作者简介:陈甦,中国社会科学院学部委员,中国社会科学院法学研究所研究员,中国社会科学院大学法学院特聘教授、博士生导师。
文章来源:《法学杂志》2022年第1期。本文转载自“法学杂志”微信公众号,为方便阅读,注释从略,建议阅读原文。
内容提要:对于银行卡盗刷纠纷的法律处理,在迄今为止的司法实践中基本是沿着合同法思路展开。这种惯常思路固然能够给当事人以法律安抚而致银行卡应用实践以法律秩序,但实际上是以耗损效率和弱化公正为代价的。银行卡是代表持卡人财产权利的资格证券,因其使用中权利人识别机制的特点,相关义务人的识别义务、归责模式及免责事由均有本属规则,并非通常合同法规则所能涵盖,如银行卡上的证券关系与据以形成的合同关系相分离,对卡权利人的识别义务与卡的占有状态及持卡人的过错无关等。因此在处理银行卡盗刷纠纷的司法实践中,应当把握银行卡作为权利凭证的法律性质及应用规则,以此作为伪卡盗刷与网络盗刷的本质区别,并由此展开银行卡盗刷案件的情形类别设定及相应处理规则。
关键词:银行卡;资格证券;伪卡盗刷;网络盗刷
当今时代,银行卡作为一种支付工具愈加体现了便捷性与重要性。据统计,截至2020年末,全国银行卡在用发卡数量89.54亿张;2020年银联网络总体交易笔数和金额分别为1665.3亿笔和205.6万亿元。然而据统计,尽管连续两年下降,但截至2019年末,银行卡欺诈率仍有0.87bp,其中“信用卡欺诈损失排名前三的欺诈类型为虚假申请、伪卡和互联网欺诈”“借记卡欺诈主要集中于电信诈骗、互联网欺诈和账户盗用。”为了保护银行卡使用中各方当事人的合法权益,维护金融市场秩序,最高人民法院于2021年5月25日发布了《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》(以下简称《银行卡规定》)。《银行卡规定》从法院处理银行卡纠纷的司法实践中,系统提炼了裁判规则,有助于正确审理银行卡民事纠纷案件。特别是《银行卡规定》将银行卡盗刷行为划分为伪卡盗刷和网络盗刷两种类型,便于法院在审判中进行事实认定和纠纷处理。但尚存的问题是,《银行卡规定》中对伪卡盗刷和网络盗刷的类型划分止步于盗刷行为的形式区分,而在银行卡盗刷行为的构成要件、性质认定、举证责任、抗辩事由及责任承担等方面,并未充分体现伪卡盗刷与网络盗刷这一类型划分的逻辑意义和应用价值。本文从伪卡盗刷与网络盗刷的行为性质及其构成展开法理分析,以期充分明晰这一类型划分的逻辑意义并有所提升其应用价值。
一、伪卡盗刷与网络盗刷区别于所涉关系的法律性质不同
依照《银行卡规定》的界定,所谓“伪卡盗刷”,是指他人使用伪造的银行卡刷卡进行取现、消费、转账等,导致持卡人账户发生非基于本人意思的资金减少或者透支数额增加的行为。所谓“网络盗刷”,是指他人盗取并使用持卡人银行卡网络交易身份识别信息和交易验证信息进行网络交易,导致持卡人账户发生非因本人意思的资金减少或者透支数额增加的行为。最高人民法院民二庭负责人就《银行卡规定》答记者问时指出,“伪卡盗刷交易和网络盗刷交易的主要区别是,他人是否使用伪造的银行卡刷卡进行交易。伪卡盗刷交易着重强调他人伪造银行卡卡片刷卡进行交易;网络盗刷交易的特点是盗刷者不使用伪造银行卡卡片刷卡交易。”据此而言,是否使用作为银行卡实物形式的卡片,在区分伪卡盗刷与网络盗刷的类型上,起到了具有法律意义的划分标准作用。
