未收簡訊卡內存款「不翼而飛」 銀行儲戶誰之責？

近日，市民李某到銀行櫃檯辦理業務時發現，自己的銀行卡內突然少了15000餘元，遂查詢交易記錄，獲知3月中旬其銀行卡賬戶被轉走19筆款項共計15300元，而這些交易均不是其本人所為。李某意識到可能被他人非法盜刷了銀行卡，便立即向當地公安機關報案。公安機關偵查發現，上述19筆轉賬均由廣東的IP地址登錄網上銀行操作實施，而事發時李某一直在山東，由此初步判斷這是一起盜刷銀行卡的犯罪案件。因犯罪分子採用了一定的網路科技手段竊取持卡人信息，犯罪方式較為隱秘，故一直未能追回款項。李某認為，銀行未能採取有效措施保護儲戶信息安全和資金安全，應當賠償其損失，據此向法院起訴。

法院經審理查明，李某2012年辦理銀行卡后就開通了手機銀行和簡訊服務，涉案的19筆轉賬發生時，銀行未向李某手機號發送過驗證碼和提示簡訊，一審法院審理后支持了李某的訴求。銀行不服，提出上訴。二審法院亦認定銀行應賠償李某損失，作出駁回上訴、維持原判的終審判決。

《中華人民共和國合同法》第六十條第二款規定了合同當事人的附隨義務，即當事人應當遵循誠實信用原則，根據合同的性質、目的和交易習慣履行通知、協助、保密等義務。具體到銀行與儲戶之間，銀行應保障儲戶個人信息、密碼等私密信息的安全，從而確保儲戶能夠有效地使用和兌付資金。隨著互聯網技術的發展，互聯網轉賬和支付的情況越來越普遍，這種不以銀行卡作為交易介質的模式在帶來交易便利的同時，也加大了交易的風險。

發卡銀行更負有告知銀行卡是否具有網上支付功能、交易規則、交易風險以及法律責任的義務。為此，銀監會公布的《電子銀行業務管理辦法》第三十九條規定，「金融機構應向客戶充分揭示利用電子銀行進行交易可能面臨的風險」；銀監會《關於做好網上銀行風險管理和服務的通知》第三條亦規定，金融機構要加強網上銀行安全防範，及時對客戶進行風險提示。本案中，發卡銀行未能提供充足證據證明已對李某進行了銀行卡網上交易的風險提示。

《電子銀行業務管理辦法》第三十八條規定：「金融機構應採用適當的加密技術和措施，保證電子交易數據傳輸的安全性與保密性，以及所傳輸交易數據的完整性、真實性和不可否認性。」人民銀行公布的《電子支付指引(第一號)》第二十八條規定：「銀行應與客戶約定，及時或定期向客戶提供交易記錄、資金餘額和賬戶狀態等信息。」

而本案中，對於3月中旬李某賬戶通過網上銀行進行的轉賬和支付，發卡行不能證明已通過簡訊服務平台向李某手機號發送過驗證碼和相關提示信息。《電子銀行業務管理辦法》第三十七條第(二)項規定：「以開放型網路為媒介的電子銀行系統，應合理設置和使用防火牆、防病毒軟體等安全產品與技術，確保電子銀行有足夠的反攻擊能力、防病毒能力和入侵防護能力」；第四十三條規定：「金融機構應建立電子銀行入侵偵測與入侵保護系統，實時監控電子銀行的運行情況，定期對電子銀行系統進行漏洞掃描，並建立對非法入侵的甄別、處理和報告機制。」據此，發卡行對其手機銀行系統運行中的安全隱患，應進行及時的排查與處理。

涉案發卡銀行未進行銀行卡網上交易的風險提示，亦未按照約定以簡訊方式提供交易驗證、資金餘額和賬戶狀態等信息，且不能證明對手機銀行系統的安全運行進行了有效排查，其並未履行開卡行所應負有的合同附隨義務。對於李某銀行賬戶被非法轉賬和支付所造成的財產損失，發卡行應承擔違約賠償責任。

至於李某的手機銀行APP可能因遭到網路攻擊而造成信息泄露，但第三方的違法行為並不能成為銀行的免責事由。《中華人民共和國合同法》第一百二十一條規定：「當事人一方因第三人的原因造成違約的，應當向對方承擔違約責任。當事人一方和第三人之間的糾紛，依照法律規定或者按照約定解決。」發卡銀行在本案中向李某承擔違約賠償責任后，可向違法犯罪的第三方依法追償。