当前以手机网络、互联网等信息技术为基础的移动支付、电子银行等新型交易模式快速发展，为银行卡用户提供了便捷。然而与此同时，因金融机构业务互联网化创新模式引发大量交易风险，互联网新型维权纠纷日益涌现。本文所介绍的“补卡截码”盗取持卡人手机银行资金纠纷，具有一定的代表性。在这种情况下，银行和电信公司是否应当承担持卡人的资金损失呢？且看本文案例所给出的答案。

    与传统使用银行卡片与密码（无密交易不需要）结合的交易模式不同，电子银行交易流程中去掉验证银行卡实体卡片一环，加入了系统登录密码、验证码验证两个步骤。传统盗刷系利用银行卡磁条信息制作伪卡，同时输入窃取的密码完成交易，电子银行交易的盗刷则是犯罪分子通过伪基站、假红包、植入木马等方式窃取用户用卡信息，通过电话、短信等方式自持卡人处获取交易所需验证码完成的。如验证码系持卡人自行提供，法院一般认定损失自负。

    本案结果则不同，最终银行与电信公司分担了持卡人的全部30余万元损失。犯罪分子的手段是：利用非法获取的“料”（注：银行卡持卡人的身份信息、银行卡号码、交易密码、绑定手机号等信息），用办理的假身份证，在电信营业厅补办绑定手机号手机卡，再通过网上银行变更绑定手机号，截取交易验证码，再进一步利用非法获取的信息完成转账交易。法院终审认定银行与电信公司构成共同侵权，对持卡人的损失分别承担50%的赔偿责任。

案情

2011年左右，刘先生在浦发银行申领尾号为9351的借记卡一张，填写了轻松理财服务申请书，签约开通了手机银行业务，绑定尾号为7775的手机号码（系刘先生于2011年在中国电信办理），同时该银行卡亦办理了个人网上银行修改通知手机号码业务。此后刘先生将上述银行卡升级并换领卡号为“62×××37”的白金卡，延用原卡手机银行、网上银行业务，绑定手机号仍为尾号为7775，安全认证方式仍为动态密码。

2012年6月10日，犯罪分子李某使用假身份证在南京一家电信营业厅对刘先生的上述“7775”的手机卡挂失后进行补办，并将补办好的卡交给犯罪分子崔某某。当晚，崔某某通过动态密码版网上银行关闭刘先生原签约手机号码的手机银行功能，新签约手机号为7452的手机银行。利用网上银行与手机银行，将刘先生的上述白金卡中50万元资金盗取。事发后，原告刘先生领取赃款134508元。

因与银行、电信公司就赔偿问题协商不成，刘先生向南京市秦淮区人民法院起诉，请求判令浦发银行、电信公司共同向其赔偿365492元及利息。

秦淮区人民法院一审认定浦发银行未向刘先生行使必要的告知义务及相关格式合同中条款的释明义务，在无证据证明因刘先生原因导致损失时，浦发银行应当承担全部赔偿责任。浦发银行不服，向南京市中级人民法院上诉。

2016年11月30日，经过二审审理，南京中院作出（2016）苏01民终4629号判决，该判决对持卡人的请求权基础、银行和电信公司是否构成侵权等问题进行了深入分析，认定银行与电信公司构成共同侵权，改判银行与电信公司对持卡人被盗刷的资金损失各自承担50%赔偿责任。

法院裁判观点总结

1、持卡人请求银行与电信公司赔偿的请求权基础是什么？

本案一审、二审法院均认定：刘先生的银行账户存款系被犯罪分子通过网上银行、手机银行以非法途径盗取造成损失的，犯罪分子先后非法获取了刘先生案涉银行卡的帐号信息及电子交易系统登录密码、交易密码以及验证码，实施了案涉交易的转账。

刘先生自述浦发银行、电信公司系分别违反了银行账户信息安全保障义务、通讯信息安全保障义务。一审法院认为，浦发银行与刘先生之间形成储蓄存款合同关系，浦发银行依照商业银行法的规定，对刘先生负有信息密码保密的义务、按时支付本息的义务、保障刘先生的合法权益不受任何单位和个人侵犯的义务及相关的安全保障义务；电信公司与银行之间没有合同关系，且与本案不属于同一法律关系，因此驳回了刘先生要求电信公司承担赔偿责任的请求。二审法院则认为，本案刘先生主张浦发银行、电信公司共同赔偿其损失的诉讼请求不适用合同法律关系，其诉讼主张的请求权基础应为《中华人民共和国侵权责任法》规定的分别侵权责任法律关系，一审法院对此认定不当。