然而就《银行卡规定》的内容来看,上述这种划分仅具有形式区别的意义,并未达致性质区别的意义。由此在《银行卡规定》中,针对伪卡盗刷或网络盗刷的处理方案完全相同。例如在事实认定上,“人民法院应当全面审查当事人提交的证据,结合银行卡交易行为地与真卡所在地距离、持卡人是否进行了基础交易、交易时间和报警时间、持卡人用卡习惯、银行卡被盗刷的次数及频率、交易系统、技术和设备是否具有安全性等事实,综合判断是否存在伪卡盗刷交易或者网络盗刷交易”,其间并不因究竟是伪卡盗刷还是网络盗刷而有所不同。再如在责任归属上,“发生伪卡盗刷交易或者网络盗刷交易,借记卡持卡人基于借记卡合同法律关系请求发卡行支付被盗刷存款本息并赔偿损失的,人民法院依法予以支持”,其间亦不因究竟是伪卡盗刷还是网络盗刷而有所不同。既然如此,将银行卡盗刷行为区分为伪卡盗刷和网络盗刷,就没有方便审理、精准裁判的实际意义。之所以出现这种虽有类型划分却未因此增加诉讼效益现象,是因为未能真正明晰伪卡盗刷与网络盗刷的性质区别。
在银行卡盗刷事件中,盗刷者是否使用实物形式的银行卡,不仅是其行为外观上有所区别,更是其介入并破坏的法律关系有所区别,即一个盗刷者使用抑或不使用实物银行卡,其破坏的是不同的法律关系。或者说,虽然伪卡盗刷和网络盗刷最终都是盗取持卡人的账户资金,但其破坏与卡账户相关联的法律关系却是不同的。因此,对伪卡盗刷和网络盗刷的事实认定和归责确认的规则也是不同的。
银行卡是商业银行或其他金融机构向社会发行的具有消费信用、转账结算、存取现金等全部或部分功能的支付工具的统称,主要包括信用卡和借记卡。银行卡使用过程及其纠纷处理牵涉多个法律,如物权法、合同法、侵权法、消费者权益保护法、金融法等,《银行卡规定》很好地体现了法律适用的综合性与协调性。但即使如此,就构成《银行卡规定》的法律知识体系而言,其间是有结构性缺陷的,就是民法上的证券规则及其法理尚不明晰。民法上的证券规则本是传统民法的基本内容,当前我国民法理论及民法建设却对之有所忽略,这或许是银行卡盗刷纠纷处理中存在知识结构性问题之关键。银行卡是民法上证券之一种,属于资格证券。所谓“资格证券”,是指持有这种证券的人具有行使一定权利的资格的证券,例如一般的车船票、火车行李票、存物证、存车牌、银行存折等。银行卡与存折相类,只是权利行使对象范围远比存折广泛。银行卡作为资格证券的性质表现或作用机制是:银行卡上记载的权利,是银行卡使用合同中规定的持卡人权利,性质上属于债权;发卡行是银行卡这一证券的义务人,其义务是根据持卡人指示履行从卡账户支付款项;持卡人是银行卡这一证券的权利人,其权利是凭卡要求发卡行从卡账户支付款项;银行卡之所有权与其上记载之债权不可分离,持卡人支配卡账户资金以持有银行卡为必要。
可见,一张银行卡所彰显的法律关系却不是一种,其法律性质依判断范畴所在法律关系的不同而有所不同。首先,银行卡是物权标的物,持卡人拥有特定实物银行卡的所有权,他人不得侵夺或妨碍持卡人占有使用银行卡。其次,银行卡是发卡行与持卡人之间合同关系的凭证,持卡人持有银行卡,意味着其与发卡行之间存在银行卡使用合同关系,双方应当依约履行相关权利义务。再次,银行卡是资格证券,即持卡人有权凭卡而主张其上所记载的权利,如凭借记卡而存取款或指示支付,凭信用卡而借还款并指示支付。可见,一张银行卡的实物卡片虽为一物,但在不同的法律关系如物权关系、债权关系或证券关系中,具有不同的法律性质,因而发挥不同的功能。
掌握银行卡资格证券属性的关键,是必须意识到其上证券关系与据以形成的合同关系相分离。发卡行与持卡人之间的合同关系属于资金关系,是银行卡得以使用的基础关系。一旦以银行卡这一资格证券表彰该合同关系上的权利,银行卡就成为所记载民事权利的唯一载体,银行卡即具有与基础合同关系相分离的独立性。这种分离的法律效力是在银行卡有效期间,持卡人行使权利以出示银行卡为必要,而非以彰显其作为合同当事人为必要。具体表现有:其一,持卡人要行使指示从其卡账户支付款项的权利,除了出示银行卡之外,无论以何种手段证明自己就是合同当事人、或卡账户的户主,也不能不持卡而行使其权利。其二,如果持卡人用卡时不符合权利人识别方法的约定(如录入密码错误),即使持卡人是真正的合同当事人,发卡行亦不得执行其支付指示。如果持卡人忘记支付密码,除非依约定规则变更密码(即变更银行卡使用合同),才能依据新密码指示支付。其三,义务人履行义务时,只要相对人持有银行卡且经预设措施验证无误,即可向其履行义务,而不须用卡人证明自己就是特定合同的当事人。其四,一旦以银行卡指示支付完成后,持卡人此项指令即使因错误、受欺诈、受胁迫而发出,也不能以其是合同当事人身份且依合同法相关规定去撤销。其五,如果持卡人失去银行卡,即使银行卡使用合同依然有效存续,也只有采取约定措施(如挂失)补发新卡后,才能继续凭卡支配账户资金。
