——兼评《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》

第四条关于银行卡网络盗刷的规定

杨长禄，广东深天成律师事务所，高级合伙人

【内容摘要】网络支付以其便捷、普惠、环保等特点在改变人们支付习惯的同时，亦为不法分子通过网络盗刷的方式窃取银行卡内的资金提供了契机，给持卡人、发卡行、特约商户、第三方支付机构等造成巨大的经济损失。法院在审理银行卡网络盗刷案件中应当如何分配各方当事人的举证责任，对案件的走向具有决定性作用。本文尝试就银行卡网络盗刷中各方当事人举证责任的承担及认定标准进行简要的分析，以期对司法机关审理类似案件提供参考。

【关 键 词】网络盗刷  银行卡  举证责任  认定标准

随着电子商务的快速发展及互联网络技术，特别是电子支付技术的不断提升，“无现金社会”在短短几年的时间里变成现实，越来越多的消费者选择通过网上银行、手机银行、非银行支付机构（如支付宝、微信等）等进行网络支付。便捷、普惠、环保的网络支付完全颠覆了人们以往的支付习惯，已成为当下的主流支付方式。人们在享受网络支付便捷的同时，一些不法分子利用ATM或POS机、木马程序、免费WIFI等窃取持卡人的卡片信息及密码等个人信息，然后通过网络盗刷手段和方式盗取银行卡内的资金或进行消费，为网络交易带来巨大的风险。由于缺乏统一的标准，对案件的定性、责任承担、举证责任分配及认定标准等方面缺乏明确的标准和依据，导致各级法院在审理银行卡网络盗刷的案件中出现大量同案不同判的现象，影响了司法的权威性。

最高人民法院于是2021年中旬出台了《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》（下称“《银行卡民事案件若干问题的规定》”），希望以司法解释的形式统一裁判标准，但笔者认为《银行卡民事案件若干问题的规定》第四条对网络盗刷中各方当事人举证责任的分配及认定标准的规定有失公允，容易滋生道德风险。为此，笔者尝试提出自己的理解及修改、完善建议，以期为银行卡网络盗刷案件的处理有所裨益。

一、银行卡网络交易类型及特点

（一）银行卡网络交易的类型概述

根据目前银行卡网络交易的实际情况，笔者认为，银行卡网络交易主要有以下几种类型：

1．网络银行交易。网络银行（含手机银行），是互联网上虚拟的银行柜台，具体是指银行利用互联网技术，为持卡人提供账户查询、账户管理、转账汇款、信贷、投资理财等服务的业务受理通道。笔者认为，就法律性质而言，虽然网络银行存在客户身份识别与认证等问题，但网络银行交易与传统银行柜台交易并无本质区别。

2．通过非银行支付机构的快捷支付。快捷支付指持卡人进行交易时，不需开通网银，只需提供银行卡卡号、户名、手机号码等信息，银行验证手机号码正确后，非银行支付机构发送手机动态口令到持卡人预留的手机上，持卡人输入正确的手机动态口令即可完成支付；若持卡人选择保存银行卡信息，则持卡人下次支付时，只需输入非银行支付机构的支付密码或者是支付密码+手机动态口令即可完成支付。

3．条码支付。条码支付，又称二维码支付，是指银行业金融机构、非银行支付机构应用条码技术，实现收款人与付款人之间货币资金转移的业务活动，具体包括付款扫码和收款扫码两种情形。付款扫码是指付款人通过移动终端识读收款人展示的条码完成支付的行为；收款扫码是指收款人通过识读付款人移动终端展示的条码完成支付的行为。

（二）银行卡网络交易的特点

与线下刷卡交易相比，银行卡网络交易具有以下新型特点：

1．交易时不需要实体银行卡片。如前所述，银行卡网络交易时，根本不需要实体的银行卡片，仅需要银行卡号、户名、手机号码、交易密码等信息即可，甚至有时不需要前述信息也可以进行支付，如在通过非银行支付机构的快捷支付时，持卡人首次支付后保存银行卡信息时，下次支付时根本就无需输入银行卡的相应信息；在条码支付的情况下，由于绑定了相应的银行卡并进行了授权确认，通过移动终端扫码直接支付，亦无需输入银行卡的相应信息。

2．网络交易具有较大的安全风险。除网络银行交易外，通过非银行支付机构的快捷支付、扫码支付等交易方式，由于存在不输入银行卡的相应信息，同时亦不需要输入交易密码，如快捷支付仅需输入非银行支付机构的支付密码或者是支付密码+手机动态口令即可完成支付；扫码支付仅需持卡人绑定的移动终端进行扫码即可进行支付。