2、浦发银行是否构成侵权？理由呢？

一审法院基于储蓄存款合同关系，认定浦发银行违反《电子银行业务管理办法》相关规定，未充分告知刘先生每种安全认证方式各自优缺点及电子银行的风险，也未能证明已经向持卡人履行了格式合同条款的释明义务，存在过错。

二审法院认可犯罪分子是通过非法途径获取刘先生的相关信息资料的事实结论，进而以侵权视角展开论述：浦发银行系案涉电子银行的信息技术、交易系统的提供者，有义务且在资金、知识、设备、技术等方面更有条件防范犯罪分子窃取银行卡信息，向储户提供安全的交易环境。在不能排除不法分子利用电子银行的固有风险进行技术侵害等前提下，浦发银行亦未举证证明刘先生对案涉银行卡信息及密码泄漏存在过错，且犯罪分子通过网上银行变更刘先生事先预留的接收动态验证码的手机号码，增加了刘先生资金被盗刷的风险，故应当推定浦发银行未尽到帐号信息密码的安全保障义务，具有过错，理应对刘先生的案涉损失承担相应的侵权赔偿责任。

浦发银行主张的凭密码支付应当视为刘先生本人交易的抗辩意见，未能获得法院支持。法院认为，商业合同的约定应以当事人的合理能力范围为基础。刘先生作为普通民事主体，在借记卡及电子银行密码保管方面，其能力范围仅限于对其自身行为予以规范即妥善保管防止泄密，对于他人通过其他手段获取该密码，刘先生并无能力予以防范，故此约定仅应适用于刘先生对密码泄漏负有过错的情形，浦发银行的上述主张不能成立。

3、电信公司是否构成侵权？理由呢？

二审法院认为，犯罪分子使用伪造的刘先生身份证办理补卡业务，电信公司作为通信网络服务提供者，其有关工作人员在刘先生本人未到场的情况下未尽到善良管理人的注意义务，未将犯罪分子伪造的身份证与刘先生之前办理7775手机卡时预留的身份证复印件进行核对，亦未采取必要技术措施对伪造的身份证进行识别和联网核验，即为犯罪分子办理了刘先生用以接收案涉银行卡网上银行动态密码的7775手机号码挂失、补办SIM卡业务，客观上为犯罪分子截取电子银行动态密码提供了条件。电信公司未尽到合理限度范围内的信息安全保障义务，与刘先生案涉损失的发生具有因果关系，应当承担相应的侵权责任。

关于电信公司主张的其只对能够合理预见的损失进行赔偿，案涉损失并不在其合理预见范围内的抗辩意见，法院认为，此预见的内容并不是损失数额，而应该是损害的种类或类型，在电子银行日益成为一种交易模式的当下，电信公司作为电信业务经营者，知道或者应当知道用户将手机与电子银行交易系统进行绑定这一行为的普遍性，以及手机SIM卡被冒领会造成绑定银行账户资金损失的可能性，故电信公司的抗辩意见不能成立。

结语

办理储蓄存款业务的个人客户，是银行面对的最广泛的金融消费者之一。电子银行以网络或者通信技术作为支撑，其技术密集性在一定程度上决定了它的高技术风险，如技术漏洞风险、系统设计风险和恶意攻击风险等。

南京中院的终审判决，旨在督促银行采取措施，提高技术手段及服务水平，全面、明确、清晰提示金融交易风险，多渠道展开对金融消费者的安全宣讲与教育，切实保护金融消费者的财产安全权、知情权、受教育权及信息安全权。同时亦可以督促通讯商在开展业务时充分评估可能对用户带来的潜在风险，并采取有效措施谨慎地进行控制，加强重点业务规范管理，完善身份信息和证件核验技术手段，严格落实电话用户真实身份信息登记制度，保障用户信息安全。

最后我们需要反思一点，用验证码作为身份验证的最后一步，是否是平衡了交易效率和交易安全的最佳方式？

【声明】：本文内容转自互联网，仅供学习参考之用，如涉及版权问题，请联系删除。

欢迎到云法律网 免费法律咨询 律师在线解答 咨询律师  离婚咨询  法律顾问