98

账户后合约即终止。

案例评析

上述做法违反了《中华人民共和国商业银行法》

12《关

于执行<储蓄管理条例>的若干规定》

13《商业银行信用卡业

务监督管理办法》

14等规定，上述规定明确指出，商业银行

应当依法为客户保密，同时不得将相关信息用于本行信用

卡业务以外的其他用途，H 银行不仅向合作方传输个人客

户信息，自身还违规使用信用卡客户个人信息，向其进行

电话营销，严重违反了相关法律法规的规定。

案例二十一：客户信息保护体制机制不健全、客户信息收集环境管理

不规范等，侵害金融消费者信息安全权

行政处罚决定书文号 银保监罚决字〔2021〕5 号

被处罚当

事人姓名

或名称

单位

名称 Z 银行股份有限公司

法定代表人（主要

负责人）姓名

李某某

主要违法违规事实（案由）

一、客户信息保护体制机制不健

全；柜面非密查询客户账户明细缺乏规

范、统一的业务操作流程与必要的内部

控制措施，乱象整治自查不力。

二、客户信息收集环节管理不规

范；客户数据访问控制管理不符合业务

“必须知道”和“最小授权”原则；查

询客户账户明细事由不真实；未经客户

本人授权查询并向第三方提供其个人

12 《中华人民共和国商业银行法》 第二十九条第一款： 商业银行办理个人储蓄

存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。

13 《关于执行<储蓄管理条例>的若干规定》第三条：国家宪法保护个人合法储蓄

存款的所有权不受侵犯。储蓄机构办理储蓄业务必须遵循“存款自愿、取款自由、

存款有息、为储户保密”的原则。

14 《商业银行信用卡业务监督管理办法》第三条：商业银行经营信用卡业务，应

当依法保护客户合法权益和相关信息安全。未经客户授权，不得将相关信息用于

本行信用卡业务以外的其他用途。

99

银行账户交易信息。

三、对客户敏感信息管理不善，致

其流出至互联网；违规存储客户敏感信

息。

四、系统权限管理存在漏洞，重要

岗位及外包机构管理存在缺陷。

行政处罚依据

《中华人民共和国银行业监督管

理法》第二十一条、第四十六条和相关

审慎经营规则、《中华人民共和国商业

银行法》第七十三条

行政处罚决定 罚款 450 万元

作出处罚决定的机关名称 中国银行保险监督管理委员会

作出处罚决定的日期 2021 年 3 月 17 日

案例二十二：对客户信息管理不到位，侵害金融消费者信息安全权

金融机构

名称

行政处罚决

定书文号

违法行为类型 行政处罚内容

作出行政处罚

决定机关名称

作出行

政处罚

决定日

期

J 银行福建

自贸试验

区平潭片

区分行

闽银保监罚

决字〔2020〕

39 号

对客户信息管理

不到位

给予 50 万元

罚款的行政处

罚，对相关责

任人予以禁止

从事银行业工

作 10 年的行

政处罚。

中国银保监会

福建监管局

2020 年

12 月 22

日

案例二十三：违反信用信息提供、查询及异议处理相关规定，侵害金

融消费者信息安全权

100

金融机构

名称

行政处罚决

定书文号

违法行为类型 行政处罚内容

作出行政处罚

决定机关名称

作出行

政处罚

决定日

期

G 银行辽宁

省分行

沈银罚决字

〔2022〕年第

1 号

违反信用信息提

供、查询及异议

处理相关规定

警告，并处罚

款 326.1 万元

（含其他违法

行为）

中国人民银行

沈阳分行

2022 年 1

月 13 日

案例二十四：违反信用信息查询相关管理规定，侵害金融消费者信息

安全权

金融机构

名称

行政处罚决

定书文号

违法行为类型 行政处罚内容

作出行政处罚

决定机关名称

作出行

政处罚

决定日

期

S 银行

济银部罚字

〔2022〕第 1

号

9.个别业务未履

行《中华人民共和

国消费者权益保

护法》第二十九条

规定的明示使用

消费者金融信息

的目的、方式和范

围的义务；.....给予警告，并

处罚款

117.35 万元。

中国人民银行

济南分行营业

管理部

2022 年 5

月 27 日

案例二十五：违反金融信息保护相关管理规定，侵害金融消费者合法

权益

金融机构

名称

行政处罚决

定书文号

违法行为类型

行政处罚内

容

作出行政处罚决

定机关名称

作出行

政处罚

决定日

期

101

P 银行武汉

分行

武银罚字

〔2022〕第

10 号

1.违反金融信息

保护相关管理规

定；2.违反营销宣

传相关管理规定；

3.未按要求对金

融消费者投诉进

行正确分类；4.漏

报投诉数据。

警告，并处

12 万元

中国人民银行武

汉分行

2022年5

月 17 日

信息安全权相关监管案例评析：

《中国人民银行金融消费者权益保护实施办法》第三章消费者金融信

息保护明确规定了金融机构处理消费者金融信息的有关细则，同时第六十

条规定违反金融信息保护的相应法律责任，即银行、支付机构有下列情形

之一，侵害消费者金融信息依法得到保护的权利的，中国人民银行或其分

支机构应当在职责范围内依照《中华人民共和国消费者权益保护法》第五

十六条的规定予以处罚：

（一）未经金融消费者明示同意，收集、使用其金融信息的。

（二）收集与业务无关的消费者金融信息，或者采取不正当方式收集

消费者金融信息的。

（三）未公开收集、使用消费者金融信息的规则，未明示收集、使用

消费者金融信息的目的、方式和范围的。

（四）超出法律法规规定和双方约定的用途使用消费者金融信息的。

（五）未建立以分级授权为核心的消费者金融信息使用管理制度，或

者未严格落实信息使用授权审批程序的。

（六）未采取技术措施和其他必要措施，导致消费者金融信息遗失、

毁损、泄露或者被篡改，或者非法向他人提供的。

根据《中华人民共和国消费者权益保护法》第五十六条第九款的规定，

经营者有下列情形之一，除承担相应的民事责任外，其他有关法律、法规

对处罚机关和处罚方式有规定的，依照法律、法规的规定执行；法律、法

规未作规定的，由工商行政管理部门或者其他有关行政部门责令改正，可

以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十

倍以下的罚款，没有违法所得的，处以五十万元以下的罚款；情节严重的，

102

责令停业整顿、吊销营业执照：......（九）侵害消费者人格尊严、侵犯

消费者人身自由或者侵害消费者个人信息依法得到保护的权利的；.......中国人民银行曾在 2020 年 10 月 21 日对部分金融机构侵害消费者金融

信息安全行为立案调查，并依据有关规定，对 N 银行吉林市江北支行等 6

家金融机构作出行政处罚决定。人民银行相关人士表示，部分金融机构工

作人员无视法律和规定，严重侵害了消费者金融信息安全权，甚至泄露履

行反洗钱职责获得的相关信息，反映出部分金融机构的金融消费权益保护

意识不足，内部控制仍需持续强化。从近年来对于侵害消费者金融信息安

全违法违规行为的处罚力度，可以看出人民银行高度重视消费者金融信息

保护相关工作，对侵害消费者金融信息安全的行为“零容忍”。

二、经典诉讼案例简析

金融消费者权益相关的诉讼案例对银行业金融消费者纠纷调解具有重要的

参考意义，下面将以“八大权利”为视角对诉讼案例进行分析、筛选，对金融消

费者与金融机构在不同业务类型场景下的典型案例进行精读，分列各方诉求及抗

辩理由，提炼司法裁判及监管部门认定的争议焦点及违规事实，列出了典型案例

的处理结果及法律适用，并基于诉讼案例内容，提出了相关律师建议。这些案例

不仅可以从消费者的角度提供警示和参考，也可以从金融机构的视角进行风险监

测和合规控制，更可以为调解员提供纠纷化解的处理和解决思路。

（一）金融消费者财产安全权

金融消费者依法享有财产安全权。财产安全，包括两方面内容，一是金融消

费者购买的金融产品或接受的金融服务本身的安全，另一方面还包括除购买的金

融产品或接受服务之外的其他财产的安全。

金融机构应当依法保障金融消费者在购买金融产品和接受金融服务过程中

的财产安全。严格区分机构自身资产与客户资产，不得挪用、占用客户资金。一

是金融机构应当按照国家规定，采取技术措施，妥善保管和存储所收集的消费者

金融信息，防止信息遗失、毁损、泄露或者篡改等造成消费者财产损失；二是很

多违法人员打着金融业务的旗号，从事非法集资、电信网络诈骗等违法金融活动，

103

花样繁多,危害极大。金融消费者，特别是中老年金融消费者，由于对金融知识

的欠缺，很容易被违法分子诱骗，造成财产损失。金融机构应当多渠道开展金

融消费教育，在销售过程中嵌入金融知识普及和风险告知环节，普及金融知识；

作为消费者，需要提高风险防范意识,在正规金融机构购买金融产品，防止上当

受骗，保护自身财产安全。

金融消费者的财产安全权不受侵犯，银行作为服务提供者，负有不得侵犯金

融消费者财产的义务，同时，也负有采取积极措施保护金融消费者财产免受其他

主体侵犯的义务。如前所述，对金融消费者财产安全权的损害，在司法实践中主

要体现在第三人盗刷客户财产、银行内控问题对客户造成的损害。盗刷又可分为

伪卡盗刷和网络盗刷，在上述情况下，银行是否需要承担责任、又可通过何种手

段进行预防或抗辩等问题颇值关注。

※对于伪卡盗刷行为的规制与建议

伪卡交易常发生在使用芯片磁条复合卡的场合。由于磁条卡技术简单，磁条

信息易被复制，因而发生盗刷。

对于此，中国人民银行在 2016 年发布《中国人民银行关于进一步加强银行

卡风险管理的通知》，要求自 2017 年 5 月 1 日起，全面关闭芯片磁条复合卡的

磁条交易，各商业银行应采取换卡不换号、实时发卡等措施加快存量磁条卡更换

为金融 IC 卡。2017 年发布《中国人民银行办公厅关于强化银行卡磁条交易安全

管理的通知》，进一步重申了相关规定，并强调了对该类卡进行交易的限额管理

与风险控制。但检阅近几年案例，磁条卡仍大量存在。15截至目前，仍存在大量

因磁卡产生的盗刷案例。

鉴于此，为保护消费者合法权益，避免经营风险，对银行建议如下：

a.逐渐将存量磁条卡更换为金融 IC 卡。

b.在发生相关纠纷时，通过伪卡交易地、报警记录、挂失记录判断是否构成

盗刷，若不构成盗刷，则银行将不承担责任。

15 《中国人民银行办公厅关于强化银行卡磁条交易安全管理的通知》规定：（四）建立健全银行卡磁条交

易分级分类管理机制。自 2017 年 8 月 1 日起，各商业银行应根据交易额度、交易频次等实施交易分级分类

管理。对于单笔金额超过 1 万元的交易，应引导持卡人使用交易安全锁。对于单笔金额超过 2 万元的交易，

应通过语音、短信、数据（如手机银行、即时通讯）等进行磁条交易风险提示和交易提醒。对于大数据分

析认定的高风险交易，应进行附加交易验证，进一步校验交易发起者的真实身份。对于单日频次过高的异

常交易，应采取拒绝交易授权等措施。

104

c.判断持卡人有无泄露密码的证据。根据相关规定持卡人对银行卡、密码、

验证码等身份识别信息、交易验证信息未尽妥善保管义务具有过错，将减轻银行

责任。

16 ※对于撞库的规制与建议

根据《电子银行业务管理办法》第三十八条17、第四十条18，银行负有采

取技术，识别、验证电子银行客户真实身份的义务，在“撞库”发生时，银行不

能证明消费者在保存密码上有过错，或者在相关服务协议中施加对消费者明显不

合理的注意义务时，银行仍需承担全部赔偿责任。

鉴于此，为保护消费者合法权益，避免经营风险，对银行建议如下：

（1）因犯罪分子通过撞库实施犯罪行为的，网银登陆系统将会出现大量

异常登陆现象，因此，银行可利用技术强化对异常登陆的监督与干扰。

（2）进行电子转账时，采取面容识别等强化对当事人身份的鉴别。

（3）加强与通信公司合作，在纠纷发生时，请求通信公司对已发出的

短信提供证明材料并盖章,证明已尽通知义务。

※对于因钓鱼网站引起盗刷的规制与建议

对于因钓鱼网站引起的盗刷。若银行无过错，则承担责任的可能性较小。

为保护消费者合法权益，避免经营风险，建议妥善履行相关风险提示义务、

余额变动通知义务。

※对于通过第三方支付机构引起盗刷的规制与建议

银行的风险点主要在于，与第三方支付机构建立首次业务关联时，未

能证明进行了客户身份鉴定、未能尽到风险提示与风险防控义务。

为保护消费者合法权益，避免经营风险，建议如下：

与第三方支付机构建立首次业务关联时，按照银监会与中国人民银行

的相关规定进行身份鉴定。《中国银监会、中国人民银行关于加强商业银

行与第三方支付机构合作业务管理的通知》规定，商业银行通过电子渠道

16 《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》第七条第三款规定：前两款情形，持卡

人对银行卡、密码、验证码等身份识别信息、交易验证信息未尽妥善保管义务具有过错，发卡行主张持卡

人承担相应责任的，人民法院应予支持。

17 《电子银行业务管理办法》第三十八条第一款规定： 金融机构应采用适当的加密技术和措施，保证电子

交易数据传输的安全性与保密性，以及所传输交易数据的完整性、真实性和不可否认性。

18 《电子银行业务管理办法》第四十条规定 ：金融机构应采取适当的措施和采用适当的技术，识别与验证

使用电子银行服务客户的真实、有效身份，并应依照与客户签订的有关协议对客户作业权限、资金转移或

交易限额等实施有效管理。

105

验证和辨别客户身份，应采用双（多）因素验证方式对客户身份进行鉴别，

对不具备双（多）因素认证条件的客户，其任何账户不得与第三方支付机

构建立业务关联。《中国人民银行关于进一步加强银行卡风险管理的通知》

规定，自 2016 年 11 月 1 日起，各商业银行基于银行卡与支付机构、商业

机构建立关联业务时，应严格采用多因素身份认证方式，直接鉴别客户身

份，并取得客户授权。身份鉴别应采取以下组合方式之一：一是采用符合

《金融电子认证规范》(JR／T 0118)的数字证书，并组合交易密码等至少

一种认证因素。二是采用符合《动态口令密码应用技术规范》(GM／T 0021)

的动态令牌设备，并组合交易密码等至少一种认证因素。三是至少组合两

种动态认证因素(如动态验证码、基于客户行为的动态挑战应答等)，并采

用语音、短信、数据(如手机银行，即时通讯、邮件)等至少两种不同通信

渠道。

按照银监会与中国人民银行的相关规定，强化对异常交易信息的风险

监控。《中国银监会、中国人民银行关于加强商业银行与第三方支付机构

合作业务管理的通知》规定，商业银行应将与第三方支付机构的合作业务

纳入全行业务运营风险监测系统的监控范围，对其中的商户和客户在本行

的账户资金活动情况进行实时监控，达到风险标准的应组织核查。特别是

对其中大额、异常的资金收付应做到逐笔监测、认真核查、及时预警、及

时控制。

在发生相关纠纷时，积极举证已履行上述义务，并对对方有过错的情

况进行说明。

※对于“飞单”引起的纠纷

若员工通过“飞单”销售的理财产品不足以使客户善意信赖，则银行

一般不承担责任，为避免此种风险，建议银行加强内部风险管控，尤其加

强对相关印章的管理。

1.伪卡盗刷典型案例

在伪卡盗刷的情况下，犯罪分子利用复制的磁条卡刷取金融消费者的

存款，公报案例、最高人民法院、金融法院确定了以下裁判规则：（1）若

106

持卡人无过错，银行承担全部赔偿责任；（2）持卡人未妥善保存密码，具

有过错，减轻银行责任；（3）不能证明存在盗刷，银行不承担责任。

典型案例一：若持卡人无过错，银行承担全部赔偿责任

裁判文书号 （2016）苏 01 民终 116 号

裁判法院 江苏省南京市中级人民法院

裁判日期 2016 年 02 月 23 日

当事人

上诉人（原审

被告）

中国工商银行股份有限公司南京新门口支行

被上诉人(原

审原告)

