一、银行卡网络盗刷综述
(一)银行卡网络盗刷的概念及其背景
所谓银行卡网络盗刷,依照《关于审理银行卡民事纠纷案件若干问题的规定》(征求意见稿)第十五条规定,是指“他人冒用持卡人名义、使用持卡人网络交易身份认证信息进行网络交易,导致持卡人银行卡账户资金减少或者透支金额增加的行为”。银行卡网络盗刷多与电信诈骗相关。随着我国互联网金融的迅猛发展,电信诈骗的数量也随之剧增。根据全国性警民联动的网络诈骗信息举报平台——猎网平台发布的《2017年网络诈骗趋势研究报告》现实,2017年网络诈骗举报数量达到24 260件,人均损失14 413.4元。其中金融理财类诈骗是首要威胁,人均损失超过5万元 。电信诈骗多为异地作案,犯罪分子通常具备一定的反侦察能力,破案周期相对较长。受害人通过刑事追诉较难挽回损失,因此往往会选择起诉开户行或发卡行,通过银行卡民事纠纷维护权益。
(二)银行卡网络盗刷案件的典型案例
以下是一例相对典型的银行卡网络盗刷案例。甲向乙银行申请办理信用卡,乙银行经审核后向甲发放了信用卡。甲可以使用该信用卡进行透支消费,并需按月偿还透支部分的款项。某日,甲的手机(该手机号即为甲向乙银行申请信用卡时所使用的手机号)收到了一条短信。发送该短信的号码即为乙银行对外统一所使用的“9****”,短信内容大意为登录银行手机银行网址便可将信用卡未兑换的积分立即兑换为现金云云。该网址与乙银行对外公布的网址高度相似,但并不一致。甲误信该短信内容并在手机上点击该网址并登录了网站,然后根据网站的要求自行输入了包括信用卡卡号、交易密码、预留手机号码等信用卡关键信息。输入完毕后不久,甲的手机立即收到了三条短信,内容分别为:1、甲正在为其名下的信用卡在第三方支付平台丙开通快捷支付业务;2、甲成功地开通了这一快捷支付业务;3、甲通过上述快捷支付业务用其信用卡向商户丁支付款项50000元。甲立即怀疑信用卡被盗刷,在向乙银行举报盗刷后甲为避免逾期还款自行偿还了当月账单。而后甲在获悉乙银行拒绝确认盗刷后起诉乙银行,要求乙银行向其返还所垫付的盗刷款项。
(三)银行卡网络盗刷案件的特点
这一案例充分体现了银行卡网络盗刷案件的诸多特点。现将其简要概括如下:
一是纠纷往往涉及多方当事人的特点。上述案例中至少包括持卡人(诈骗受害者)、发卡行、跨行清算交易系统(银联)、诉争交易的收款方、第三方支付平台、电信运营商以及诈骗方七方主体。事实上,每一方主体都与涉案交易的发生存在因果关系和/或(法律上的)利害关系 。各个主体之间的法律关系也有如蛛网一般错综复杂。
二是电子合同的大量适用。此案中除了持卡人最初向发卡行提交的信用卡申请表之外,再无其他任何原始的纸质合同或凭证(有银行已经开始线上发行信用卡,连纸质申请表也无需提交)。所有合同文本、合同条款及履约凭证全部储存于线上服务器内。
三是证据效力的难以认定。如前所述,此类案例基本不存在任何纸质介质的原始证据。而习惯了依靠原始形成的书面证据来认定事实的法院在面对大量系统截屏或系统打印件之时难免会陷入左右为难的困境。任何证据均存在被篡改的可能性,但是与传统证据相比,篡改电脑或手机截屏、照片以及其他打印件、复印件的难度显然要小得多。如何尽快适应审查电子证据乃至找到相对统一的审查标准也是摆在裁判者面前的一大难题。
四是法律规则的供给不足。针对电子合同以及线上交易模式,摆在裁判者面前可供选择的裁判规则少之又少。虽然我国针对电子合同已经颁布了《中华人民共和国电子签名法》,并且在民法总则当中对以数据电文形式作出的意思表示也有规定。但是客观来讲,除了互联网金融服务提供者所提供的合同条款之外,几乎没有可以专门适用于诉争争议的特定规则。
五是起诉请求权基础的混乱。具体表现为原告方对自己诉讼请求所对应请求权基础的认识不清,时而基于违约时而基于侵权;被告方高度依赖合同条款进行答辩。在面对相对凌乱的起诉之时,裁判者也在怀疑电子合同条款效力的同时,缺乏足以形成三段论的认识体系,结果导致裁判逻辑同样五花八门。
二、银行卡网络盗刷案件中的法律关系分析
面对疑难案例之时从案件争议所涉及的法律关系开始入手分析通常不失为良策。首先不妨从对案例一中所涉法律关系的分析开始。
第一,甲与乙银行之间存在信用卡合同关系,在该合同项下,甲有权以自己的名义作为持卡人直接地或通过第三方向乙银行发出付款给某收款方的交易指令,乙银行在收到上述指令后有义务审核该指令的真实性并完成付款义务;同时乙银行有权要求甲偿还每个账单周期内总计发生的垫付款项。
第二,诈骗者丁通过技术手段窃取了甲所持有信用卡的关键信息,利用该信息假冒甲的名义与第三方支付平台丙订立了快捷支付协议。根据该快捷支付协议以及平台丙与乙银行之间的合作协议,平台丙有义务在收到来自甲的付款指令后自甲的银行账户将款项转至指定对象处。此后,丁再次冒用甲的名义,通过平台丙使用甲的信用卡完成快捷支付,交易相对方戊实际取得乙银行支付的款项。乙银行同时认为自己取得了要求甲偿还上述款项的相关债权。
因此,案例一的诉争争议可以归纳如下:一、甲是否受该快捷支付协议约束。二、乙银行在依据平台丙所发送交易指令完成付款后,是否有权要求甲依约偿还所付款项。
为更清晰地展示互联网背景对交易模式的影响,在此引入对照案例二。案例二发生在互联网出现之前的世界,此时所有合同的订立还是通过传统签字画押的方式。在这一案例中,甲乙二人相貌相似,乙偶然拾得了甲的身份证件,并冒用甲的名义与贷款人丙订立了借款合同,丙则实际向乙支付了借款。在此情况下,甲是否受该借款合同的约束?丙是否有权直接要求甲返还借款?
