作者：沈志先  上海市高级人民法院  一级高级法官；

 林晓镍  上海市第二中级人民法院 

【案情简介】

    原告顾骏为上海交行太平洋借记卡用户。2003年5月22日晚上8时左右，原告到中国银行上海市南京东路支行(以下简称南京东路中行)的自助银行欲刷卡取款时，看到该自助银行门禁上一个装置，上面写有提示语：进门前请先刷卡并输入密码。原告按该提示刷卡并输入密码，但自助银行门没有打开，原告即离开。2003年6月10日，原告在交通银行ATM机上取款时，发现其交通银行太平洋借记卡内资金缺少人民币10068元，遂向警方报案。后经查，原告交通银行太平洋借记卡内资金分别在2003年6月7日、6月9日被提取现金共计人民币10000元，花费手续费人民币68元。

    另查明：被告人罗淦、陈秋哲于2003年5月下旬至8月中旬先后在中国银行上海市南京东路支行、交通银行上海分行市南支行等金融机构设立的自助银行门禁系统上安装盗码器，共窃取23人银行借记卡的磁条信息及密码，并伪造银行借记卡通过银行ATM机提取银行存款人民币110000余元，其中包括原告顾骏的人民币10000元(手续费人民币68元)。被告人罗淦、陈秋哲犯金融凭证诈骗罪、信用卡诈骗罪，分别被判处有期徒刑十五年、十四年。从罗淦、陈秋哲处追缴到的赃款仅为人民币6000元(尚未发还)，原告表示对此不主张。

    又查明：原告顾骏在2001年4月23日向上海交行申领太平洋借记卡时，上海交行向其提供一份“太平洋借记卡申请表”。该表背面“申领使用太平洋借记卡须知”第14条载明，凡是通过交易密码发生的一切交易，均应视为持卡人亲自所为，银行不应承担责任。

【审判结果】

    法院认为：银行卡业务存在特殊风险，较之一般存取款业务，银行更应对储户履行告知义务、信息安全保障义务，充分预防风险的发生。由于被告上海交行及其代理行南京东路中行在履行本案所涉的储蓄合同中，未尽到相关义务，导致储户损失，故应承担责任。原告作为普通的借记卡持有人，在被告对门禁操作系统无任何说明的情况下，对覆盖于自助银行门禁系统上的盗码器，足有理由相信这是银行的装置，难以识别系犯罪分子所为，且在本案中，当原告发现钱款被盗后马上报警，及时采取了相关措施，原告所有的借记卡及密码并没有丢失，也没有交由他人，故原告在本案中没有过错，不应承担责任。储蓄合同中虽有“凡是通过交易密码发生的一切交易，均应视为持卡人亲自所为，银行不应承担责任”的条款，但该格式条款不考虑储户是否存在过错，不具体分析失密的原因，无疑加重了储户的责任，有违公平，本案中被告以此格式条款为抗辩难以成立。据此判决被告上海交行给付原告顾骏人民币10068元及相应利息。

【评析】

    在本案中，认定上海交行应对储户顾骏被窃取的存款承担责任主要基于：

    一、银行对储户的信息安全保障义务

    银行应当负有保障储户信息、密码等信息数据安全的义务，即银行应保证其服务场所、系统设备的安全适用，足以保障储户信息、密码等信息数据的安全，在储户的信息、密码等信息数据被窃取之后，银行能采取合理充分的措施保障储户资金的安全。银行对储户的信息安全保障义务具体包括但不限于以下义务：(1)危险提示义务。银行应当对各种可能出现的不安全因素以及可能造成的伤害向储户作出明显的警示。(2)安全防范义务。银行对于潜在的危险应当采用适当的设备和技术，采取适当的措施进行防范。(3)安全措施的说明义务。银行对于采取的安全措施在必要时应当向储户进行必要的说明。(4)危害救助义务。当不安全因素给储户造成损害时，银行应当进行积极的救助，避免损失发生或进一步扩大。