宋鹏

金融消费者主张

请求判令工行新门口支行赔偿损失 14094

元，并承担本案的诉讼费用。

金融机构抗辩

工行新门口支行一审辩称：宋鹏申请开立账

户时，双方约定使用密码进行交易即视为本人交

易，涉案款项系通过正确的密码取出，银行已经

尽到付款义务；案涉交易发生后，宋鹏有足够的

时间在驻马店与南京之间往返，现有证据不足以

证明银行卡系被盗刷；公安机关已对本案进行立

案侦查，依法应驳回宋鹏的起诉，将案件移送公

安机关处理或依法中止审理；本案如涉及盗刷，

显然系宋鹏泄露了密码信息，其应对未能妥善保

管密码承担责任；受理银行卡交易的是信用社，

在盗刷的情况下未能尽到识别伪卡义务的主体

也是信用社，工行新门口支行对系统外的机构及

设备没有管理职责和义务，不存在过错。综上，

请求驳回宋鹏的诉讼请求。

争议焦点

1、诉争的交易是否属于伪卡交易；2、本案

是否应当裁定驳回起诉或者中止审理；3、关于

107

宋鹏存款损失的责任承担问题。

法院观点

关于争议焦点一，即诉争的交易是否属于伪

卡交易的问题。《最高人民法院关于适用﹤中华

人民共和国民事诉讼法﹥的解释》第一百零八条

第一款规定，对负有举证证明责任的当事人提供

的证据，人民法院经审查并结合相关事实，确信

待证事实的存在具有高度可能性的，应当认定该

事实存在。本案中，宋鹏系中国人民解放军

94991 部队战士，其名下借记卡于 2015 年 8 月 5

日凌晨 2 时许在河南省驻马店市某信用社 ATM

机取现六次合计 14094 元（含手续费），在发现

上述取款短信后，宋鹏在当日早晨便致电工商银

行客服进行了挂失。当日上午 9 时 54 分，宋鹏

因银行卡被吞没在工商银行办理了吞没卡领取

手续，并向中央门派出所报案。中国人民解放军

94991 部队出具的证明表明，宋鹏在 8 月 5 日 2

时 18 分至 8 时一直在南京市钟阜路 1 号的单位，

从未外出。原审法院根据上述事实，综合考量涉

案银行卡账户凌晨短时间内异地交易、河南省驻

马店市与江苏省南京市的距离、宋鹏的职业身

份、宋鹏的挂失报警时间以及宋鹏的陈述等事实

认定诉争交易为伪卡交易并无不当。工行新门口

支行认为对伪卡交易的认定标准应当采用排除

合理怀疑的证明标准，并无法律依据，本院对其

该项上诉主张不予支持。

关于争议焦点二，即本案是否应当裁定驳回

起诉或者中止审理的问题。本院认为，宋鹏的起

诉系基于民事上的储蓄存款合同关系，与他人利

用银行卡实施盗刷行为而应承担的刑事责任并

108

不是同一法律关系。宋鹏与工行新门口支行之间

的储蓄存款合同纠纷本身不涉及犯罪，亦没有证

据证明宋鹏系实施盗刷行为的共同行为人，因

此，公安机关的侦查行为并不影响工行新门口支

行对宋鹏的责任承担。故根据《最高人民法院关

于在审理经济纠纷案件中涉及经济犯罪嫌疑若

干问题的规定》第十条关于“人民法院在审理经

济纠纷案件中，发现与本案有牵连，但与本案不

是同一法律关系的经济犯罪嫌疑线索、材料，应

将犯罪嫌疑线索、材料移送有关公安机关或检察

机关查处，经济纠纷案件继续审理”的规定，本

案应当继续审理。

关于争议焦点三，即宋鹏存款损失的责任承

担问题。本院认为，《中华人民共和国商业银行

法》第六条、第三十三条规定，商业银行对储户

存款具有安全保障义务。工行新门口支行为宋鹏

提供借记卡服务，就应当确保该借记卡内的数据

信息不被非法窃取并加以使用。并且，工行新门

口支行作为发卡行及相关技术、设备和操作平台

的提供者，在其与储户的合同关系中明显占据优

势地位，应当承担伪卡的识别义务。案涉伪卡交

易能够进行，说明宋鹏持有的真正银行卡内数据

信息可以被复制并存储到其他的伪卡内，并且伪

卡输入密码后还可以进行正常的交易活动，因此

工行新门口支行制发的借记卡以及交易系统在

防伪技术上存在缺陷，工行新门口支行未能履行

交易安全保障义务，给宋鹏造成了经济损失，应

承担赔偿责任。工行新门口支行上诉称宋鹏对泄

露交易密码存在过错，但并没有提供证据证明宋

109

鹏对其持有的借记卡没有妥善保管和合理使用，

应承担举证不能的法律后果。虽然根据工行借记

卡章程规定，凡使用密码进行的交易，发卡银行

均视为持卡人本人所为，但该规则适用的前提是

当事人持真实的借记卡进行交易。因此，工行新

门口支行在没有证据证明宋鹏存在违约或违法

犯罪情形的前提下，应先行承担资金损失。本院

对工行新门口支行认为宋鹏在未能证明银行导

致其密码泄露情况下应当承担相应责任的主张

不予支持。

裁判结果

驳回上诉，维持原判。

（一审支持宋鹏的全部诉讼请求）

案件分析

本案是公报案例，对于此类案例的裁判具有

指导意义。根据《中华人民共和国商业银行法》

第六条19，商业银行对储户存款具有安全保障义

务。基于该义务，一旦发生盗刷，在消费者能够

举证确非本人进行的交易后，银行的责任几乎不

能避免。在本案中，由于原告提供了充分的证据

证明相关交易不可能是本人进行，且银行未能举

证证明原告存在任何过错，所以法院判决银行承

担全部赔偿责任。

律师建议

伪卡交易常发生在使用芯片磁条复合卡的

场合。由于磁条卡技术简单，磁条信息易被复制，

因而发生盗刷。

对于此，中国人民银行在 2016 年发布《中

国人民银行关于进一步加强银行卡风险管理的

通知》，要求自 2017 年 5 月 1 日起，全面关闭芯

片磁条复合卡的磁条交易，各商业银行应采取换

19 《中华人民共和国商业银行法》第六条规定：商业银行应当保障存款人的合法权益不受任

何单位和个人的侵犯。

110

卡不换号、实时发卡等措施加快存量磁条卡更换

为金融 IC 卡。2017 年发布《中国人民银行办公

厅关于强化银行卡磁条交易安全管理的通知》，

进一步重申了相关规定，并强调了对该类卡进行

交易的限额管理与风险控制。但检阅近几年案

例，磁条卡仍大量存在。

20截至目前，仍存在大

量因磁卡产生的盗刷案例。

基于此，对消费者建议如下：

在相关纠纷发生时，根据《最高人民法院关

于审理银行卡民事纠纷案件若干问题的规定》，

可以提供生效法律文书、银行卡交易时真卡所在

地、交易行为地、账户交易明细、交易通知、报

警记录、挂失记录等证据材料进行证明存在盗

刷。

对银行建议如下：

（1）逐渐将存量磁条卡更换为金融 IC 卡。

（2）在发生相关纠纷时，通过伪卡交易地、

报警记录、挂失记录判断是否构成盗刷，若不构

成盗刷，则银行将不承担责任。

典型案例二：持卡人未妥善保存密码，具有过错，减轻银行责任

裁判文书号 （2015）民提字第 181 号

裁判法院 最高人民法院

裁判日期 2016 年 05 月 14 日

20 《中国人民银行办公厅关于强化银行卡磁条交易安全管理的通知》规定：（四）建立健全

银行卡磁条交易分级分类管理机制。自 2017 年 8 月 1 日起，各商业银行应根据交易额度、

交易频次等实施交易分级分类管理。对于单笔金额超过 1 万元的交易，应引导持卡人使用交

易安全锁。对于单笔金额超过 2 万元的交易，应通过语音、短信、数据（如手机银行、即时

通讯）等进行磁条交易风险提示和交易提醒。对于大数据分析认定的高风险交易，应进行附

加交易验证，进一步校验交易发起者的真实身份。对于单日频次过高的异常交易，应采取拒

绝交易授权等措施。

111

当事人

再 审 申 请 人

（一审被告、

二审上诉人）

中国农业银行股份有限公司六盘水分行

被申请人（一

审原告、二审

上诉人）

刘晓鸣

金融消费者主张

1、农行返还刘晓鸣存款 1899961.60 元及利

息 38000 元（从存款之日 2010 年 7 月 7 日至起

诉之日 2010 年 7 月 30 日），此后利息另行计算；

2、本案诉讼费用由农行承担。

金融机构抗辩

存款流失的法律责任应由刘晓鸣自己承担，

请求驳回刘晓鸣的诉讼请求。

争议焦点

（一）案涉银行卡被盗刷的过错责任应如何

认定；（二）案涉银行卡被盗刷所造成的资金损

失应如何承担。

法院观点

（一）关于案涉银行卡被盗刷的过错责任应

如何认定问题。

关于农行责任问题，本院认为，《商业银行

法》第五条规定：商业银行与客户的业务往来，

应当遵循平等、自愿、公平和诚实信用的原则。

第六条规定：商业银行应当保证存款人的合法权

益不受任何单位和个人的侵犯。银行与储户建立

储蓄存款合同关系后，银行负有保证储户银行卡

信息不被他人窃取、复制的义务和向银行卡载明

的储户履行合同的义务。银行应当通过技术手段

和软硬件改造加强风险防范，确保存储于银行卡

内的储户信息安全，对于安全漏洞和技术风险银

行应当承担责任。与本案纠纷相关联的刑事判决

表明，本案中，农行未能保证其发行的银行卡具

112

有唯一性和不可复制性，导致案外人复制并使用

伪卡刷卡成功。因农行未能履行保护持卡人卡内

资金安全以及用卡安全的安全保障义务，故其提

出的关于农行发行的银行卡技术指标符合人民

银行和银监会的要求，个别犯罪分子制造伪卡属

于银行不可控制的风险范围的上诉理由，不能成