该案例实质其实指向了司法实务中争议已久的一个重要问题:亦即冒用他人名义所为法律行为的效力问题。对此,有观点认为可类推适用表见代理制度,认定被冒名者虽未实际作出该法律行为,但其仍受约束。另有观点认为可类推适用无权代理制度,并在被冒名者拒绝追认的情况下认定该法律行为无效;还有观点认为代理仅为民法上一种特殊制度,只能在代理人表明代理人身份时才能适用,不应随意扩大解释或类推适用;对此类案例应当直接认定甲与丙之间不存在合意,法律行为自然亦不存在,甲不应受其约束。
冒名行为之所以争议不断,或许关键原因在于对意思表示及其作出机制的认识不同。本文认为,在乙没有表明其将代理甲作出意思表示的情况下,乙所实际作出的意思表示必然只能约束乙而不能约束甲;但丙事实上并不想与乙订立合同,换言之无论是乙与丙,还是甲与丙之间均不存在合意。由此所得出的结论是,甲与丙之间尚未达成合意。因此,本文赞同上述第三种观点。
但是,如果用这种逻辑去解释前一个案例时,问题便出现了:依照该逻辑势必得出甲与平台丙之间不存在快捷支付协议的结论,进而得出乙银行依据平台丙的指令进行付款并无合同依据,最终得出甲有权要求乙银行返还垫付款项的结论。然而这一结论果真是正确的吗?
最后通过引入案例三来更为直观地认识到这一结论的错误。案例三回到了互联网交易的大背景之下,可以将其概括为互联网时代的冒名交易。在案例三中,某网上商城丙的用户甲惯用的购物账号及密码因故泄露给乙,乙便通过登录甲的账户使用甲所绑定丁银行的银行卡完成了一笔实物交易并获得该物。甲发现后,能否向商城或银行要求赔偿自己的损失?当然,甲对商城丙的请求通过甲与丙的用户协议应当可以直接予以解决,而甲对丁银行的请求同理可证。但是,假如两份协议没有类似“凡是使用甲的账户所进行的全部交易其后果均由甲自行负担”等约定条款,甲对丙或丁的请求就应当得到支持吗?恐怕也未必。但是依据何在?
本文认为,在案例三中,核心问题在于自然人甲通过注册商城账户的行为,事实上创制了一个只存在于互联网中的虚拟“主体”。当然,目前对这个虚拟“主体”的法律属性没有规定,对其“权利能力”或者“行为能力”的任何讨论更是为时尚早。但是,将这个虚拟“主体”视为自然人甲作出意思表示的工具或者说途径应当是没有争议的。承认这一点,问题就会变成:凡通过这一账户作出的意思表示是否均应视同为甲本人所作出?如是,即便确实是乙盗用了甲的账户向商城丙发出了交易的意思表示,商城丙仍然有理由认为该意思表示的作出主体是甲并最终与甲形成合意(基于意思表示的客观主义原则)。而丁银行基于一个有效的法律行为依据其与甲的相关支付协议完成付款自然也是有效。
那么,上述结论的正当性何在?本文认为,保护交易相对方的合理信赖在线上交易的背景下至为重要。换言之,甲是否通过交易前主动积极的意思表示使交易相对方对甲的身份产生合理信赖成为问题关键。举例而言,这与我国古代皇帝调兵遣将时所使用的虎符颇为类似,而且也是案例三与案例二决定性的不同。
在案例三中,甲事实上作出意思表示愿意与商城丙订立线上交易服务合同,丙完全有理由相信使用甲本人所创立账户的行为人就是甲本人,因此从客观主义立场出发,即便是针对他人使用甲账户与丙达成的具体交易,也应当认定甲就是这一具体交易的相对方。而在案例二当中,甲从来没有向贷款人丙作出过任何意思表示,丙只是基于甲与乙相貌类似的理由相信乙就是甲本人。在此情况下,最严格的客观主义原则也没有适用的空间,甲与丙之间并不存在合意,因此丙应当自行承担交易对象身份认定错误而导致的不利后果。
与传统线下面对面的交易相比,线上交易注定要求表意人通过某种工具或称机制来对相对方作出意思表示,例如网站账号、预留手机等等。这种从表意人自身剥离出来的工具或称机制给了客观主义原则进驻的空间,结合意思表示解释理论中的表示主义立场,本文认为在如今互联网交易背景之下,对上述意思表示的作出工具或称机制予以认可既有必要,同时也是正确的。
