����,對電子交易形式而言,憑各種安全要素識別是否債權人本人交易�,固然具有相當之合理性,但該條款并不免除銀行作為技術優(yōu)勢一方對異常交易的察覺����、甄別和風險控制義務�,條款中所謂憑密交易視為本人行為�����,須以銀行已盡一切技術手段審慎核查各項安全要素為前提�,乃不言而喻之理�,若銀行未能識別異常交易,草率認定安全要素�,自不得援引該條款對抗債權人。招商銀行又稱《招商銀行個人客戶電子銀行服務章程》中規(guī)定儲戶不能將銀行業(yè)務密碼與其他用途密碼設置為相同����,而邱皓天在網(wǎng)銀中使用了其他網(wǎng)站的用戶名和密碼,構成違約����,對此本院認為:其一,招商銀行自認并未將該章程以書面形式交由邱皓天閱看����,也無法說明是否曾提示邱皓天自行上網(wǎng)閱看,因此無證據(jù)證明雙方就該章程的內容達成一致意思表示����;其二�����,招商銀行并未提出證據(jù)證明邱皓天的網(wǎng)銀用戶名和密碼與其他網(wǎng)站一致����,而且根據(jù)2015年12月18日公安機關對犯罪分子童可立的訊問筆錄記載�����,童可立非法獲取的數(shù)據(jù)本身可能即為招商銀行的相關密碼�;其三,雖然該章程中記載“客戶……辦理個人電子銀行業(yè)務的密碼應不同于其他用途的密碼”����,但按諸常理,該內容應屬提醒性質�,而非使用戶負有此項義務,若果如招商銀行所稱�,將網(wǎng)銀密碼與其他用途密碼設為相同即構成違約,則對用戶未免過苛����,也不符合社會一般認知�。因此����,本院對相關上訴理由不予采納。招商銀行另稱邱皓天在盜刷行為發(fā)生之前�,對犯罪分子為其開通短信過濾服務未盡合理注意,但經查明�����,邱皓天于2015年9月13日收到XXXXXXXX發(fā)送的開通短信過濾服務的通知�,并已于次日取消該業(yè)務����,且邱皓天在二審中解釋稱收到通知時因發(fā)信號碼陌生而誤以為垃圾短信,本院認為����,對一般公眾而言,要求其通曉各種犯罪手段�����,并在日常生活中始終以警惕犯罪之注意程度行事,不僅過苛�,且難以實現(xiàn)。本案中邱皓天的行為已盡到合理注意義務�,而招商銀行仍以過高之標準苛責,本院難以采納����。
招商銀行又上訴稱邱皓天選擇開通網(wǎng)銀業(yè)務,即應接受與之伴生的風險����,對此本院認為,風險原則上應當分配于對該風險更有控制力的一方�,始能促其防范風險、避免損害�����。就本案而言�����,相對于個人儲戶����,招商銀行顯然更有技術能力對異常交易行為進行識別和防范�,將風險分配給銀行����,有助于促使其致力于技術升級,避免損害的再次發(fā)生�。相反,若將風險分配給個人儲戶�����,則不僅無助于技術革新����,更可能使公眾喪失對新興交易方式的信心,于社會進步無益�����。因此�����,即使從風險分配的角度�,招商銀行的上訴理由亦不能成立�����。
綜上,原審認定事實清楚�,適用法律正確,判決結果應予維持����。據(jù)此依照《中華人民共和國民事訴訟法》第一百七十條第一款第(一)項之規(guī)定,判決如下:
駁回上訴����,維持原判。
二審案件受理費179.3元�����,由上訴人招商銀行股份有限公司上海泰興支行負擔�����。
本判決為終審判決�����。
審判員:范德鴻
書記員:朱穎琦
成為第一個評論者