立。本案再审过程中，农行代理人在代理意见中

也认可农行作为专业金融机构，负有前述合同义

务，应保证其发行的银行卡具有鉴别真伪的能

力，并应采取技术手段防范借记卡被复制或伪

造，而其目前发行的案涉银行卡具有技术缺陷，

对此农行存在过错。

关于刘晓鸣责任问题，本院认为，《中国农

业银行金穗借记卡章程》第四条第二款规定，“持

卡人应妥善保管金穗借记卡密码，因密码泄露或

卡片保管不当造成的损失，由持卡人负责”。据

此，在借记卡消费过程中，一方面，发卡银行负

有安全保障及谨慎审查银行卡的义务。另一方

面，持卡人负有妥善保管银行卡及其密码的义

务。且基于诚实信用原则，持卡人在履行银行卡

合同过程中，也负有通知、保密等附随义务。在

持卡人违反上述约定义务的情形下，应认定持卡

人具有过错。

本案原审及再审过程中，刘晓鸣均主张其作

为一名普通储户，按照一般操作流程在银行提供

的场所输入密码，即应认为已经尽到一般的安全

注意义务，此时如果密码被偷窥，应视为银行未

提供足够安全的交易场所，未履行安全保障义

务。本院认为，刘晓鸣的上述主张不能成立。综

113

合再审查明事实及关联刑事案件确认事实分析，

本案中，刘晓鸣不仅将银行卡交由第三人刘晓云

使用并告知其密码，而且刘晓云在接受刘晓鸣委

托代办开卡及协助查询过程中，将银行卡和身份

证交给犯罪分子查看，使犯罪分子有机会获取银

行卡信息。当犯罪分子提出陪同办卡、随同到自

助设备上查看卡内余额时，刘晓鸣、刘晓云亦应

其要求与犯罪分子一起到营业场所、自助设备办

理业务，使犯罪分子得以偷窥密码。据此，本院

认为，无论是根据合同约定还是依据生活常识，

刘晓鸣、刘晓云的上述行为都不能视为已履行储

蓄存款合同项下所约定的储户应当妥善保管密

码的义务。案外人能够获取制作伪卡所需的银行

卡密码信息，系刘晓鸣的疏忽行为所致，刘晓鸣

对此存在过错。农行申请再审提出的关于刘晓鸣

对于银行卡密码的泄露存在明显过错的主张，具

有事实依据。二审判决仅认定案外人盗刷存款的

原因系农行未能保证其银行卡具有唯一性和不

可复制性，而未就刘晓鸣的行为与被盗刷结果的

原因力大小予以查明，系事实认定不清，应予纠

正。

（二）案涉银行卡被盗刷所造成的资金损失

应如何承担问题。

《中华人民共和国合同法》第一百零七条规

定：“当事人一方不履行合同义务或者履行合同

义务不符合约定的，应当承担继续履行、采取补

救措施或者赔偿损失等违约责任。”本案中，造

成刘晓鸣卡内资金损失的主要原因，系农行未履

行资金安全保障义务，导致案外人复制并使用伪

114

卡刷卡消费成功。因此，案外人使用伪卡消费的

行为，不应视为刘晓鸣本人的行为，也不应视为

农行已按合同约定向刘晓鸣履行了支付存款的

义务，农行应就卡内资金损失承担赔偿责任。同

时，因本案查明事实表明，持卡人刘晓鸣未尽到

妥善保管银行卡和密码的义务，对案涉银行卡资

金被盗刷的损失存在过错，故应根据刘晓鸣的过

错程度减免发卡行农行的责任。二审判决关于农

行应依照合同约定对盗刷存款承担全部责任，向

刘晓鸣给付 1899961.60 元存款及利息，认定事

实及适用法律不当，本院予以纠正。根据本案实

际情况及诚实信用原则，本院酌定由刘晓鸣自行

承担自 2010 年 7 月 14 日起涉案银行卡被盗刷资

金 1899961.60 元范围内 20%的本金及利息损失。

裁判结果

一、撤销贵州省高级人民法院（2014）黔高

民终字第 19 号民事判决、贵州省六盘水市中级

人民法院（2013）黔六中民重字第 1 号民事判决；

二、中国农业银行股份有限公司六盘水分行

于 本 判 决 生 效 之 日 起 十 日 内 支 付 刘 晓 鸣 存 款

1519969.28 元及利息（自 2010 年 7 月 14 日起

按照中国农业银行股份有限公司公布的同期存

款利率计算至实际给付之日止）；

三、驳回刘晓鸣的其他诉讼请求；

四、驳回中国农业银行股份有限公司六盘水

分行的其他诉讼请求。

案件分析

本案是最高院案例。在本案中，法院首先认

定金融消费者存在过错。其将银行卡和身份证交

给犯罪分子查看，使犯罪分子有机会获取银行卡

信息。当犯罪分子提出陪同办卡、随同到自助设

115

备上查看卡内余额时，其亦应其要求同去营业场

所，采用自助设备办理业务，使犯罪分子得以偷

窥密码。

其次，认定银行具有过错。造成刘晓鸣卡内

资金损失的主要原因，系农行未履行资金安全保

障义务，导致案外人复制并使用伪卡刷卡消费成

功。

在双方都有过错的情况下，金融消费者的过

错减轻银行责任，但仍认定银行就此负有主要责

任。

律师建议

根据《最高人民法院关于审理银行卡民事纠

纷案件若干问题的规定》

21，在金融消费者对伪

卡盗刷存在过错的情况下，将减轻银行责任。

因此，对于消费者而言，不代表伪卡盗刷产

生的损失将可全部向银行追偿，其应当妥善保管

其密码等身份识别信息与交易验证信息。

对于银行而言，亦可通过证明消费者存在过

错减轻其责任承担。但必须意识到，银行若仅推

论消费者可能未能妥善保存其密码，没有相关证

据，则其诉求将不会被支持。

典型案例三：消费者不能证明存在盗刷，银行不承担责任

裁判文书号 （2019）沪 74 民终 1113 号

裁判法院 上海金融法院

裁判日期 2020 年 01 月 20 日

当事人

上诉人（原审

原告）

张步田

21 《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》第七条第三款规定：前两

款情形，持卡人对银行卡、密码、验证码等身份识别信息、交易验证信息未尽妥善保管义务

具有过错，发卡行主张持卡人承担相应责任的，人民法院应予支持。

116

被上诉人（原

审被告）

中国光大银行股份有限公司上海青浦支行

金融消费者主张

判令光大银行青浦支行归还存款 151，000

元。

金融机构抗辩

被告在本案中已尽到安全保障义务，不存在

过错。

争议焦点 案涉银行卡是否存在盗刷。

法院观点

本院认为，张步田与光大银行青浦支行之间

的储蓄合同关系依法成立并生效，双方均应恪

守。光大银行青浦支行负有对储户存款的安全保

障义务，张步田作为持卡人亦负有妥善保管银行

卡密码，不向案外人告知银行卡密码的义务。根

据一审、二审张步田的陈述，其曾将本案系争借

记卡的密码告知他人，该行为存在过错。现张步

田主张其尾号 5171 的借记卡中被他人取走 91，

000 元，光大银行青浦支行未尽到安全保障义

务，对存款损失 91，000 元及律师费 8，200 元

应承担赔偿责任。对此，当事人对自己的主张负

有举证的义务，本案现有证据不能证明存在伪卡

盗刷的情形，张步田未举证证明光大银行青浦支

行存在未尽安全保障义务的情况，应承担举证不

能的法律后果。张步田主张储户取款时银行应进

行面部识别或验证本人身份证，对此本院认为，

本案系争 91，000 元系经由 ATM 机取款，取款过

程中借记卡与密码一致即可，该过程亦符合社会

公众对于 ATM 机取款操作流程的基本认识，一审

法院认定光大银行青浦支行不负对张步田存款

损失的赔偿责任，故不支付律师费，与法不悖，

本院予以确认。

117

裁判结果

驳回上诉。

（一审驳回原告全部诉讼请求）

案件分析

本案是上海金融法院案例，在盗刷案件中，

需要金融消费者初步证明存在盗刷的事实，因其

未能证明，银行将不承担任何责任。

律师建议

虽然盗刷以当事人的初步举证为前提，但根

据《最高人民法院关于审理银行卡民事纠纷案件

若干问题的规定》

22，如果银行未保存相关交易

单据、监控录像等，导致相关证据无法取得的，

仍有面临承担责任的可能性。

2.撞库行为典型案例

典型案例一：犯罪分子通过“撞库”转走持卡人财产的，若无证据证

明持卡人有可归责的事由，银行应当就被盗刷的款项承担赔偿责任

裁判文书号 （2019）沪 74 民终 200 号

裁判法院 上海金融法院

裁判日期 2019 年 05 月 17 日

当事人

上诉人（原审

被告）

招商银行股份有限公司上海淮中支行

被上诉人（原

审原告）

丁鼎

金融消费者主张

1.判令招商银行淮中支行赔偿存款损失人

民币 102，859 元（以下币种同）；2.判令招商银

行淮中支行赔偿相应利息损失（以 102，859 元

为基数，自 2015 年 9 月 16 日起至实际支付日止

按同期银行存款利率计算）。

22 《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》第五条规定：在持卡人告

知发卡行其账户发生非因本人交易或者本人授权交易导致的资金或者透支数额变动后，发卡

行未及时向持卡人核实银行卡的持有及使用情况，未及时提供或者保存交易单据、监控录像

等证据材料，导致有关证据材料无法取得的，应承担举证不能的法律后果。

118

金融机构抗辩

一、招商银行淮中支行对案涉银行卡内存款

被犯罪分子盗刷不存在违约。其一，根据案外人

