互联网支付中发卡行应审查“凭密开通”指令的真实性
—— 甲某诉乙银行信用卡纠纷案
【裁判要旨】
在信用卡网上支付功能开通过程中,发卡行未能将“凭密开通”的流程详尽告知持卡人,不能证明双方就互联网支付的开通已达成合意,因追求网络交易效率而忽视了对网络交易安全的保护,应当对持卡人的盗刷损失承担相应的法律责任。持卡人对诈骗电话未作谨慎识别,并将网上交易扣款所必须的动态密码全部泄露给案外人,亦是导致盗刷发生的原因之一,亦应对其损失承担部分责任。
【关键词】
第三方支付 凭密开通 审查义务
【案情】
原告甲某系被告乙银行的信用卡客户。2015年3月23日、24日、25日,原告手机分别接到来电显示为001955**、00021955**、0021955**的自称为被告客服的电话,称可以帮原告调高信用额度,但需要原告告知其手机上的实时动态密码。被告发送至原告的验证短信的基本格式为:“任何人索取动态密码均为诈骗,切勿泄露!尾号****账户××元支付的动态密码为******”。原告将其收到的动态验证密码悉数告知了案外人。事后,原告发现涉案信用卡已经通过网上交易的形式被第三人盗刷了人民币22,896元,其中,2015年3月23日的十笔系争交易系通过第三方支付平台网银在线完成,每笔为972元;2015年3月24日的十笔系争交易系通过第三方支付平台汇付天下完成,每笔为972元;2015年3月25日的系争交易系通过第三方支付平台汇付天下完成,其中三笔为972元,一笔为540元。原告认为系争交易并非自己真实意思表示,遂起诉要求被告赔偿损失22,896元。另,每一笔系争交易发生后,被告均向原告发送了相应的消费提示信息。被告在其官方网站的“首页-电子银行-电子支付-最新活动详细页”刊登了“网上支付免签约”的公示。2015年3月23日18时39分,被告首次向原告发送实时动态消费密码,通过验证该动态消费密码,被告同时为原告开通了涉案信用卡的网上支付功能,但短信内容中未告知原告该动态密码系用于开通网上支付功能。
【裁判】
法院经审理认为,涉案信用卡网上支付功能是通过输入动态密码即时验证开通的,与传统的由持卡人本人到银行网点进行当面开通的方式并不相同。案件的争议焦点在于:第一、被告在系争信用卡网上支付功能的开通过程中是否尽到了审慎地审核验证义务,是否能够确保该交易反映了原告的真实意思;第二、被告对于系争交易的进行和完成是否履行了合理的风险提示义务;第三、如果被告存在相应的违约行为,应当承担何种程度的违约责任。
被告对互联网支付的开通需审慎审核以确保开通指令系原告真实意思表示,即在涉案信用卡进行网上支付之前,被告应当依约审核原告是否向其发出了真实的开通指令。首先,从双方的约定和告知情况来看,被告未提供由原告本人签名的《信用卡申请表》,仅提供了一份由原告签署的确认知晓“办理信用卡重要提示”的截图,该截图中的“重要提示”内容并未包含任何关于开通信用卡电子支付功能的告知和提示,无法证明其将《信用卡申请表》中关于电子支付开通方式的约定明确告知原告本人,不能证明双方就“凭密开通”达成合意。其次,从网上支付功能的开通流程来看,被告仅依据其网上公示的“网上支付免签约”服务公告,将开通网上支付的签约验证和首次付款使用同一个实时短信验证码进行验证,上述公告内容未有效通知原告,不能证明双方就“网上支付免签约”服务内容达成合意。第三,从网上支付的具体验证方式来看,被告将开通电子支付功能和首次扣款绑定在一起同时验证,但在发送动态密码验证短信时,并未在短信内容中明确告知动态密码可以用于开通电子支付服务,仅仅告知了动态密码系用于扣款用途,从而使得原告对于其持有的信用卡被用于网上支付并不知情。
综上,被告未能将涉案信用卡开通网上支付功能的流程详尽告知原告,不能证明双方就互联网支付的开通已达成合意,过分追求网络交易的效率而忽视了对网络交易安全的保护,应当承担次要责任;原告对诈骗电话未作谨慎识别,并将网上交易扣款所必须的动态密码全部泄露给第三人,导致系争交易最终完成,应对其财产损失承担主要责任。法院因此酌定被告乙银行对原告甲某的财产损失承担20%的责任。
【案例意义】
本案系“互联网支付盗刷”引发的信用卡纠纷。互联网支付无需借助信用卡物理载体本身,仅需凭借信用卡持卡人的身份信息、信用卡信息以及实时动态验证码,即可在网上支付平台完成交易。在此过程中,商户对持卡人及信用卡“面对面”的审核义务彻底丧失,取而代之的是支付平台对持卡人及信用卡相关信息的“非面对面”式的审核,这虽然为持卡人带来迅捷的支付体验,但开通方式的虚拟性和高效性引发交易风险的多样性,也增加了信用卡盗刷的风险。因此,发卡行需审核互联网支付开通是否系持卡人本人的真实意思表示,确保双方对开通互联网支付达成合意。对于信用卡互联网支付的开通,发卡行一般在信用卡领用合约中约定适用“凭密开通”规则,也即凡是使用密码发出的开通指令,均是视为持卡人所为,但“凭密开通”规则是否在持卡人和发卡行之间形成了有效的合意应予以具体分析。“凭密开通”不同于传统的“凭密支付”规则,其只有在明确约定的情况下才有适用的余地。互联网支付处于“非面对面”交易模式下,对于第三人直接窃取持卡人信息开通互联网支付服务的,用户实质上并不存在开通的意思表示,也就不存在“凭密开通”的合意,且“凭密开通”属于格式条款的约定,在互联网支付的背景下,实质上剥夺了持卡人的“当面”审核权。发卡行在不能证明双方就互联网支付的开通达成合意的情况下应当承担相应的责任,当然,如果持卡人存在泄露密码等行为的,也应当承担相应的责任。
本案判决紧扣互联网支付“非面对面”审核的新特点,重点审查被告作为发卡行在互联网支付的开通过程中是否确保了开通指令系原告的真实意思表示,综合考量双方当事人在系争交易完成过程中的违约程度,酌情认定被告对系争损失承担20%的责任。本案对互联网支付引发的盗刷案件中,如何认定发卡行的民事责任具有一定示范参考作用,对新金融业务的规范发展有一定引导作用,对于金融消费者也有警示教育意义。
对于信用卡持卡人来说,在使用信用卡网上交易过程中应注意:第一,对于发卡行的客服电话应作谨慎识别,如果来电客服号码前加有不正常区号的,应提高警惕;第二,银行发送的即时动态密码仅供本人使用,他人要求即时动态密码的,多为诈骗电话,应当严加防范;第三,对于银行发送的消费、服务信息,如有疑问的,应当及时向发卡行核实,切实保护自身合法权益。