3．发卡行对银行卡网络交易的验证手段有限。持卡人办理借记卡时，发卡行会要求持卡人设置交易密码，凭交易密码进行支取款项；持卡人办理信用卡时，发卡行会要求持卡人选择签名或签名+密码的交易方式。因此，在线下刷卡交易时，持卡人会输入交易密码或进行签名，发卡行会对交易密码进行验证或者由特约商户对签名进行核对把关，从而控制交易风险。但在网络交易中，特别是在非银行支付机构的快捷支付、条码支付中，一旦设置成功，之后的交易既不需要持卡人输入（银行卡的）交易密码，也不需要持卡人签名，则发卡行将无从验证相关银行卡网络交易的真实性，仅能寄希望于非银行支付机构及条码支付中的条码管理方通过技术手段进行核对把关。现实中，出现大量持卡人将信用卡信息出借给其他第三方进行网络交易的情形，导致交易时人卡分离，发卡行验证手段十分有限，难度加大。

二、网络盗刷与线下盗刷（含伪卡交易）之比较

（一）网络盗刷与线下盗刷的界定

1．网络盗刷。网络盗刷是指银行卡合法持有人的银行卡遗失或者被窃（含银行卡本身被窃取、银行卡的相应信息被窃取）后，窃取方冒用合法持卡人名义、使用持卡人网络交易身份认证信息和交易验证信息进行网络交易，导致合法持卡人银行卡账户发生非因本人意思的资金减少或者透支金额增加的行为。

2．线下盗刷。线下盗刷（含伪卡交易，下同）是指银行卡合法持有人的银行卡遗失或者被窃（含银行卡本身被窃取，银行卡的相应信息被窃取）后，不法之徒持真实的银行卡或伪造的银行卡，以合法持卡人的名义通过交易密码或签名或交易密码+签名的方式在特约商户进行线下交易，导致合法持卡人银行卡账户内的资金减少或者透支金额增加的行为。

（二）网络盗刷与线下盗刷之比较

1．网络盗刷不需要实体银行卡，仅需知晓银行卡的相关信息即可；线下盗刷需要持有实体银行卡，同时还需要知晓银行卡的相应信息。

2．网络盗刷并非必须输入交易密码，亦不必签名，有的仅需要输入非银行支付机构的支付密码；线下盗刷需要按照约定的交易方式进行验证，如交易密码、签名或签名+交易密码。

3．网络交易的验证存在诸多难点，发卡行无法按照约定的交易验证方式进行验证，通常情况下借助非银行支付机构的验证把关，故发卡行基本无法识别网络盗刷；线下刷卡支付除了发卡行按约定方式进行验证外，特约商户亦负有核对验证职责，特别是识别银行卡是否伪造、核对持卡人的签名，除此之外，收单机构也应负有一定的验证责任，如提供的刷卡设备（POS机）性能不合格，将由此承担一定的责任，故在线下盗刷的情况下，发卡行及特约商户、收单机构将承担更多的举证责任。

三、银行卡网络盗刷的举证责任分配及认定标准

银行卡网络盗刷对发卡行、非银行支付机构和持卡人均造成了财产损失，但发卡行与持卡人之间经常对损失的承担存在很大的分歧。只有明确银行卡发卡行、非银行支付机构及持卡人之间的举证责任分配及责任认定标准，才能确认银行卡网络盗刷的损失承担。

（一）举证责任承担的原则

1．“谁主张，谁举证”的一般举证原则。根据《中华人民共和国民事诉讼法》第六十七条“当事人对自己提出的主张，有责任提供证据”和《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》第九十条“当事人对自己提出的诉讼请求所依据的事实或者反驳对方诉讼请求所依据的事实，应当提供证据加以证明，但法律另有规定的除外。在作出判决前，当事人未能提供证据或者证据不足以证明其事实主张的，由负有举证证明责任的当事人承担不利的后果”的规定，在银行卡网络盗刷案件中，持卡人主张存在网络盗刷事实的，持卡人应当举证证明；发卡行可以进行反驳与抗辩，以达到免责或减少责任承担的目的，发卡行对抗辩护事由或者免责理由承担举证责任。