童某某在公安机关的询问笔录，其登陆网银最早

是采用手工输入的方式，之后才使用扫号软件，

一审判决在没有证据证明的情况下认定本案交

易是通过扫号软件进行匹配登录的网银，缺乏依

据；其二，个人银行证书申请表背面所载功能说

明及责任条款规定，客户对凭账号、密码等网上

交易指令及由此产生的结果承担一切经济和法

律责任。本案并无证据证明案涉转账交易流程设

置不合法，招商银行淮中支行也是在对转账所需

安全要素全部验证通过后进行的划款，招商银行

淮中支行已尽安全保障义务；其三，本案通讯运

营商未尽到谨慎的审核义务，丁鼎本可向其主张

侵权责任，却放弃该救济途径，将责任转嫁给银

行。丁鼎在享受电子银行业务带来便利的同时也

应当承担由此伴随的风险。二、丁鼎对案涉银行

卡内存款被盗刷存在违约。其一，根据犯罪分子

的供述，之所以可以撞库成功是因为丁鼎在其他

网站使用了相同的用户名和密码，正是由于丁鼎

的这一行为降低了密码的安全性；其二，案涉网

银转账需要登录名、登陆密码、取款密码、短信

验证码等安全要素，尤其是其中的取款密码只有

丁鼎本人掌握。

争议焦点

丁鼎账户遭网络盗刷，与丁鼎建立储蓄存款

合同的招商银行淮中支行应否对被盗刷的款项

承担支付责任。

法院观点

一、网银交易中持卡人本人或其授权交易与

网络盗刷的举证与认定。债务人必须向正确的债

119

权人履行债务，否则不发生清偿的效果。对合同

是否正确履行发生争议的，由负有履行义务的当

事人承担举证责任。在储蓄存款合同的履行中，

银行应采取措施识别银行卡的使用人是否为持

卡人本人或经授权的人；在诉讼中，银行对系争

交易是向持卡人本人或经授权的人履行负有举

证责任。网上银行业务不同于物理卡交易，银行

无法凭借真实有效的银行卡来验证持卡人身份，

而是通过卡号、登录及交易密码、动态验证码等

持卡人网络交易身份认证信息的一致性来核实

客户身份。银行提供的证据证明上述信息验证通

过的，通常即认定构成具有受领权的权利外观、

银行的给付属于适当履行。本案根据查明的事

实，涉案银行卡的网上交易须输入正确的用户

名、登录密码、附加码、取款密码及验证码，方

能完成网银转账交易。招商银行淮中支行亦是以

验证通过为由，主张其在债务履行过程中并不存

在违约，而且个人银行证书申请表背面所载功能

说明及责任条款亦规定，客户对网上交易指令及

由此产生的结果承担一切经济和法律责任。上述

网银交易中债务履行适当性的认定，在性质上属

于事实推定。即以相关验证信息的私密性为前

提，推定系争交易由持卡人或其授权所为。如果

持卡人提供证据证明相关交易系他人冒用持卡

人名义、使用持卡人网络交易身份认证信息所为

的，即可推翻上述事实推定。本案中，根据丁鼎

提供的询问笔录，涉案资金损失系因案外人童某

某等人非法获某被上诉人的身份信息、账户信息

后，通过使用变号转件截获银行发送的验证码，

120

进而完成转账所致。在存在网络盗刷的情况下，

招商银行淮中支行仍仅以验证通过为由主张属

于适当履行，不能成立。

二、招商银行淮中支行主张丁鼎违反信息保

管义务应当承担举证责任。《中华人民共和国合

同法》第一百二十条规定，当事人双方都违反合

同的，应当各自承担相应的责任。在储蓄存款合

同关系中，发卡行负有向持卡人提供安全的用卡

环境的义务，持卡人则负有妥善保管银行卡卡

号、密码等银行卡信息的义务。持卡人未尽到妥

善保管自己银行卡信息的义务，亦构成违约，可

以减轻或免除发卡行的违约责任。本案中，招商

银行淮中支行即主张，取款密码是丁鼎自行设置

的，犯罪分子之所以可以撞库成功是因为丁鼎在

其他网站使用了相同的用户名和密码，因此持卡

人丁鼎自身存在泄露信息的过错。然招商银行淮

中支行的此主张是以取款密码等银行账户信息

只有丁鼎知晓为前提的，而网银交易系统的安全

性不高、银行对网银交易环境的管理不善等均有

可能导致银行卡信息泄露。而且，即便丁鼎在其

他网站使用了与案涉银行卡相同的用户名和密

码，亦不能即得出丁鼎未尽到妥善保管自己银行

卡信息的义务。因此，招商银行淮中支行未提供

相应的证据证明丁鼎未尽到适当注意义务导致

银行卡信息泄露，应承担举证不能的后果。对其

关于丁鼎自身也存在违约行为的主张，本院不予

采纳。

三、招商银行淮中支行的安全保障义务及案

涉银行卡信息泄露风险的分担。《中华人民共和

121

国商业银行法》第六条规定，“商业银行应当保

障存款人的合法权益不受任何单位和个人的侵

犯”。《电子银行业务管理办法》第三十八条亦规

定，“金融机构应当采取适当的加密措施和采取

适当的技术、识别与验证使用电子银行服务客户

的真实、有效身份”。招商银行淮中支行作为专

业金融机构，对其所提供的供客户选择的任何一

种网上交易模式，均具有保障账户资金安全的法

定义务。丁鼎之所以选择将案涉款项存入招商银

行淮中支行，也正是基于对其作为商业银行的信

任。为此，作为借记卡的发卡行及相关技术、设

备和操作平台的提供者，应当对交易机具、交易

场所加强安全管理，对各项软硬件设施及时更新

升级，以最大限度地防范资金交易安全漏洞。而

且，从双方利益衡量的角度，将包括案涉银行卡

信息泄露在内的银行卡欺诈风险分配给招商银

行淮中支行亦更为合理。随着电子银行业务的发

展，商业银行作为从电子交易系统的开发、设计、

维护者，也是从电子交易的风险中获得经济利益

的一方，相较于持卡人而言，应当也更有能力采

取更为严格的技术保障措施，以增强防范银行卡

违法犯罪行为的能力。

四、招商银行淮中支行不能以第三人原因为

由免责。招商银行淮中支行另主张，丁鼎账户被

盗刷是由于犯罪行为所致，手机运营商在涉案事

件中亦存在过错，不应由其承担民事责任。对此，

首先，丁鼎将款项存入银行后，账户资金的所有

权已经发生转移，相应地该笔款项的风险也转移

至招商银行淮中支行。犯罪分子冒丁鼎之名实施

122

盗刷行为，侵害的是招商银行淮中支行的货币所

有权，而非丁鼎资金的所有权。丁鼎请求支付存

款与银行资金被盗是两个独立的法律事实。其

次，《中华人民共和国合同法》第一百二十一条

规定，当事人一方因第三人的原因造成违约的，

应当向对方承担违约责任。《商业银行法》第三

十三条规定，银行应当按时向储户足额支付本

息，在储户没有可归责事由的情况下，银行应该

无条件地向储户承担到期支付的责任。本案丁鼎

提起诉讼的请求权基础为储蓄存款合同关系，基

于合同的相对性和合同严格责任，即便案涉资金

损失是由合同以外的第三人造成的，与丁鼎存在

合同关系的是招商银行淮中支行，对作为持卡人

的丁鼎仍应当先行承担支付责任。手机运营商是

否存在过错以及招商银行淮中支行对丁鼎承担

违约责任后向手机运营商追偿，均并非本案审理

范围。

综上，丁鼎账户资金遭网络盗刷，在没有证

据证明丁鼎存在违约行为等可归责事由的情况

下，招商银行淮中支行对冒名者的付款行为不能

产生清偿的效果，仍应当就被盗刷的款项对丁鼎

承担全部支付责任。招商银行淮中支行的上诉理

由均不成立，对其上诉请求本院不予支持。

裁判结果

驳回上诉。

（一审支持原告全部诉讼请求）

案件分析

本案是上海金融法院案例。在本案中，上海

金融法院认为，即便消费者在其他网站使用了与

案涉银行卡相同的用户名和密码，亦不能即得出

其未尽到妥善保管自己银行卡信息的义务。对于

123

银行而言，作为专业金融机构，具有保障账户资

金安全的法定义务。银行作为借记卡的发行者及

相关技术、设备和交易平台的提供者，应对交易

机具、交易场所、交易平台加强安全管理，并对

各项软硬件设施及时更新升级，最大限度地防范

资金交易安全漏洞。且从双方利益衡量的角度，

商业银行作为电子交易系统的开发、设计、维护

者，也是从电子交易的风险中获得经济利益的一

方，相较于持卡人而言,应当也更有能力采取更

为严格的技术保障措施，以防范有关违法犯罪行

为。最终驳回上诉。

律师建议

根据《电子银行业务管理办法》第三十八条

23、第四十条24，银行负有采取技术，识别、验证

电子银行客户真实身份的义务，在“撞库”发生

时，银行不能证明消费者在保存密码上有过错，

或者在相关服务协议中施加对消费者明显不合

理的注意义务时，银行仍需承担全部赔偿责任。

鉴于此，对银行建议如下：

（1）因 犯罪 分 子通 过撞 库 实施 犯 罪行 为

的，网银登陆系统将会出现大量异常登陆现象，

因此，银行可利用技术强化对异常登陆的监督与

干扰。

（2）进行电子转账时，采取面容识别等强

化对当事人身份的鉴别。

对于消费者而言，建议如下：

23 《电子银行业务管理办法》第三十八条第一款规定： 金融机构应采用适当的加密技术和

措施，保证电子交易数据传输的安全性与保密性，以及所传输交易数据的完整性、真实性和

不可否认性。

24 《电子银行业务管理办法》第四十条规定 ：金融机构应采取适当的措施和采用适当的技

术，识别与验证使用电子银行服务客户的真实、有效身份，并应依照与客户签订的有关协议

对客户作业权限、资金转移或交易限额等实施有效管理。

124

