1、发卡银行看银行卡欺诈法律风险的防控摘要随着经济金融格局的变化和居民消费水平的提高,我国银行卡产业进入了高速发展期。与此同时,银行卡欺诈案件呈多发态势,欺诈手段亦不断翻新。银行卡欺诈案件的频频出现,反映出法律风险潜伏于银行卡业务经营管理的各个环节。法律风险的不断累积,使得商业银行在银行卡欺诈案件中易陷于被动局面,严重影响银行的利益与声誉,并威胁银行卡业务的健康发展。本文在对银行卡欺诈的法律风险进行深入分析的基础上,从法律文件的设计与制定、风险的提示与披露、证据的收集和保存等角度,对商业银行防范和化解银行卡欺诈的法律风险提出富有针对性的对策建议。关键词银行卡;欺诈;法律风险;防范控制近年来,随着我
2、国银行卡产业的快速发展,银行卡已成为居民个人使用最为频繁的非现金支付工具,但与此同时,银行卡也成为一些不法分子的重点攻击目标,ATM 欺诈、伪卡欺诈、短信和电话欺诈等案件日益增加,且欺诈行为还不断向智能化、集团化、专业化、规模化发展。据统计,近几年世界范围内每年因伪冒交易案件及其他银行卡欺诈案件造成的损失超过 20 亿美元,占整个银行卡产业风险损失的 90%以上;2009 年 18 月,我国公安机关针对信用卡诈骗共立案 6 362 起、涉案金额 4.4 亿元,分别是去年同期的 2 倍和 2.38 倍(中国人民银行,2009) 。频繁出现的这些银行卡欺诈案件,不仅对银行和持卡人的资金安全造成威胁
3、,甚至还影响到金融市场的整体运行秩序,成为制约银行卡产业健康发展的重要因素。由于国内理论界和实务界对银行卡欺诈法律风险防控方面的研究相对匮乏,本文从银行卡欺诈的表现形式入手,深入分析了发卡银行在银行卡欺诈事件中可能面临的法律风险,并就商业银行防范和化解有关法律风险提出了具体对策。一、银行卡欺诈的表现形式银行卡欺诈,是指利用伪造的银行卡、虚假身份资料申领的银行卡或冒用他人银行卡,通过银行自助设备、POS 刷卡设备、网上银行等途径进行取现或消费,或者使用信用卡进行恶意透支的行为。近年来,银行卡欺诈案件呈多发趋势,且欺诈手段不断翻新,其主要表现形式包括:1.办卡欺诈。办卡欺诈主要体现在信用卡申领环节
4、和开卡环节。较为传统的信用卡申领欺诈表现为不法分子利用招聘、招生等手段盗用、骗取他人身份证件或伪造他人身份证件,并篡改、伪造证明材料,从而冒名向银行申领信用卡进行恶意透支的行为。除传统的办卡欺诈外,银行内部风险引发的办卡欺诈值得关注:一是部分不法分子利用银行工作人员未亲核亲访的疏漏,通过假冒知名企业、国家企事业单位名义或虚构企业名称,申请集体办卡;二是个别银行营销外包机构人员利用掌握的客户信息骗领信用卡。信用卡开卡欺诈,是指卡片在寄送过程中被不法分子截取并激活后进行的恶意透支,具体手段主要包括冒充银行职员以核对信息为由套取客户资料后激活信用卡,及利用虚假身份证明前往柜台激活信用卡后进行恶意透支
5、。2.伪卡欺诈。伪卡欺诈是近年来发案率较高的一类银行卡欺诈案件,不法分子在非法窃取持卡人银行卡信息的基础上,利用专业设备克隆银行卡,进而在自助设备或通过刷卡交易等方式冒用持卡人资金。不法分子非法窃取持卡人银行卡信息的手段主要有:通过在自助网点门禁系统或自助设备上安装假刷卡装置、假键盘等,银行卡欺诈案例案例一:2009 年 9 月 2 日,北京某银行客户李某在取款时,发现银行卡内的 2 万元竟不翼而飞。从银行系统调出的交易明细清单显示,该银行卡 3 天前在广西另一家银行的 ATM 机连续发生了 4 次取款,但李某却声称自己近期并未到过广西,也未曾在 ATM 机上取款。后案件经公安机关侦破,原来是
