“我去取钱,发现余额只剩30块。”2016年1月6日,在贵州六盘水市某医院工作的张成武(化名)拿着工资卡去取钱,却发现存款几乎全部“蒸发”,半个月前,卡里还有4万多元。
张成武后来发现,他的工资卡莫名地与多个第三方支付平台签约快捷支付业务,并发生多笔支取操作。5天内,4万余元存款经百度钱包、苏宁易付宝、美团网等多个第三方支付平台被转走。
记录显示,案发期间,银行短信系统曾向张成武的手机发送给72条提示短信,张成武的手机则向某前三位为150的号码发送了232条短信。但张成武称,案发期间他手机短信功能瘫痪,未发出也未收到过任何短信。
向银行索赔未果,张成武以银行存在安全漏洞及技术风险为由提起诉讼。一审法院于2016年5月23日作出判决,驳回其诉讼请求。
一审法院认定,原告缺乏证据证明银行的交易系统存在安全隐患,从而导致其个人信息泄漏。同时,银行发送了动态验证码并短信通知,原告无法接收短信,是其本人疏忽导致重要信息泄露,故银行不应承担责任。
张成武的代理律师则认为,银行发送的短信内容不准确或不正确,以发送过短信免责,只能表明银行对储户权益的漠视,且行业管理方也从未承诺商业银行只要发送了短信,即可为视为已完成储户资金安全保障的全部法定义务。
“这是我的工资卡,为了安全从来没有用过第三方支付,我有什么过错?”张成武告诉澎湃新闻(www.thepaper.cn),他不服判决,已提出上诉。
案发:银行卡5天内被转走4万
张成武介绍说,他发现工资卡里的钱消失后,于2016年1月5日到六盘水市公安局钟山分局报案,该局受理后,将此案定性为信用卡诈骗案,至今尚未侦破。其间,他将涉事银行中国银行六盘水分行诉至六盘水市钟山区法院。
钟山区法院作出的一审判决书显示,庭审中,六盘水分行提供了9份内部短信管理系统截图,证明张成武被转走款项是通过第三方平台进行消费支出,而不是非法转走,银行已经及时以短信的形式告知持卡人消费情况。
而张成武则称,案发期间,他的手机短信功能全部瘫痪,只有2G通话功能可用,他当时发现手机不能收发短信,还特意去电信营业厅问过,对方检查后说手机没问题,可能是信号原因。
案发后,张成武打印了电信短信详单,发现他的手机在短信功能故障期间,曾向某150开头的陌生号码发送了232条短信。
一审判决书显示,法院经审理查明,2015年12月8日至12月12日,张成武的银行卡先后与多个第三方支付平台签约借记卡快捷支付服务,并多次通过这些快捷支付平台先后支取人民币共43822.05元。签约平台包括苏宁易付宝、翼支付、微信、美团、手机QQ、顺丰恒通等。
据张成武的代理律师尹榕统计,案发期间,张成武的银行卡异常操作57笔,其中取款15笔。仅12月8日当天,苏宁易付宝就向张成武的手机发送了4次签约确认通知,先后3次从该卡支取3万元。
一审:法院认定银行已尽到短信验证及通知义务
尹榕认为,该案中,银行存在违反资金安全保障义务的重大过错。
一审判决书显示,原告方认为,银行作为金融机构,负有保证储户信息不被窃取、复制的义务,对于安全漏洞及技术风险,金融机构也理应担责,请求法院判令银行返还原告存款本金及利息4万余元。
而被告方辩称,自己不存在任何安全漏洞及技术风险,是持卡人个人原因导致银行卡信息泄露。
判决书显示,法院经审理认定,本案所有款项均是通过第三方快捷支付服务网上支付,其特点是支取人仅需银行卡号、身份证号、姓名、预留手机号及动态短信验证码,无需银行卡密码即可开通快捷支付,进行交易。
因原告的银行卡信息、手机及其手机号码均由其本人掌握保管,而此案所涉刑事案件尚未侦破,原告缺乏证据证明银行的交易系统存在安全隐患,从而导致其个人信息泄漏。这种情况下,不排除原告自己在使用网上交易时有泄露银行卡及个人信息、手机丢失或曾暂时脱离本人控制的高度可能。
同时,法院认定,快捷支付开通及支付情况,银行均向持卡人预留的手机号码发送了动态验证码并短信通知了支付情况。至于原告手机在案发期间受到不法信息干扰,无法接收短信的情况也并非是银行的过错,而是其本人疏忽导致重要信息泄露,故银行不应承担责任。
争议:银行能否仅凭发短信提示就可免责?
“一审认定上诉人个人疏忽,是没有依据的。”尹榕认为,银行提出是持卡人疏忽泄露信息,这只是一种猜测,在银行也掌握注册第三方平台所需全部信息的前提下,无法推定出泄露信息的一方就是持卡人。
尹榕称,一审时,原告方向法院申请对张成武手机进行司法鉴定,但未获正面回复。
原告方在上诉状中称,从银行的短信系统记录中就可以看到,案发期间,犯罪分子至少通过9家第三方平台向银行发出了72条快捷支付操作短信。
尹榕称,这些短信极其杂乱,多家平台同时申请,其中的15条支取短信,均只通知了支取事实,并未提示通过哪个第三方平台支取,而一审法院没有就每笔款项的支取过程做调查。
尹榕还举例称,张成武的银行卡与苏宁易付宝签约成功后,在无解约记录的情况下,系统又发起了3次签约请求。而手机QQ 的情况则正好相反,短信记录中并无签约消息,却先收到了解约通知。
“在银行发送的短信内容都不准确或正确的前提下,以发送过短信免责,只能表明银行对储户权益的漠视”。尹榕说。
尹榕认为,即便是按照《关于加强商业银行第三方支付机构合作业务管理的通知》,行业管理方也从未承诺或保证商业银行只要发送了短信,即可为视为该行已完成储户资金安全保障的全部法定义务,且可据此免责。
“第三方支付平台是独立的,有资金划转的功能,银行只是提供一个端口,无法控制交易行为。这种情况下认定银行担责比较困难。”北京京师律师事务所、互联网金融法律事务部主任左胜高律师表示。
他同时指出:“短信验证码就是为了确认是本人的手机,目前来讲这种方式还是比较安全的,如果对安全性要求过高可能又会影响第三方支付的快捷性。”
“快捷支付的唯一保护方式就是短信,不需要储户的密码,所以对银行的安全保障系统要求更高,因银行自己安保不足,导致储户资金被盗,银行应依法应承担责任。”尹榕认为,该案背后更大的问题,其实就是银行如何维护储户的信息安全。 |