（1）妥善保存其密码。根据《电子银行业

务管理办法》第八十九条

25，若消费者未尽到相

应的安全防范义务，则可能自担损失。

（2）可通过开通余额通知的短信提醒，在

相关行为发生时，及时通过冻结等手段避免损失

扩大。

3.钓鱼网站典型案例

典型案例一：消费者疏忽大意轻信了伪基站发送的短信，并点击其中

的钓鱼网站，自己输入动态密码等造成损失，银行在此过程中并无违约之

处，不承担任何责任。

案号 （2016）京民申 01066 号

裁判法院 北京市高级人民法院

裁判日期 2016 年 05 月 12 日

当事人

申 请 再 审 人

（一审原告、

二审上诉人）

梁利锋

被申请人（一

审被告、二审

被上诉人）

交通银行股份有限公司北京万柳支行

金融消费者主张

1、判令交行万柳支行赔偿梁利锋存款 2 万

元及利息（自 2014 年 10 月 18 日起至实际付清

之日止，以 2 万元为基数，按照中国人民银行同

期活期存款利率计算）；2、本案诉讼费由交行万

柳支行承担。

金融机构抗辩 梁利锋向第三人泄露了账户信息，其具有过

25 《电子银行业务管理办法》第八十九条第二款规定：因客户有意泄漏交易密码，或者未按

照服务协议尽到应尽的安全防范与保密义务造成损失的，金融机构可以根据服务协议的约定

免于承担相应责任，但法律法规另有规定的除外。

125

错，应该自行承担责任。交行万柳支行没有任何

过错或者违约行为，不应承担责任。

争议焦点 银行是否对梁利锋的损失承担赔偿责任。

法院观点

本院认为，根据原审已经查明的事实，本案

是犯罪分子利用电子手段，假冒交通银行 95559

短信和相似的 wap.95559pc.com，骗得梁利锋的

银行卡号、手机银行密码和手机动态密码。从事

实经过来看，梁利锋的损失系因为其疏忽大意轻

信了伪基站发送的 95559 短信，并点击其中的钓

鱼网站，自己输入动态密码等造成的，交行万柳

支行在此过程中并无违约之处。至于梁利锋所述

交行万柳支行未尽到法定或约定的安全提示义

务的问题，从梁利锋认可真实性的交行万柳支行

提交的安全宣传折页来看，其中有防范钓鱼网站

等提示，而且交通银行的借记卡背面即有交通银

行官网地址 http：／／www.95559.com.cn，梁

利锋在一审中认可自己开通手机银行业务，在二

审中认可使用过网上银行，也使用过手机银行，

据此梁利锋对于交通银行的网站、手机动态密码

的用途等应该是明知的，在此种情况下，并无证

据证明交行万柳支行未尽到安全保障义务。原审

驳回梁利锋的诉讼请求并无不当。申请人的再审

申请不符合《中华人民共和国民事诉讼法》第二

百条规定的情形。

裁判结果

驳回再审申请。

（一二审驳回原告诉讼请求）

案件分析

根据《电子银行业务管理办法》第八十九条，

因客户未尽到风险防范义务造成损失发生的，银

行可免于承担赔偿责任。本案中，客户受犯罪分

126

子所骗，进入钓鱼网站，输入动态密码并进行操

作，对其损失承担责任。银行已进行了相关风险

防范的提示义务，不存在过错，因此，不承担责

任。

律师建议

在因点击钓鱼网站发生盗刷的场合，银行若

已进行风险提示，则通常认为并不具有过错。

对于消费者而言，则应当提高风险防范意

识，点进相关网址时注意核查是否是银行官网，

警惕任何需要输入密码、账户的操作要求。

典型案例二：消费者被犯罪分子所骗，登录钓鱼网站，并进行一系列

操作，对于卡内资金被盗取存在重大过错。银行没有证据证明其在案涉交

易发生时有向消费者推送余额变动短信通知，导致黄晓兰未能发现盗刷信

息，引起第二次盗刷，银行对于消费者的卡内资金被盗取承担次要责任。

案号 （2016）粤民申 7779 号

裁判法院 广东省高级人民法院

裁判日期 2016 年 12 月 27 日

当事人

再 审 申 请 人

（一审原告、

二 审 被 上 诉

人）

黄晓兰

被申请人（一

审被告、二审

上诉人）

中国工商银行股份有限公司中山分行

金融消费者主张

1.判令中国工商银行股份有限公司中山分

行赔偿因盗刷发生的全部损失。

金融机构抗辩

中国工商银行股份有限公司中山分行辩称

其无过错。

争议焦点 银行是否对黄晓兰的损失承担赔偿责任。

127

法院观点

本院经审查认为，根据《中国工商银行电子

银行个人客户注册申请表》的记载，网上银行身

份认证介质为 U 盾，因此，在网上银行进行操作

时，U 盾的使用是关键环节。根据黄晓兰报案陈

述可知，其被犯罪分子所骗，登录钓鱼网站，插

入 U 盾，输入密码并进行操作，在电脑出现黑屏

后，仍然按照犯罪嫌疑人的指示不拔出 U 盾，对

于卡内资金被盗取存在重大过错。工商银行中山

分行没有证据证明其在案涉交易发生时有向黄

晓兰推送余额变动短信通知，其所提交的已发送

短信验证码的证据无通信公司盖章，因此，工商

银行中山分行对于黄晓兰的卡内资金被盗取应

当承担次要责任。二审判决对工商银行中山分行

的责任比例认定并无不当。黄晓兰申请再审的理

由不成立，本院不予支持。

裁判结果

驳回再审申请。

（二审认定银行承担次要责任）

案件分析

根据《电子银行业务管理办法》第八十九条，

因客户未尽到风险防范义务造成损失发生的，银

行可免于承担赔偿责任。本案中，客户瘦犯罪分

子所骗，进入钓鱼网站，插入 U 盾，输入密码并

进行操作，对其损失承担主要责任。但银行未提

出充分证据证明其按照约定通知余额变动，就该

不作为造成的损失，仍应承担赔偿责任。

律师建议

在因点击钓鱼网站发生盗刷的场合，银行并

不具有过错，但因未履行及时通知义务发生的损

失，银行仍应承担责任，考虑到实践中犯罪分子

也可拦截银行的短信，导致客户实际无法收到短

信鉴于此，对银行建议如下：

128

加强与通信公司合作，在纠纷发生时，请求

通信公司对已发出的短信提供证明材料并盖章。

对于消费者而言，则应当提高风险防范意

识，点进相关网址时注意核查是否是银行官网，

警惕任何需要输入密码、账户的操作要求。

4.第三方支付机构相关的盗刷典型案例

典型案例一：消费者预留他人手机号码，被盗用开通第三方支付，对

损失承担主要责任；银行未证明按照银监会与中国人民银行的相关规定进

行身份鉴定，具有过错，承担次要责任。

案号 （2018）苏民再 275 号

裁判法院 江苏省高级人民法院

裁判日期 （2018）苏民再 275 号

当事人

再审申请人

（ 一 审 原

告、二审上

诉人）

丁蒋锋

被 申 请 人

（ 一 审 被

告、二审上

诉人）

交通银行股份有限公司南通通州支行

金融消费者主张

判令交行通州支行赔偿存款本金 36 万元及自

2014 年 5 月 4 日起至实际给付之日的同期银行贷

款利息。

金融机构抗辩

1、本案中所有交易均按《交通银行太平洋个

人借记卡领用合约》及人民银行的相关规定进行，

交行通州支行不存在任何过错，故不应承担责任；

2、丁蒋锋未按上述合约的约定妥善保管太平洋

卡、密码和预留手机号码，在互联网上进行交易，

129

导致损失，其后果应其由自行承担；3、该案的刑

事侦查尚未结束，应待公安部门有明确的侦查结

果后再行处理民事案件，本案应中止审理。

争议焦点 银行是否对丁蒋锋的损失承担赔偿责任。

法院观点

本院再审认为，根据本案查明的事实，2014

年 4 月 18 日，丁蒋锋在交行通州支行办理了 57580

的太平洋个人借记卡，办卡时预留他人手机号码

182××××1376。同日，该借记卡被关联至 2014

年 4 月９日就已开通的 182××××1376 支付宝

账户，且该账户于关联当日变更为丁蒋锋个人信

息。此后，丁蒋锋借记卡中资金被通过该支付宝

账户陆续转出。故应当判断交行通州支行在丁蒋

锋的借记卡被关联至案涉支付宝账户及资金转移

中是否履行了双方约定的审查义务。

丁蒋锋在交行通州支行办理 57580 借记卡，

双方签订《交通银行太平洋个人借记卡领用合

约》，该合约符合法律规定，合法有效，对双方当

事人均具有约束力。合约第四条约定，交行通州

支行认定有关交易系丁蒋锋本人或经其授权的第

三人所为的依据是使用该借记卡账户的密码进行

交易，或丁蒋锋签名的交易凭证或其他有效凭证。

但在丁蒋锋的借记卡账户被关联至案涉支付宝账

户及资金转移时，交行通州支行仅以向预留手机

号码发送验证码的方式进行验证。丁蒋锋虽在领

用借记卡时在申请书中勾选了“短信密码”，但双

方已明确约定“太平洋卡备用金账户设有密码，

密码包括交易密码和查询密码”，短信密码不在该

合约约定的认定交易主体依据范围内。交行通州

支行未依据双方合同约定进行密码（交易密码或

130

查询密码）验证，也未提交证据证明该行获得了

丁蒋锋签名的交易凭证或其他有效凭证，存在违

约行为。中国银监会 86 号文件第三条规定：商业

银行应采取有效措施切实保障客户信息安全，加

强电子资金转移和支付环节的身份识别管理。从

客户银行账户扣划资金时，原则上应由账户所在

银行完成电子资金转移与支付交易的安全认证;