如此一来,便可继续回到案例一并作出分析。案例一中,甲与乙银行之间的信用卡合同关系有效存续。甲使用信用卡刷卡消费时自然需要另行向乙银行发出意思表示,该意思表示的内容为要求乙银行向特定对象支付消费款项。而当消费发生在互联网上时,该种意思表示的载体必然只能是数据电文,其必备要素至少包括交易对象、款项数额以及甲与乙银行事先约定的足以使乙银行合理信赖该意思表示为甲所发出的外观表征(例如交易密码或手机验证码等)。换言之,针对通过数据电文所发送的意思表示,甲与乙银行在订立信用卡合同关系之时便已经确定了一套固定的发出及确认机制。此外,某种意义上讲,甲与乙银行之间确立的此种机制在乙银行及其合约对象之间具有传递性。如案例一中,与乙银行存在合作协议的第三方支付平台丙虽然未与甲事先确立此种机制,但是丙在收到包含前述外观特征的意思表示并经乙银行确认核实后,同样可以合理信赖该意思表示为甲所发出,并使得其与甲之间客观上形成了合意。据此,便可以作出结论:在甲出于真实意思表示与乙银行订立信用卡合同关系的前提下,凡使用甲所预设的交易密码或通过甲预留手机所收到验证码所完成的交易(包括与第三方订立的其他互联网金融类合约),其所产生或所附义务均应当由甲负担。
综上所述,由于互联网交易中表意人作出的意思表示必须通过数据电文的方式作出,因此若表意人在订立最初的合同时意思表示为真并与相对方形成合意。此合意形成后,基于客观主义解释立场的要求,凡通过相同工具、方式或路径而对相对方所作出的意思表示,其效果均应当约束表意人本人,除非这种意思表示的作出乃是由于相对方自身故意或过失所导致。在后一种情形下,可以推定相对方知晓或应当知晓该意思表示主观上不真实的情形,因而不采用客观主义的解释立场。
值得一提的是,上述逻辑在面对传统伪卡盗刷时也能给予充分解释。所谓伪卡盗刷,指犯罪嫌疑人通过技术手段复制他人银行卡(绝大多数为磁条卡),并通过复制的银行卡完成ATM机取现或POS机消费并造成持卡人损失。此前司法实务中多以发卡行有义务保障持卡人账户安全为由支持持卡人的诉讼请求。若适用上述逻辑后,便可以将持卡人与发卡行在发卡之时所达成的合意解释如下:持卡人与发卡行一致确认,所有支付均应当使用发卡行所向持卡人实际发放的银行卡,换言之该银行卡本身即为双方共同认可的信赖基础,也是持卡人发出意思表示的唯一载体,持卡人也只应当对通过该银行卡完成的交易承担责任(例如卡片和密码遗失导致的盗刷亦应当由持卡人本人承担)。非因持卡人本身原因造成的伪卡交易,因发卡行负有确认相关交易指令是否经由该银行卡所发出的义务,在发卡行事实上未能准确予以识别的情况下发卡行便应当自担风险。
三、结语
金融消费从线下向线上转移已经成为不可逆转的发展趋势。新型矛盾纠纷自然也会随之产生。作为裁判者的法院也应当尽快熟悉互联网金融业务的特性,以促进互联网金融健康发展为准则并对传统的裁判思路作出调整。不言而喻,在保障资金安全以及防范诈骗风险这两方面,金融机构能做的显然比金融消费者更多。但是,这是否意味着针对以银行卡网络盗刷案件为例的互联网金融纠纷,法院就应当无原则地更加偏向保护金融消费者呢?对此意见,本文认为以维护法律体系的一致性和准确性为原则的裁判规则势必更有利于整个互联网金融行业的发展,而若一味地偏向保护金融消费者却可能导致从业者面对相对混乱的规则而无所适从。从审判指导实践的立场出发,一个统一而准确的规则体系恰好可以指引互联网金融从业者尽快针对制度上的风险点积极采取措施,例如针对电信诈骗,从业者完全可以采用更具有人身专属性、更为安全的识别交易主体的机制(例如指纹识别、人脸识别乃至瞳孔识别等),以此来保障对交易相对方身份识别的正确性,进而最大限度地将风险防患于未然。此外,大力推广金融产品财产损失保险或互助型保险也可以更有效更直接地保护金融消费者的合法权益,实现这一目标则需要全体互联网金融从业者的共同努力。