6、不法分子在 POS 机上安装读卡器,收集并破译了李某的银行卡磁条数据和密码,进而伪造银行卡窃取了李某存款。案例二:2009 年 8 月 16 日,湖南某银行客户杨某持银行卡到 ATM 机上取款,正常操作后却未见吐钞。经上下查看,杨某发现 ATM 机插卡处贴有告示,称“因 ATM 交易系统升级,客户取款时如出现吞钞或吞卡等异常现象,请立即拨打客服电话 1398,否则损失自负” 。情急之下,杨某马上拨通该“客服电话” ,并按“客服人员”提示将卡内5 万余元存款转入指定的银行账号。第二天,杨某到银行柜台查询时发现,ATM 机上的告示系不法分子张贴,所谓的“客服电话”并非银行公布的统一客服电话,其卡内
7、存款也被不法分子转移。杨某遂以该 ATM 机所有银行未妥善履行保护客户存款安全义务为由起诉,要求该银行赔偿其全部损失。案例三:2009 年 10 月中旬,上海某公司通过虚假资料办理工商登记注册并骗领营业执照,然后以特约商户身份向银行申请 3 台 POS 机。随后,该公司在网络发布广告,吸引信用卡持卡人到该公司办理套现交易(也即持卡人在不具备真实交易背景的情况下通过 POS 机透支刷卡,银行实时将交易款项划付至该公司账户后,该公司扣除 3%的手续费并将剩余现金交给持卡人) 。由于该公司在短短 1 个月内非法套现 1 600 万元,公安机关已以涉嫌刑事犯罪为由对其立案查处。窃取持卡人银行账号或密码
8、;通过在银行自助设备附近安装针孔摄像头或用高倍望远镜窃取持卡人密码;在 POS 机上加装读卡装置或待持卡人结账时在读卡装置上刷卡,并偷窥持卡人密码;伪造非法网站并利用木马程序记录持卡人输入的卡号和密码;以高额授信为诱饵,为持卡人代办信用卡后盗取卡号及初始密码。3.自助设备欺诈。基于银行自助设备功能替代性、操作程式化、设置离行式等特点,其往往成为不法分子窃取持卡人银行卡信息制作伪卡,并冒用持卡人资金的主要渠道。除此之外,不法分子还通过在自助设备插卡口处安装吞卡装置骗取持卡人银行卡;在自助设备上故意制造故障并张贴虚假银行客服电话,要求持卡人提供银行账号及密码,或骗取持卡人将其账户资金转至指定账户;
9、持卡人在自助设备上办业务时分散其注意力(例如提醒其钱物遗落)并调换其银行卡;假扮“热心人”帮助持卡人取款时,趁其不备调换其银行卡等。4.电话和短信欺诈。现实生活中,经常有不法分子假冒银行、银联、金融监管机构或公安机关名义,发短信或打电话给持卡人,谎称其银行卡在某处消费或卡的信息资料被泄露,诱使对方在回电询问时泄露其账号和密码,或进一步诱骗持卡人将卡内资金转入不法分子提供的“安全账户”内。由于短信诈骗较电话诈骗成本低、发送范围广、命中率高,更易成为不法分子作案手段,也往往给持卡人造成巨大资金损失。5.网络欺诈。网络欺诈是指不法分子窃取持卡人网上银行账号及密码后,通过网上银行冒用卡内资金的行为。其
10、具体手段包括:通过在网吧电脑附近安置摄像头等方式偷窥持卡人网上银行账号和密码;设置虚假的银行网站,并通过手机短信、欺诈性邮件或虚假支付网页等诱骗持卡人登录,骗取持卡人网上银行账号和密码;利用木马或其他病毒程序入侵持卡人个人电脑系统或银行内部系统,窃取持卡人网上银行账号和密码。此外,也有不法分子在窃取持卡人卡号及密码等信息后,利用伪造身份证件在银行柜台申请开通网上银行后窃取或盗用其资金。6.冒用遗失、被盗卡。冒用遗失、被盗卡是指不法分子拾得、盗窃他人银行卡后冒用卡内资金的行为,其手法主要表现为:拾得、盗窃持卡人未设密码的银行卡后直接通过刷卡交易或取现窃取卡内资金;拾得、盗窃持卡人设有密码的银行卡
11、并猜出密码后窃取卡内资金;拾得、盗窃持卡人设有密码的银行卡后伪造持卡人身份证件或者持持卡人真实身份证件办理密码挂失,修改密码后窃取卡内资金。7.恶意透支。在信用卡使用过程中,一些持卡人以非法占有为目的,超过规定限额或者规定期限恶意透支,经银行催收后仍不归还,长期占用银行资金,对银行的业务经营造成较大负面影响。个别持卡人将其银行卡交付他人在境内或境外使用后,以银行卡被不法分子克隆且自己并未使用、银行存在过错为由要求银行承担责任,由于银行难以针对此类情形进行有效举证,往往不得不承担资金损失责任。8.特约商户欺诈。在银行卡受理环节,一些不良特约商户为获取非法利益,利用 POS 机实施盗刷、套现、受理