对于由第三方机构完成安全认证的电子资金转移

与支付业务，应至少在首笔业务前由账户所在银

行通过物理网点、电子渠道或其他有效方式直接

验证客户身份，并与客户约定双方相关权利与义

务。商业银行应根据不同业务类型和安全认证方

式采取差异化的风险控制策略，谨慎设置交易限

额。中国银监会、中国人民银行 10 号文件第三条

规定：客户银行账户与第三方支付机构首次建立

业务关联时，应经双重认证，即客户在通过第三

方支付机构认证同时，还需通过商业银行的客户

身份鉴别，账户所在银行应通过物理网点、电子

渠道或其他有效方式直接验证客户身份，明确双

方权利与义务；第四条规定：商业银行通过电子

渠道验证和辨别客户身份，应采用双（多）因素

验证方式对客户身份进行鉴别，对不具备双（多）

因素认证条件的客户，其任何账户不得与第三方

支付机构建立业务关联。交行通州支行在丁蒋锋

银行账户关联至案涉支付宝账户时，未按上述文

件的要求对该行为是否为丁蒋锋本人的行为进行

审核和鉴别，交行通州支行的行为亦违反了行业

规定。

交行通州支行提交的《交通银行股份有限公

131

司支付宝快捷支付业务开通协议》第 3 条约定，

客户同意，交通银行以支付宝传送至交通银行的

户名、卡号、手机号码和手机动态密码作为确认

客户身份、为客户开通支付宝快捷支付业务的唯

一依据。但交行通州支行未提交证据证明该行在

丁蒋锋办理借记卡时对上述内容尽到了告知义

务，亦未提交证据证明案涉 182××××1376 支

付宝账户系丁蒋锋开设。故二审判决认定丁蒋锋

在网上与交行及支付宝公司签订快捷支付业务开

通协议时已同意以支付宝传送至交通银行的户

名、卡号、手机号码和手机动态密码作为确认客

户身份、为客户开通支付宝快捷支付业务的唯一

凭证，同意并授权交通银行按照支付宝的交易指

令从客户指定的借记卡账户中支付相应款项，该

协议系对原领用合约的变更，丁蒋锋已明确放弃

在支付宝快捷支付时使用原交易密码的权利，显

属不当，本院予以纠正。

丁蒋锋在办理借记卡时预留他人手机号码，

违反了双方借记卡领用合约关于妥善保管借记

卡、密码和预留手机号码的约定，明显存在违约

之处。丁蒋锋与交行通州支行的违约行为共同导

致丁蒋锋的财产损失，均应承担相应的责任。丁

蒋锋作为完全民事行为能力人，在填写“太平洋

个人借记卡综合申请书”时预留他人手机号码，

造成他人掌握手机动态密码，是造成其卡内资金

损失的主要原因，应承担主要责任，即损失的 80%；

交行通州支行违反合同约定及行业规定未尽到审

慎审查义务，是造成该损害结果的次要原因，应

承担 20%的损失计 71999.96 元，即（360000 元-0.2

132

元）×20%。

裁判结果

一、撤销江苏省南通市中级人民法院（2015）

通中商终字第 00161 号民事判决及南通市通州区

人民法院（2014）通商初字第 01128 号民事判决。

二、交通银行股份有限公司南通通州支行于

本判决生效后十日内赔偿丁蒋锋 71999.96 元及其

利息（利息以 71999.96 元为本金自 2014 年 5 月 4

日起至判决确定的给付之日止按中国人民银行同

期同类贷款利率计算）。

三、驳回丁蒋锋的其他诉讼请求。

案件分析

本案中，丁蒋锋因故意预留他人手机号，具

有明显过错，而银行未按照银监会 86 号文件第三

条规定

26及中国银监会、中国人民银行 10 号文件

第三条规定

27，与第三方支付机构建立首次业务关

联时，未证明按照银监会与中国人民银行的相关

规定进行身份鉴定，因此具有过错，认定应当承

担次要责任。

律师建议

即便是通过第三方支付机构发生的盗刷，银

行仍对客户身份鉴定承担相关义务，中国人民银

行与银监会，对于与第三方支付机构建立业务关

联明确了具体的鉴定方法，《中国人民银行关于进

26 《中国银监会关于加强电子银行客户信息管理工作的通知》规定：三、 商业银行应采取

有效措施切实保障客户信息安全，加强电子资金转移和支付环节的身份识别管理。从客户银

行账户扣划资金时，原则上应由账户所在银行完成电子资金转移与支付交易的安全认证；对

于由第三方机构完成安全认证的电子资金转移与支付业务，应至少在首笔业务前由账户所在

银行通过物理网点、电子渠道或其他有效方式直接验证客户身份，并与客户约定双方相关权

利与义务。商业银行应根据不同业务类型和安全认证方式采取差异化的风险控制策略，谨慎

设置交易限额。

27 《中国银监会、中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》

第三条规定：三、 客户银行账户与第三方支付机构首次建立业务关联时，应经双重认证，

即客户在通过第三方支付机构认证同时，还需通过商业银行的客户身份鉴别。账户所在银行

应通过物理网点、电子渠道或其他有效方式直接验证客户身份，明确双方权利与义务。

133

一步加强银行卡风险管理的通知》规定，

28要求采

取多因素身份认证方式，并对身份鉴别方式明确

要求，银行应严格履行。此外，在发生相关纠纷

时，银行积极举证已履行上述义务，并对对方有

过错的情况进行说明。

对于消费者而言，在开办电子银行业务的过

程中，应按照银行的要求，预留各项准确信息，

避免在盗刷发生时，承担不利后果。

典型案例二：消费者因点击钓鱼网站，通过多个第三方支付工具被盗

刷；银行不能证明开通第三方支付系消费者本人所谓，也未证明其按照通

知要求采取了双（多）因素验证方式进行了身份鉴别，在出现显见的异常

情况时，未尽到风险监控与预防义务，承担 50%的责任。

案号 （2019）豫民申 6252 号

裁判法院 河南省高级人民法院

裁判日期 2019 年 09 月 29 日

当事人

再 审 申 请 人

（一审被告、

二审上诉人）

中国建设银行股份有限公司汝阳支行

被申请人（一

审原告、二审

被上诉人）

顾三斗

金融消费者主张

1.判令被告赔偿原告损失 38000 元；2.被

告承担诉讼费用。

28 《中国人民银行关于进一步加强银行卡风险管理的通知》规定：自 2016 年 11 月 1 日起，

各商业银行基于银行卡与支付机构、商业机构建立关联业务时，应严格采用多因素身份认证

方式，直接鉴别客户身份，并取得客户授权。身份鉴别应采取以下组合方式之一：一是采用

符合《金融电子认证规范》(JR／T 0118)的数字证书，并组合交易密码等至少一种认证因素。

二是采用符合《动态口令密码应用技术规范》(GM／T 0021)的动态令牌设备，并组合交易密

码等至少一种认证因素。三是至少组合两种动态认证因素(如动态验证码、基于客户行为的

动态挑战应答等)，并采用语音、短信、数据(如手机银行，即时通讯、邮件)等至少两种不

同通信渠道。

134

金融机构抗辩

一、原告银行卡账户内资金被骗 36960.79

元，造成损失 17728.94 元不能追回，被告对此

表示同情，但被告对原告银行卡内资金被骗不

存在任何过失、过错，不应承担赔偿义务。2017

年 3 月 18 日下午，原告手机收到 12123 短信“河

南交警：车主您好！您的车辆已有两条违章未

处理，详情 http//t.cn/RieoMwt 查询和处理违

章 17:09 短信息。”原告私自在手机上点开链

接，致使原告信息泄露，其银行卡账户内资金

被骗，通过第三方支付平台交易 52 笔、金额

36960.79 元。原告点击链接手机短信网址，致

使原告信息被泄露，在被告处开办的银行卡账

户内资金被骗，纯属原告自己过失所造成。二、

原告对被告的诉求无任何事实根据和法律依

据，请求依法驳回原告的诉求。被告对原告的

个人信息从未外泄，且尽到了安全保障义务。

原告在被告处开办银行账号并使用银行卡至

今，除 2017 年 3 月 18 日 18 时 30 分至 2017 年

3 月 19 日 12 时 37 分原告银行账户资金被骗外，

原告与被告进行了无数次存、取交易，双方均

履行自己的全部义务。被告也履行了对原告个

人信息安全的保障义务。原告在被告处和中国

工商银行股份有限公司开办的账号为 62×××

92 的银行账户的资金均被骗走（原告于 2017

年 3 月 19 日向洛阳市公安局洛龙派出所经济开

发区勤务大队被骗报案的《报案材料》、《讯问

笔录》以及中国工商银行出具的原告《借记卡

账户历史明细清单》和原告 2017 年 4 月 6 日的

《盗卡案件同步到风险管理部的信息》，相互印

135

证充分予以证实）。原告卡内资金被骗，完全是

由于原告自己的行为所造成，并非被告过失或

过错所造成，更不存在被告未尽到安全保障义

务。三、原告的银行卡内资金被骗后，被告为

原告尽到最大的风险管控能力，并积极与第三

方支付平台协调，为原告追回 19231.85 元。剩

余 17728.94 元未能追回，被告没有任何赔偿义

务。四、被告完全了履行自己应尽的义务，不

存在侵权、也不存在管理瑕疵，更不存在过失、

过错。原告的损失完全是由于自己的过失、过

错所造成，应由原告自己承担。

争议焦点 银行对于盗刷是否有过错。

法院观点

本院经审查认为，根据汝阳建行在原审中

提交的建行特服号 95533 向顾三斗发送的短信