持卡人权利以银行卡记载彰显后,银行卡的使用过程实质上是资格证券权利的实现过程。其一,持卡人行使指示支付的权利时,不必以合同文本证明其行权资格,只要凭卡就可以向发卡行及其特约商户等,行使指示支付的权利,由此极为便利了持卡人行使权利。其二,发卡行及其特约商户等只要通过卡权利人识别机制确认,就可为用卡人执行支付指示,极为便利了发卡行及其特约商户履行义务。其三,基于资格证券性质,银行卡上的权利行使与义务履行可以超越合同的相对性。卡组织(如中国银联、visa)建立起庞大的由发卡行、收单行、特约商户组成支付网络体系,持卡人凭借银行卡的权利彰显功能,可以广泛而有效地向网络体系内的陌生人主张权利;发卡行、收单行、特约商户等借助卡权利人识别机制,可以广泛而放心地向网络体系内的陌生人履行义务。正因为银行卡具有资格证券的性质及功能,才得以在经济活动中发挥其巨大作用。可以说,银行卡是民事权利证券化的一个成功范例。
从银行卡是资格证券这一法律性质出发,我们可以精准地区分伪卡盗刷与网络盗刷。在伪卡盗刷情形,行为人必须使用伪造的银行卡,因而其行为性质属于使用伪造证券。在网络盗刷情形,行为人不须使用伪造的银行卡,只须冒用持卡人身份识别信息及交易验证信息,因而其行为性质属于真卡冒领。可见,伪卡盗刷与网络盗刷在法律意义上的区别,应当从银行卡的资格证券本质展开。
所谓伪造证券,是指行为人假冒证券发行人的名义制作证券。伪卡盗刷须以使用伪卡为要件,而伪卡就是假冒发卡行的名义制作假的银行卡,是伪造证券行为之一种。伪卡非依发卡行本意而发行,因此发卡行对伪卡不应负支付义务,即使持卡人使用依其真卡克隆的伪卡,发卡行亦不得向其支付。伪卡如非依持卡人本意而制作或使用,因伪卡而从持卡人账户支付金额时,发卡行须向持卡人赔偿。因此在资格证券使用规则范畴,伪卡盗刷实质就是行为人使用伪造证券的行为,是行为人利用伪卡突破权利人识别机制的防范,使发卡行误以为是持卡人使用真卡从而同意支付。
所谓真卡冒领,是行为人使用他人真卡,冒用持卡人的身份识别信息和交易验证信息而获取卡账户资金。网络盗刷行为能够实施的前提条件,就在于持卡人开通了网络支付功能。持卡人在开通网络支付功能时,在客户端将其银行卡信息予以绑定,以图在发生交易支付时,可以利用绑定的银行卡进行支付。在网络银行卡支付中,义务人是通过识别人的信息(包括网络交易身份识别信息和交易验证信息)来识别客户即持卡人的,实物形式的卡不再作为权利载体和识别对象,绑定的银行卡一直以真卡信息形式存在于客户端,不须再行识别。行为人在实行网络盗刷时,不以伪造卡信息为必要。
由此看来,虽然伪卡盗刷与网络盗刷都是非依持卡人本意而盗取其卡账户资金,但两者的行为方式及性质并不相同。具体而言,其有以下区别:(1)伪卡盗刷与网络盗刷侵害的法律关系不同。伪卡盗刷直接侵害的是发卡行与持卡人之间的资格证券关系,网络盗刷直接侵害的是网络服务商与持卡人之间的网络服务合同关系。除非发生网络盗刷的场合就是发卡行的网络服务客户端,否则在网络盗刷情形中,发卡行与持卡人之间的法律关系呈间接性,其间由网络服务商与持卡人之间的合同关系相连接。(2)银行卡在伪卡盗刷与网络盗刷中的存在性不同。银行卡是持卡人权利的凭证,在伪卡盗刷中,这个“证”是假的,人也是假的;而在网络盗刷中,这个“证”是真的,人却是假的。(3)伪卡盗刷与网络盗刷针对的权利人识别机制不同。在伪卡盗刷中,行为人直接针对“卡”这一权利载体;在网络盗刷中,行为人直接针对“人”这一客户身份。究竟以识别卡还是以识别人作为权利人识别机制的第一结构要素,是对盗刷事实及其责任进行判断的先决条件。