12、伪卡、盗录信息等违法活动,具体手段包括:未经持卡人授权,通过增加刷卡金额或刷卡次数窃取持卡人资金;通过 POS 机与信用卡持卡人进行虚假交易,以透支方式为持卡人套取现金并收取高额手续费(有的套现资金甚至高达持卡人信用额度的 10 倍) ;有的不良特约商户与不法分子勾结受理伪卡,将损失风险转嫁给银行;有的不良特约商户在 POS 机上加装读卡装置,窃取持卡人卡片信息后制作伪卡。二、银行卡欺诈中银行面临的法律风险上述各种形式的银行卡欺诈案件频发,反映出法律风险潜伏于银行卡业务经营管理的各个环节(包括法律文件设计、银行卡交易规则安排、银行卡使用管理、客户投诉和纠纷案件处理等) ,如果银行在其中某一个或
13、几个环节中处理不当,就可能引发法律风险。1.法律文件存在瑕疵的风险。银行卡有关协议文本(包括银行卡申请表、领用合约、章程和使用指南等)是发卡银行和客户之间的重要法律文件,其不仅约定了双方的权利义务关系,还详细规定银行卡交易规则及风险责任分配等内容。由于普遍适用于动辄百万乃至千万的银行卡客户,前述法律文件通常由银行单方面事先拟定,且不允许客户就个别条款进行商洽或提出变更。在双方因欺诈问题发生争议的情况下,如果有关条款设计不周,或者有关条款赋予银行绝对权利或过分施加客户义务,往往容易引起广泛争议,甚至被客户或者消费者权益保护组织指责涉嫌“霸王条款” ,并进而面临无效的风险(束景明,2007) 。2
14、.密码交易规则适用的风险。各银行在银行卡相关法律文件中大多规定了“使用密码进行的交易视为持卡人本人所为”的规则:只要基于密码的交易行为确已发生,该项交易后果应由持卡人自行承担。虽然前述规则在很大程度上有利于督促持卡人履行妥善保护银行卡密码的义务,但客观来看这并不能当然免除银行保障持卡人资金安全的义务。近年来一些法院的判例认为,在出现银行卡欺诈特别是持卡人没有过错或过错不明显的情况下,前述规则应当存在例外。如果银行服务存在瑕疵或安全漏洞,银行应当按照过错原则承担相应法律责任,而不能简单适用前述规则由客户承担全部损失(张光宏、郭敬波,2009)。因此,密码交易规则并不能保证银行在银行卡欺诈案中的绝
15、对免责。3.合同条款解释规则的风险。虽然很多银行在法律文件中都规定了“合同的最终解释权属于银行” ,但在银行卡欺诈案件审理过程中涉及合同条款的解释问题时,已有法院依据合同法第 41 条关于“对格式条款的理解发生争议的,应当按照通常理解予以解释。对格式条款有两种以上解释的,应当作出不利于提供格式条款一方的解释”的规定,认为合同法第 41 条属于法律的强制性规定且不允许银行排除适用,并进而认定前述条款无效。4.银行卡真伪鉴别的风险。客户通过填写开卡申请书、签署银行卡协议,与银行建立了银行卡合同关系。银行依约负有保障客户正常刷卡消费、根据客户申请办理存取款和资金转账等义务。在伪卡欺诈案件中法院通常认
16、为,真实的银行卡是银行与客户之间合同关系的证明,没有真实的银行卡,银行就丧失了履行支付义务的合同依据;银行卡由银行制作和发放,准确地识别银行卡是银行应尽的合同义务,银行在履行支付义务前应对银行卡的真实性进行审查;银行如果基于伪造卡进行支付,将构成违约行为(上海高院课题组,2009) 。因此在司法实践中,如果银行无法对伪造的银行卡进行有效识别,往往被认定为客户资金损失的重要原因,从而使银行面临承担违约责任的风险。5.客户身份证件审核的风险。 商业银行法规定, “商业银行应保障存款人的合法权益不受任何单位和个人的侵犯” ;监管机构在银行卡的发卡审核和交易管理等方面,亦明确规定了银行的身份审查义务;