明细，2017 年 3 月 18 日至 19 日，顾三斗在点

击短信链接后，其建行账户被开通天翼电子商

务、易宝支付、苏宁易付宝、北京百付宝、快

钱支付、美团大众点评、支付宝、财付通、电

e 宝、拉卡拉、上海盛付通、网易宝等十余个

第三方快捷支付服务，并通过其中部分第三方

支付平台连续扣款 52 笔。关于第三方支付，中

国银监会、中国人民银行联合下发的银监发

[2014]10 号《关于加强商业银行与第三方支付

机构合作业务管理的通知》第三条规定，“客户

银行账户与第三方支付机构首次建立业务关联

时应经双重认证，即客户在通过第三方支付机

构认证同时，还需通过商业银行的客户身份鉴

别。账户所在银行应通过物理网点、电子渠道

或其他有效方式直接验证客户身份，明确双方

136

权利和义务。”第四条规定，“商业银行通过电

子渠道验证和辨别客户身份，应采用双（多）

因素验证方式对客户身份进行鉴别，对不具备

双（多）因素认证条件的客户，其任何账户不

得与第三方支付机构建立业务关联。”第十四条

规定，“商业银行应将与第三方支付机构的合作

业务纳入全行业务运营风险监测系统的监控范

围，对其中的商户和客户在本行的账户资金活

动情况进行实时监控，达到风险标准的应组织

核查，特别是对其中大额、异常的资金收付应

做到逐笔检测、认真核查、及时预警、及时控

制。”本案中，顾三斗点击短信链接之后，在较

短的时间内，多达十余个第三方支付服务被开

通，并发生 52 笔扣款。该情况从一般理性人的

认知来看，显属异常。汝阳建行并无证据证明

开通上述第三方支付服务系顾三斗本人所为，

也未证明其按照通知要求采取了双（多）因素

验证方式进行了身份鉴别，更未证明其对上述

异常情况进行了核查。因此，原审根据各方的

过错程度，认为汝阳建行未尽到安全保障义务，

判令其承担 50%的责任，并无不当。

裁判结果

驳回中国建设银行股份有限公司汝阳支行

的再审申请。

（二审裁判银行承担 50%的责任）

案件分析

根据《关于加强商业银行与第三方支付机

构合作业务管理的通知》第十四条，

29银行在与

29 《关于加强商业银行与第三方支付机构合作业务管理的通知》规定：十四、 商业银行应

将与第三方支付机构的合作业务纳入全行业务运营风险监测系统的监控范围，对其中的商户

和客户在本行的账户资金活动情况进行实时监控，达到风险标准的应组织核查。特别是对其

中大额、异常的资金收付应做到逐笔监测、认真核查、及时预警、及时控制。

137

第三方支付机构进行业务关联时，仍负有风险

监控与预防义务，若消费者消费情况明显有异

常，而银行未进行风险防控，将被认为存在过

错。本案中，即便存在消费者点击钓鱼网站的

事实，但因存在银行的过错，双方共同导致了

损失发生，因此，银行仍应承担相应的赔偿责

任。

在 北 京 中 院 审 理 的 一 起 借 记 卡 纠 纷 中 ，

【（2020）京 01 民终 5448 号】，法院认定，在

前后一个半小时内，银行未对 283 笔交易金额

相同的第三方快捷支付进行监控，向当事人发

送短信提醒，违反中国银监会、中国人民银行

发布的银监发[2014]10 号《关于加强商业银行

与第三方支付机构合作业务管理的通知》的相

关规定，认定银行承担违约责任。

律师建议

银行在与第三方支付机构合作的场合，建

议按照银监会与中国人民银行的相关规定，强

化对异常交易信息的风险监控。

5.飞单行为典型案例

典型案例一：虽然交易行为是在正常的工作时间，发生于银行的办公

场所内，但消费者多次付款的款项收受方并非银行，其已收取的部分本金

和收益也非银行支付，相关职员并非以银行名义做出有关行为，银行无责

案号 （2021）最高法民申 4122 号

裁判法院 最高人民法院

裁判日期 2021 年 06 月 23 日

当事人

再 审 申 请 人

（一审原告、

二审上诉人）

孙冶金

138

被申请人（一

审被告、二审

被上诉人）

中国工商银行股份有限公司梨树支行

金融消费者主张

1.判令被告返还或赔偿原告委托理财本金

7515000 元、委托理财的收益 1587536 元、至起

诉 之 日 止 的 利 息 1586500 元 （ 三 项 共 计

10689036 元）以及从起诉之日起至实际给付之

日止的利息（按全国银行间同业拆借中心公布

的贷款市场报价利率计算）。2.本案诉讼费用由

被告承担。

金融机构抗辩

1.原告与被告之间的金融委托理财合同已

经履行完毕，工行不负有返还本案涉案本金、

收益和利息的义务。2.原告孙冶金诉讼请求不

明确，原告诉求的赔偿损失与本案案由不是同

一法律关系，诉请标的额不明确。3.原告对其

投资迅秒公司是明知的。4.闫红非法吸收公众

存款案件的生效刑事判决书已经判定闫红是为

个人私利将孙冶金介绍给吕艳红，孙冶金投资

迅秒公司产品的，不存在利用职务之便与职务

相关的犯罪行为。

争议焦点

本院经审查认为，本案再审审查的重点问

题是孙冶金请求工行梨树支行偿还其购买理财

产品的本金、收益和利息，是否具有事实和法

律依据。

法院观点

孙冶金主张其与工行梨树支行存在委托理

财合同关系，购买银行理财的资金被闫红“飞

单”，故银行应当承担偿还责任。经审查，2015

年 7 月 24 日至 2015 年 10 月 16 日，孙冶金在

工行梨树支行购买的理财产品，本金及所得收

139

益已经由该行全部支付完毕，双方之间的委托

理财合同关系履行完毕。就孙冶金诉请的委托

理财本金及收益而言，其与工行梨树支行之间

并未形成委托理财合同关系。原审判定孙冶金

的诉讼请求不成立，并无不当。关于孙冶金提

出闫红的“飞单”行为应由工行梨树支行承担

后果的问题。虽然该交易行为是在正常的工作

时间，发生于工行梨树支行的办公场所内，但

孙冶金多次付款的款项收受方并非工行梨树支

行，其已收取的部分本金和收益也非工行梨树

支行支付，闫红并非以工行梨树支行名义做出

有关行为，故孙冶金请求银行承担侵权责任，

缺少充分的事实和法律依据，不予支持。

裁判结果

驳回驳回孙冶金的再审申请。

（一二审均驳回其诉讼请求）

案件分析

在本案中，银行是否对于员工的行为承担

赔偿责任，其核心在于消费者是否信赖员工的

行为是职务行为，在消费者向非银行账户收款、

又未与银行签订相关协议的情况下，法院倾向

于认定消费者无合理信赖，不承担赔偿责任。

律师建议

若员工通过飞单销售的理财产品不足以使

消费者善意信赖，则银行一般不承担责任，消

费者应当尽到注意义务，在转账、签订合同等

环节发现相关理财产品与银行无关时，及时拒

绝止损，否则，将面临自担责任风险。

典型案例二：犯罪分子作为银行的理财客户经理，已多年向消费者出

售理财产品。客户经理在其工作时间及银行的营业场所向消费者出具加盖

银行柜台业务专用章的理财合同，足以使消费者有理由相信其所购买的理

140

财产品就是银行的理财产品，银行应承担责任。

案号 （2019）粤民申 10367 号

裁判法院 广东省高级人民法院

裁判日期 2020 年 06 月 04 日

当事人

再 审 申 请 人

（一审被告、

二审上诉人）

中国光大银行股份有限公司广州东风支行

被申请人（一

审原告、二审

被上诉人）

刘凤云

金融消费者主张

1.请求判令光大银行广州东风支行归还刘

凤云本金 4600000 元，并按同期同类存款利率

计算利息至付清款项之日止；2.请求判令光大

银行广州东风支行承担本案全部诉讼费用。

争议焦点

光大银行广州东风支行在本案中的责任如

何认定。

法院观点

麦某作为光大银行广州东风支行的理财客

户经理，其工作职责包括了出售理财产品等相

关工作，且已多年向刘凤云出售光大银行的理

财产品。本案中，麦某以其光大银行广州东风

支行理财客户经理的身份，在其工作时间及光

大银行广州东风支行的营业场所向刘凤云出具

加盖“中国光大银行广州东风支行柜台业务专

用章（对私 13）”的理财合同，无论从交易时间、

交易场所还是从交易内容上，均足以使刘凤云

有理由相信麦某的行为是代表光大银行广州东

风支行的职务行为，其所购买的理财产品就是

光大银行广州东风支行的理财产品。麦某在本

案中采取诈骗手段向刘凤云出售虚假理财产

141

品，骗取刘凤云的投资款，导致刘凤云的财产

损失，为此刑事判决已判令追缴其违法所得并

责令退赔。而光大银行广州东风支行作为专业

的金融机构，其内部管理不善、监管存在重大

漏洞，在麦某实行侵权行为的过程中未能尽到

应有监管职责，存在明显过错，根据《中华人

民共和国侵权责任法》第六条第一款关于“行

为人因过错侵害他人民事权益，应承担侵权责

任”的规定，其应对刘凤云的财产损失承担侵

权责任。因此，二审判决光大银行广州东风支

行应当对麦某在刑事案件中退赔不足部分向刘

凤云承担补充赔偿责任，并无不当。刘凤云在

购买理财产品过程中虽未能尽到谨慎的注意义

务，但二审判决已酌情确定对刘凤云的利息损

失不予支持，已考虑了被侵权人对发生损害存

在的过错，从而已减轻了光大银行广州东风支

行的责任。

裁判结果

驳回中国光大银行股份有限公司广州东风

支行的再审申请。

（一二审均认为银行应承担只要赔偿责

任）

案件分析