2．举证责任倒置规则。举证责任倒置，是指基于法律、行政法规和司法解释的规定，将原则上本应由提出主张的一方当事人就某种事由不负担举证责任，而由他方当事人就某种事实存在或不存在承担举证责任。通俗的讲举证责任倒置就是将举证责任倒过来，一般情况下不承担举证责任的主体，法律规定让其承担举证责任。《最高人民法院关于民事诉讼证据的若干规定》（目前已失效，但可参照）第七条规定：“在法律没有具体规定，依本规定及其他司法解释无法确定举证责任承担时，人民法院可以根据公平原则和诚实信用原则，综合当事人举证能力等因素确定举证责任的承担。”目前关于举证责任倒置的规定见于《民法典》及其他相关法律、行政法规和司法解释的规定中。法院在考虑当事人的举证能力、分配举证责任后可能产生的法律后果等因素的情况下，结合公平正义、诚实信用的法律原则来确定举证责任的承担。在银行卡网络盗刷案件中，相对于持卡人来讲，发卡行和非银行支付机构处于较为优势的地位，其举证能力、举证条件等方面都明显优于持卡人。故《银行卡民事案件若干问题的规定》第四条试图确定银行卡网络盗刷案件的举证规则——部分举证责任倒置，即是以司法解释的形式加重发卡行和非银行支付机构的举证责任。

（二）银行卡网络盗刷案件中持卡人应承担的举证责任

笔者认为，相比于线下盗刷来讲，在网络盗刷案件中，持卡人应当承担比线下盗刷更重的举证责任，以防止持卡人的道德风险给发卡行和非银行支付机构带来经济损失，严重影响金融稳定和金融秩序。

1．《银行卡民事案件若干问题的规定》关于持卡人举证责任的分配不合理。具体体现在以下几个方面：（1）《银行卡民事案件若干问题的规定》第四条关于持卡人举证提供的证据材料列举为并列式，即任选其一即完成举证责任，结果导致持卡人举证责任过轻，一定程度上增加了持卡人道德风险的出现；（2）除生效法律文书外，《银行卡民事案件若干问题的规定》规定的持卡人提供的其他证据材料均与待证事实即是否网络盗刷无直接因果关系，不能达到一定程度的证明要求；（3）网络交易无需实体银行卡，空间地点可与实际地点分离，故“银行卡交易时真卡所在地、交易行为地”的规定与网络盗刷之间并不具有关联性；（4）网络交易中，持卡人完全可以将银行卡及银行卡信息等提供/出借给第三人使用，故“账户交易明细”的规定与网络盗刷事实之间同样缺乏相应的关联性；（5）“交易通知”、“报警回执”、“挂失记录”等材料也无法单独在一定程度上证明存在网络盗刷的事实。

2．网络盗刷中持卡人应承担的举证责任。如前所述，与线下盗刷相比，网络盗刷更具有隐蔽性，不易被察觉，更不易进行核实和验证。因此，笔者认为，网络盗刷案件中持卡人的举证责任应当重于线下盗刷案件中持卡人的举证责任。具体如下：（1）持卡人提供的生效法律文书可单独认定构成网络盗刷事实的，视为持卡人完成了举证责任，当然，笔者认为应当鼓励持卡人为维护自身的合法权益、查清案件事实而主动提供其他相关证据；（2）除生效法律文书外，持卡人提供其他证据主张存在网络盗刷事实的，应当以形成让法官内心确信的证据链条方可认定其完成了举证责任，而不能如《银行卡民事案件若干问题的规定》第四条中所规定的只要提供其列举的具有并列关系的相关证据材料之一即可，这可能导致持卡人以较低的举证成本损害发卡行和非银行支付机构的合法权益的道德风险上升，增加银行卡业务的运营成本，不利于银行卡业务的发展，同时在一定程度上也会浪费司法资源；（3）持卡人提供报警记录的，还应当提供案涉期间持卡人未进行网络交易的证据，包括案涉期间持卡人本人所在地地址与网络交易的IP地址不同、持卡人与收款人没有基础交易法律关系、挂失记录、网络异常交易记录、账户交易明细、交易通知等证据。这一方面可以形成初步的证据链条证实案涉网络交易并非持卡人本人所为，同时也在一定程度上增加持卡人的举证成本，防范持卡人损害发卡行和非银行支付机构合法权益的道德风险出现。

（三）银行卡网络盗刷案件中发卡行和非银行支付机构的举证责任

笔者承认在银行卡网络盗刷案件中，相比持卡人，发卡行和非银行支付机构处于较为优势的地位，笔者亦不反对给予发卡行和非银行支付机构较重的举证责任，但应当结合网络支付的特点和发展趋势，在举证责任的规定上应与时俱进，更具有操作性和针对性。