二、处理银行卡盗刷纠纷的合同思路与证券规则思路
当在法律思维中意识到银行卡的使用过程实质是资格证券的权利实现过程而不只是合同履行过程之后,由此在银行卡盗刷的事实认定与归责判断中析出两个不同的思路,一个是合同法思路,一个是证券规则思路。如果依合同法思路处理盗刷纠纷,则伪卡盗刷与网络盗刷处理方案无异;如果依证券规则思路处理盗刷纠纷,伪卡盗刷与网络盗刷才能合理区别,并达致更为妥善的处理结果。
合同法思路与解决通常合同纠纷无异,其特点是:(1)以发卡行与持卡人的合同关系为逻辑起点,以双方的银行卡使用合同为基本依据。(2)以合同通常理念如相对人识别、清偿、受领、违约、授权甚至代理等,建构事实认定范畴与论证体系。(3)要考察双方当事人的履约事实及过错状态,既考察发卡行一方的过错行为,如在识别相对人上是否有过错,因何没有发现用卡人不是被授权人;也考察持卡人一方的过错行为,如是否泄露银行卡信息特别是支付密码等。(4)用卡人对银行卡的占有状态,如用卡者到底是持卡人本人还是别人,如果是别人则到底是获授权者还是无授权者,需要在盗刷事实认定时予以查明。(5)最后要根据发卡行及持卡人双方的过错大小来认定责任。
证券规则思路则要简明得多,其特点是:(1)以银行卡的资格证券性质为逻辑起点,以资格证券使用规则为基本依据。(2)以资格证券权利人识别机制及其执行情况,建构事实认定范畴与论证体系,只考虑卡权利人识别情况及其支付指令的执行情况。(3)查明事实时只需分析判断义务人一侧对权利人识别是否有误,即将合同法上的履约对象识别有所抽象地转为卡权利人识别,至于授权、代理等在所不问。(4)确认盗刷事实及责任时,只考察发卡行一侧的义务人是否有过错,简而言之,对权利人识别有误就有过错,识别无误就无过错。至于持卡人是否有过错,不是盗刷构成的要件,亦在所不问。(5)最后只需根据发卡行识别权利人错误的结果认定责任。
就当前司法实践而言,基本上都是采取合同法思路,其原由在于普遍把发生银行卡盗刷视为合同法上的违约事件,根据合同法规范及适用思路去判断是否存在违约事实及抗辩事由。其基本逻辑模式是,在查明违约事实的基础上,若认定发生盗刷或非授权交易,则发卡行担责;若持卡人亦有过错,则发卡行相应免责。不仅实物卡支付的纠纷处理方案如此,在网络交易以卡账户支付的纠纷处理方案亦如此。如在立法上,《电子商务法》第57条第2款规定,“未经授权的支付造成的损失,由电子支付服务提供者承担;电子支付服务提供者能够证明未经授权的支付是因用户的过错造成的,不承担责任。”在司法上,“我国已经就非授权支付积累了大量的裁判经验,并且基本形成了‘电子支付服务提供者须承担责任’‘用户依其过错分担责任’等价值共识。”虽然电子支付只是包括而非等同银行卡网络支付,但这些处理规则与当前网络盗刷处理规则无异。
由于脱离了银行卡使用过程实质是资格证券的权利实现过程这一法律设定场景,而如当前司法实践的通常做法那样,单纯用合同法理念及规则处理银行卡纠纷,固然在许多情况下也能基本实现结果公平,但难免证明犹疑(如事实判断有较大盖然性)、论证繁琐(如须从当事人双方是否有过错展开)、结果迁就(如通常以双方分担责任来平衡不服心理)。正如研究者发现的,有些盗刷案件“已经做出的判决在说理上尚不够令人信服,在判决结果上也存在同案不同判等不合理、不一致的情形。”其原因或有多种,而合同法思路的先天缺陷是其中主要一种。以合同法思路处理银行卡盗刷纠纷,往往有悖银行卡应用的经济效率目的以及为实现该目的所建构的识别与归责规则,进而导致归责结果并不能达到银行卡使用规则原初本意所应有或期待的公正程度,只是各方囿于合同法视域而从合同法所能实现的结果上获得法律安抚而已。所以,以合同法思路处理银行卡盗刷纠纷固然也能够实现交易秩序,但是以法律适用不周全不精准而实现的秩序是以耗损效率和弱化公正为代价的。目前学界对银行卡纠纷处理的法理基础与法律依据多有讨论,或在合同法、侵权法、消费者权益保护法或电子商务法范畴展开论述,或在更为接近银行卡性质的债权准占有范畴展开论述,其固然对实务问题的合理解决有所助益,但终究不如从银行卡的资格证券性质展开论述来得更为贴切、更为深入也更为实用。