在本案中，员工向消费者出具加盖银行柜

台业务专用章的理财合同，无论从交易时间、

交易场所还是从交易内容上，均足以使消费者

有理由相信该行为是代表银行的职务行为，因

此，银行承担责任。

142

律师建议

若员工通过飞单销售的理财产品不足以使

客户善意信赖，则银行一般不承担责任，为避

免此种风险，建议银行加强内部风险管控，尤

其加强对相关印章的管理。

（二）金融消费者知情权

金融领域消费者的知情权之所以十分重要，主要是因为金融机构与消费

者之间的信息不对称。因为信息不对称，消费者更容易受到来自金融机构销售人

员的劝诱而做出不理性的交易行为，从而导致财产受损。

30因此，金融机构应当

以通俗易懂的语言，及时、真实、准确、全面地向金融消费者披露可能影响其决

策的信息，充分提示风险，不得发布夸大产品收益、掩饰产品风险等欺诈信息，

不得作虚假或引人误解的宣传。

1.支付结算业务典型案例

典型案例一：银行如不能保障大宗商品交易所正常签到或交易商正常

入金，其应及时发布通知或公告，否则属于侵犯消费者知情权的行为，如

造成损失应承担相应的赔偿责任。

裁判文书号 (2017)浙民申 1903 号

裁判法院 浙江省高级人民法院

裁判日期 2017.12.20

当事人

申请人 岑东余

被申请人 招商银行股份有限公司宁波文化广场支行

金融消费者主张

二审法院加重了岑东余的责任。在非正常

交易情况下，招商银行文化广场支行和一审第

三人作为经营者不应该把金融市场的经营风险

强加于金融消费者身上，应该深刻反思软硬件

服务上存在的不足。招商银行文化广场支行和

一审第三人在提供相关服务时，因服务系统存

30 张继红：《金融消费者权益保障热点法律问题研究》，中国政法大学出版社，2014 年 9

月第 1 版。

143

在安全隐患、缺陷、内部违规操作未作任何说

明，侵害了金融消费者的知情权。

金融机构抗辩

实际操作中，银行系统每日清算时间与业

务量大小有关，故出入金时间段不可能在与大

宗商品交易所的合同中有明确约定，只能约定

为交易所签到之后、签退之前。当日招商银行

文化广场支行清算时间确实较长，但岑东余签

署了结算合同，对此清算时间在交易所交易时

间内是明知的，对清算时间内市场行情随时变

化应有预知，也应准备充足资金，并作出理性

前瞻和稳妥操作。岑东余未尽上述注意义务，

造成的损失应由其自行承担。3.从大宗商品交

易所的交易日志看，当日 19 点 18 分 25 秒，岑

东余发起入金请求，但结果失败，当时招商银

行文化广场支行的系统正在清算，大宗商品交

易所的系统无法登入银行系统，导致无法入金。

此后，大宗商品交易所于 20 点 38 分 19 秒在招

商银行文化广场支行签到成功，20 点 38 分 35

秒，类似于岑东余的客户发生了第一笔入金，

结果是入金成功，15 分钟后，岑东余的账户被

强行平仓。可见，在岑东余账户被强行平仓之

前 15 分钟内，大宗商品交易所已经在招商银行

系统中成功签到，也有其他交易商成功入金，

在此期间，岑东余完全可以正常入金避免损失。

对于岑东余未尽谨慎注意义务，造成的损失应

由其自身承担。4.岑东余所从事的“甬油 100”

品种，是一种风险投资业务。招商银行文化广

场支行无偿为其提供了从事该业务的结算通

道，并不对岑东余的交易盈亏负有义务，岑东

144

余投资失败的损失与招商银行文化广场支行无

关。

争议焦点

一、相关当事人是否存在违约行为及过错；

二、如存在违约行为及过错，责任如何确定。

法院观点

在市场行情对岑东余不利的情形下，其也

未采取自行平仓的方式减少损失，可见，岑东

余对行情变化可能造成的损失存在放任的情

况。招商银行文化广场支行不能保障大宗商品

交易所正常签到或交易商正常入金，其应及时

发布通知或公告。现大宗商品交易所于 2015 年

11 月 16 日 17：40 到招商银行计算机系统签到，

却因招商银行计算机系统清算迟延，导致大宗

商品交易所签到失败，岑东余无法入金。招商

银行文化广场支行作为岑东余的结算银行，因

其系统清算延期导致大宗商品交易所无法签

到，应及时向大宗商品交易所反馈原因，并通

知交易商，以确保交易商能够寻求其他替代方

式补充资金。对招商银行文化广场支行一方而

言，招商银行文化广场支行未在规定时间内确

保大宗商品交易所正常签到，交易商正常入金，

也未尽必要的通知义务，应对岑东余的损失承

担一定的责任。

裁判结果

原审法院根据各方的过错程度，酌定岑东

余承担损失比例为 80%，招商银行文化广场支

行承担损失比例为 20%，有相应依据。再审法

院予以支持。

案件分析

在本案中，因银行服务系统存在安全隐患、

缺陷等问题而未作任何说明，导致金融消费者

遭受了损失，法院一般会认为属于银行未尽到

145

通知义务，会根据过错程度判罚银行承担一定

比例的责任，应引起重视。

律师建议

银行需定期对计算机系统进行更新维护，

尽量避免清算迟延等状况的发生，如果因其系

统清算延期导致大宗商品交易所无法签到，一

定要及时向大宗商品交易所反馈原因，并通知

交易商，以确保交易商能够寻求其他替代方式

补充资金。银行如未尽必要的通知义务可能会

面临承担损失责任的风险。

2.银行卡业务典型案例

典型案例一：银行卡经营机构应当真实、准确、完整、及时地向银行

卡消费者披露银行卡交易的便利及风险等重要信息，让银行卡消费者熟悉

银行卡协议相关规定，避免消费者由于信息不对称而遭受损失，否则被盗

刷的资金消费者可不承担还款责任。

裁判文书号 (2017)粤 20 民终 1526 号

裁判法院 广东省中山市中级人民法院

裁判日期 2017.06.20

当事人

上诉人（原审

被告）

广发银行股份有限公司中山分行

被上诉人（原

审原告）

钟佳怡

金融消费者主张

钟佳怡无须向广发银行及广发银行中山分

行偿还信用卡透支款、财智金贷款本金及其他

费用合计 62528.7 元；广发银行及广发银行中

山分行停止计算并免除自 2015 年 9 月 29 日起

的财智金手续费、超限费、滞纳金、零售利息

和现金利息等各项费用。事实理由如下：钟佳

146

怡持有广发银行的信用卡一张，并自行设置了

密码，预留了自己的手机号码，综合授信额度

为 21000 元。2015 年 9 月 29 日，钟佳怡突然收

到手机短信称该卡预留手机号码已被更改，钟

佳怡感到疑惑，遂通过柜员机查询该卡能否正

常使用，却发现密码也被更改，无法查询。钟

佳怡只好致电广发银行客服电话 95508 询问，

得知该卡可能会有问题，遂电话办理了挂失手

续，除此之外，客服并未告知其他情节。因广

发银行在国庆期间放假，钟佳怡只能在假期结

束后的 10 月 5 日前往广发银行下属机构黄圃支

行查询详情。得知其信用卡账户在 9 月 29 日发

生一笔转账透支 21000 元，并办理了财智金贷

款 35000 元，该贷款发放至钟佳怡另一储蓄卡

账户后亦被转入不明身份账户；交易发生财智

金划账手续费 10 元、转账手续费 523.7 元；另

发生对手为快钱支付清算有限公司的 1000 元、

3000 元，对手为上海汇付数据服务有限公司

1995 元；以上各项合计 62528.7 元。钟佳怡从

未办理上述业务，怀疑该信用卡被犯罪分子利

用，遂向中山市公安局黄圃分局永安派出所报

案。钟佳怡认为，犯罪分子利用其信用卡骗取

透支款及财智金贷款，是针对银行的犯罪，受

到经济损失的是银行，而不是持卡人，银行应

当向犯罪分子追讨赃款，而不应向持卡人追讨

被盗款项及相应的手续费、超限费、滞纳金及

利息等费用。

金融机构抗辩

1.钟佳怡提供的证据无法证实其三张银行

卡（信用卡、储蓄卡及虚拟卡）是被盗刷，其

147

提供的报案证明仅能证明钟佳怡报案的事实，

但无法证明涉案信用卡被盗刷，在公安破案之

前，涉案三张银行卡是被盗刷还是钟佳怡本人

或授权他人所为根本无法确定，为维护各方权

益，建议法院中止审理或以证据不足驳回钟佳

怡的诉讼请求。2.即使涉案的三张银行卡均被

盗刷，钟佳怡应对损失承担全部责任。首先，

钟佳怡泄露个人信息和账号信息（包括银行账

号、手机号码、动态验证码等）是导致三张银

行卡被盗刷的根本原因。在钟佳怡的信用卡预

留手机号码被更改后，广发银行中山分行已向

钟佳怡的预留手机号码发送短信向钟佳怡提示

信用卡可能涉及安全问题，但钟佳怡在收到短

信后，未及时了解该卡情况及时采取措施，致

使该卡及其他卡片发生损失，钟佳怡存在不可

推卸的责任。3.广发银行中山分行既没有违约

行为，也没有过错，不应承担违约责任或侵权

责任。对于网上交易，银行需要审查的是持卡

人调取账户资金的指令（如登录密码、支付密

码、动态验证码等）是否与预留指令一致，一

致即无条件地放款。因此，如果因持卡人疏忽

泄密而要求广发银行中山分行承担所产生的全

部后果和损失，没有事实和法律依据。

争议焦点

本案争议的焦点是广发银行中山分行对于

上述盗刷的资金损失是否承担赔偿责任。

法院观点

首先，关于财智金损失的责任认定问题。

在银行卡业务中，发卡行与持卡人之间不仅仅

是平等主体之间的合同关系，由于银行卡是金

融产品和服务的一部分，具有交易复杂、风险