1．应当确认使用密码的交易责任由持卡人承担。其理由如下：（1）中国人民银行《银行卡业务管理办法》第三十九条规定：“发卡银行依据密码等电子信息为持卡人办理的存取款、转账结算等各类交易所产生的电子信息记录，均为该项交易的有效凭据。发卡银行可凭交易明细记录或清单作为记账凭证。”该规定间接确立了“私人密码交易视为本人行为”原则，法院应尊重这一重要的商事交易原则，不应轻易否定其效力。（2）在银行卡网络交易中，私人密码（包括银行卡交易密码、非银行支付机构的支付密码）由本人生成且只有本人知悉，其作用在于辨识持卡人身份及对交易内容的确认、起到数字签名（电子签名）的功能。（3）在银行交易系统中，即使在银行柜台电脑前的工作人员亦无法知晓，银行中心机房也无法查到持卡人所设密码。（4）发卡行、非银行支付机构在与持卡人签订的领用合约或服务合约中，基本都约定如下内容：“密码应由持卡人（用户）本人设定，且密码属于重要私密信息，持卡人（用户）必须妥善保管，不得泄露给其他第三人。因密码保管不善造成的损失由持卡人本人承担。”该约定是《银行卡业务管理办法》第三十九条规定的具体体现，不存在任何违法违规的地方，根据《中华人民共和国民法典》的相关规定和关于密码设定及查询实际情况，前述约定具有法律效力，法院应当予以确认。（5）以下特殊情况的出现视为“私人密码交易视为本人行为原则”的例外：一是私人密码使用涉及的软件密级程度过低；二是失窃、失密及时向银行挂失后，有人仍凭此密码交易；三是操作系统受到黑客攻击。

2．应当确认使用手机动态口令的交易责任由持卡人承担。其理由如下：（1）手机动态口令是一次性有效的密码安全防护措施，是利用手机作为随机密码生成或者接受终端，持卡人在登录交易系统时候，输入手机上生成或者接收到的不停变化的随机密码。（2）手机动态口令具有持卡人身份即时认证的功能，大大提升了交易的安全，被广泛应用在网银、第三方支付、证券、电信、电子政务、企业等领域。（3）目前常见的手机动态口令是交易系统以短信密码的形式出现，一般为6位随机数的动态密码。持卡人在登录或者交易认证时输入该动态密码，以确保系统身份认证的真实性。上述特性在技术上排除了发卡行存在过错的可能（程序错误除外），手机动态口令的泄露基本都是因持卡人自身行为或特定环境导致，因此发卡行不应当承担责任。

3．对发卡行不存在过错的网络盗刷交易的认定及举证责任。网络交易除持卡人本人交易或者持卡人授权交易外，还可能存在因持卡人过失或故意泄露交易（支付）密码和手机动态口令，第三方通过病毒软件窃取银行卡信息及密码、拦截手机动态口令等银行卡盗刷交易情形，而作为发卡行对该等网络盗刷交易根本不存在任何过错，笔者认为该等情形下的网络盗刷，一旦发卡行举证证明自身不存在过错，则发卡行将不承担任何责任。

四、对《银行卡民事案件若干问题的规定》第四条关于网络盗刷部分的修改建议

通过本文前述分析和阐述，笔者认为《银行卡民事案件若干问题的规定》第四条中关于网络盗刷部分内容可以作如下修改：

持卡人主张存在网络盗刷事实的，应当提供生效法律文书或报警记录及案涉时间未进行网络交易的证据，该等证据包括但不限于挂失记录、持卡人与收款人不存在基础交易法律关系的证据、案涉时间本人所在地址与网上交易IP地址不同的证据、网络异常交易记录、交易通知、账户交易明细等。

发卡行、非银行支付机构主张争议交易为持卡人本人交易或者其授权交易或者其他非因发卡行、非银行支付机构过错而发生的交易，应当承担举证责任。发卡行、非银行支付机构可以提供交易身份识别信息、交易验证信息等证据材料进行证明。但发卡行、非银行支付机构应提交案涉交易行为发生时的交易单据、对账单等证据材料，无合理理由拒不提供的，应承担举证不能的法律后果。

[0] 笔者认为，虽然我们平时将网上银行、电话银行、手机银行等并称，但实质上电话银行、手机银行亦属于广义上的网络银行，故本文中不再细分。

[1] 参见中国人民银行《条码支付业务规范（试行）》【银发〔2017〕296号】第二条。

[2] 不同的非银行支付机构对扫码支付的设置不同，如支付宝或微信扫码支付，若是收款扫码支付，则无须持卡人在移动终端输入支付宝的支付密码；若是付款扫码支付，则需要持卡人移动终端输入支付宝或微信的支付密码。

[3] 刘泽华、梅明华、陈云著：《银行卡业务法律风险防控理论与实务》，191-192页，北京，中国金融出版社，2013。