17、司法实践中,法院对银行识别客户身份真伪的要求也由最初的形式审查逐步向实质审查发展,如银行未能识别出虚假证件并导致客户资金受损,法院往往判定银行承担相应责任。根据有关法律规定,公民合法有效的证件除居民身份证外,还包括户口簿、护照、军官证、士兵证、回乡证等,但银行目前仅能通过公民身份信息联网核查系统对身份证进行有效核查,还难以做到通过现有设备和技术手段对其他证件进行实质审查,这实际上也增加了银行面临的法律风险。6.履行安全保障义务的风险。根据合同法关于“当事人应当遵循诚实信用的原则,根据合同的性质、目的和交易习惯履行通知、协助、保密等义务” ,以及消费者权益保护法关于“经营者应当保证其提供的商品或
18、者服务符合保障人身、财产安全的要求”的规定,银行应为客户提供必要的安全、保密的交易环境。在自助设备欺诈等案件中也有法院认为,银行作为专业金融机构负有善良管理人的注意义务,有能力改造经营场所的相关技术和设备,有责任防范不法分子利用银行经营场所的安全漏洞进行欺诈;客户作为相对弱势一方,难以采取有效措施防范银行卡欺诈行为发生(刘海欧,2007) 。因此,如果不法分子确系在银行经营场所内实施银行卡欺诈行为,法院往往倾向于以银行未完全尽到安全保障义务为由认定银行存在过错,从而使银行面临赔偿客户损失的风险。7.责任主体不明的风险。由于全国通存通兑、跨行自助设备支取以及 POS 机消费不断普及,银行卡欺诈案
19、往往涉及发卡行、代理行、持卡人、特约商户等多方当事人,进而在诉讼过程中就责任主体问题引发争议。司法实践中部分法院认为,银行卡的跨行或异地交易不能自然免除发卡行的责任;银行卡仍然是通过发卡行的电脑交易系统进行识别,在无法识别出伪卡的情况下发卡行关于其并非责任主体的抗辩有时难以得到法院支持。代理行作为提供代理业务和终端设备的业务主体,如果未能尽到保障交易场所安全的义务,也极可能被认定为责任主体。对于特约商户而言,法院通常依据银行与特约商户的合同约定以及彼此的过错程度来确定二者间的责任分配,但也有法院以特约商户是发卡行代理人为由要求银行首先对客户承担赔偿责任,而后再向特约商户追偿。8.诉讼举证困难的
20、风险。 “谁主张、谁举证”是民事诉讼法规定的审理民事诉讼案件的基本证据规则,但一些法院在审理银行卡欺诈纠纷时对此规则有所突破,认为持卡人不仅不了解银行内部操作流程和系统数据记录,而且在某一交易环节也难以要求其提供相关证据资料;如果银行以持卡人过错提出抗辩,银行须承担主要的举证责任,并举证证明持卡人存在遗失或出借银行卡、泄露密码或身份资料、与第三人恶意串通等过错行为,否则将承担举证不能的败诉风险。应当指出的是,虽然银行掌握持卡人相关交易记录、监控录像等资料,具有系统、设备和资金等优势,但客观而言银行面对的客户量非常巨大、交易渠道众多且交易环境复杂,几乎不可能监控到客户遗失或出借银行卡、泄露密码或
21、身份资料、与第三人恶意串通等行为,也难以做到全面收集相关证据,因而这种举证机制实际上不适当地加重了银行的责任,甚至可能助长道德风险。9.出现声誉损失的风险。发生银行卡欺诈事件后,银行除可能承担经济损失外,还可能面临多种声誉损失的风险:一是如果银行在欺诈事件中存在违反监管规则的行为,监管部门可能依法对其进行处罚并提出公开批评,进而导致其银行卡业务经营管理的合法合规性及安全性受到广泛质疑,特别是对于境内外上市银行而言其不良影响甚至容易跨国界传播;二是由于银行卡客户数量众多且层次复杂,加上近年来银行卡欺诈案件频发、受害者较多,由此引发的客户投诉和银行被诉案件也明显增加,不仅引起社会公众的广泛关注,而且在处理不当的情况下经常引发各类媒体的大量负面报道甚至集中炒作;三是银行在个别银行卡欺诈案件中败诉的影响极易通过网络等媒体被迅速扩散并引发“连锁反应” ,进而出现多起类似客户投诉或集体诉讼,造成非常被动的局面。三、防范和化解银行卡欺诈法律风险的对策 1.尽快提高银行卡防伪技术。由于磁条银行卡是通过卡上磁条的磁场变化来存储信息,存在易读取、易伪造和保密度较差等缺陷,也很容易成为犯罪分子实施欺诈的目标;而 IC 银行卡则是通过嵌入卡中的电擦除式可编程只读存储器集成电路芯片(EEPROM)来存储数据,与磁条卡相比其具有存储容量大、安全