    在本案中，银行并没有尽到其对储户的信息安全保障义务。首先，银行在自助银行的门禁处并没有进行概括性的风险提示，尤其是针对自助银行犯罪的防范说明。其次，银行方对经营场所没有采取适当的防范措施，以致犯罪分子将盗码器安装在其门禁系统上较长时间而未被发觉；对于银行卡，银行方也没有采用安全有效的技术，以致无法识别银行卡的真伪，使不法分子得以在窃取储户的银行卡磁条信息和密码后持伪造的磁卡窃取存款。再次，银行为自助银行安装了门禁系统，这本也是一种安全措施，但其并没有对此安全措施的使用、操作进行说明，从而使犯罪分子有机可乘，利用储户对门禁系统使用方法了解上的缺失，在门禁系统上安装盗码器，从而窃取储户银行卡的磁条信息和密码。

    综上所述，银行对于储户负有保障其银行卡信息和密码安全的义务，而银行违反了此义务，导致不法分子窃取了储户的银行卡信息和密码，进而窃取了银行的存款，因此银行不能因此免除其对储户的付款义务，银行仍应按照储蓄合同的约定向储户支付存款本金和利息。

    二、银行对债务履行辅助人的行为应承担责任

    严格说，本案中未尽对储户信息安全保障义务的是南京东路中行，但本案的储户与南京东路中行并无合同关系，储户持有的是上海交行发行的银行卡，因此其不能基于合同关系要求南京东路中行承担责任。但南京东路中行系上海交行的债务履行辅助人，上海交行应对其履行辅助人的行为承担民事责任。南京东路中行作为上海交行的履行辅助人，未履行对储户的信息安全保障义务，上海交行作为债务人应当向债权人承担责任。

    三、格式条款与免责效力

    根据“太平洋借记卡申请表”背面所记载的条款，凡是通过交易密码发生的一切交易，均应视为持卡人亲自所为，银行不应承担责任。该条款由银行方事先拟定，不与储户进行平等协商，储户只能要么全部接受，要么全部拒绝，而不能就某些条款进行修改，这些都符合格式条款的特性。需要探讨的是，这种格式条款能否成为银行主张免责的依据。

    运用体系解释的方法理解我国《合同法》第39条第1款和第40条的规定，可以得出：免责或限责条款并非一律无效，如果提供格式条款的一方遵循公平原则确定当事人之间的权利和义务，并采取合理的方式提请对方注意免除或者限制其责任的条款，按照对方的要求，对该条款予以说明，并得到对方明确认可时，则该条款仍然有效。因此，银行方要以借记卡申请表背面的格式条款主张免责，必须符合以下两个条件：一、程序要求，即银行方已经采取合理的方式提请储户注意免除其责任的条款，按照对方的要求，对该条款予以说明，并得到对方明确认可。二、实质要求，即该条款权利义务内容的确定符合公平的原则。

    从程序上看，银行方并没有就免责条款向储户履行合理提示义务。本案免责条款印在申请表的背面，字体和其他条款相同，不足以引起一般储户的注意；在申请表正面虽有“请申请人认真阅读本申请表背面的太平洋借记卡章程和申领使用太平洋借记卡须知”的字样，但这些文字字体很小，并不醒目，而且只是指示相对人阅读背面所有条款，并没有特别提示相对人阅读背面的免责条款；在签署申请表时，银行方也没有告知相对人特别注意哪些免责条款，因此应认为银行方没有履行合理提示义务。从内容上看，该免责条款并没有遵循公平原则确定当事人之间的权利和义务。由储户在借记卡上设立自己能掌握和控制的密码，是保障储户存款安全和防范犯罪的一个手段，但并非万无一失。若银行违反本文第一、二部分所述的信息安全保障义务导致储户的银行卡信息和密码被窃取，进而导致储户存款被盗取的，则银行仍应向储户承担支付存款本金和利息的责任。该格式条款把一些本应由银行承担的责任也推向储户，无疑加重了储户的责任，有违公平。