相形之下,运用证券规则思路审理银行卡纠纷,具有很大的法理优势和实用优势。(1)符合资格证券使用规则。不管事实上是否存在银行卡盗刷,只有义务人是否妥当履行证券上义务才是盗刷事实的判断关键。因为只有义务人担责的盗刷事实,才是可以归责的事实依据。(2)证明要素简明。只须根据银行卡义务人一侧是否履行义务进行判断,不考虑持卡人是否有过错,不考虑用卡人交易是否经过持卡人授权。(3)证明结果确定。对于银行卡义务人的履行事实,当然可以有确定性判断。对于银行卡盗刷纠纷的处理,只有优先采行证券规则思路,才能有效提高事实判断的准确性和归责认定的合理性。
发卡行作为银行卡这一资格证券上的义务人,主要有三方面义务:(1)卡权利人识别义务。必须对用卡人按照预定措施进行识别,以确认其权利人身份;若识别失误,承担权利人识别错误责任。(2)执行支付指令义务。要按照持卡人的支付指令,及时准确地划转卡账户资金;否则,相应构成拒绝履行、履行不当或错误履行责任。(3)持卡人信息安全保障义务。要采取充分有效的经管措施和技术措施,确保持卡人信息不被泄露、窃取;否则,须承担信息安全保障责任。其中,第一项和第三项履行得否与盗刷事实直接相关,而第二项义务之违反未必构成盗刷,若构成盗刷则必同时有第一项或第三项义务之违反。在发生银行卡纠纷时,发卡行的第一项义务即权利人识别义务履行事实,又是须先行审核查明的事实。因为权利人识别义务是交易上的义务,发生银行卡盗刷纠纷时应先行查明其事实;权利人信息保障义务是管理上的义务,在权利人识别错误责任不构成时,如果持卡人继续坚持盗刷主张或有相关证据,可进而查明该义务履行事实。
因为银行卡总是在陌生人环境中被使用,义务人只能根据权利人识别机制来确定履行对象。识别措施依赖于技术可能性,通常有实物卡、密码、签字、验证码、指纹、刷脸等识别措施,或者是这些措施的复合利用。在特定权利人识别机制中究竟采取何种识别手段,依赖于发卡行或网络服务商与持卡人之间的特别约定。由于密码识别性、安全性与便捷性较高,是最为常用的权利人识别措施。在以密码识别权利人的场合,“凭私人密码打开交易账号从事交易的,当然是本人从事了交易。”因此,“商业银行在银行卡章程、银行卡申请表中往往以‘凡是通过交易密码发生的一切交易均应视为持卡人本人所为,银行不承担任何责任’等格式条款作为自己在盗刷案件中的免责理由。”亦有观点认为,这类规则因事前全方位地排除规则制定方的风险而具有“霸王性”,可以根据合同法或消费者权益保护法有关格式条款的规定,对其效力再行解释认定。但这实际上是把银行卡交易规则等同于一般合同交易规则,是在以合同法思维分析证券关系的法律效力。
当然,凭密码验证无误即视为本人交易的规则,确属发卡行、支付机构以格式条款形式规定的免责规则,但该项规则绝非不公平的免责条款,而是接受持卡人权利行使方式的对价性规定。首先,凭密码验证无误即视为本人交易规则,是持卡人实现指示支付权利的充分条件,即无论在任何陌生人场合,只要用卡人输入密码无误,义务人就必须执行其支付指令。其次,凭密码验证无误即视为本人交易规则,也是持卡人实现指示支付权利的必要条件,即无论义务人与用卡人多么熟悉甚至明知其为持卡人,也只有输入密码无误,义务人才得以执行其支付指令。再次,凭密码验证无误即视为本人交易规则,还是持卡人保障银行卡安全的重要措施,即一旦持卡人对银行卡失去占有,除非同时密码泄露,否则非法占有人很难盗刷卡账户资金。可见,没有类似凭密码验证无误即视为本人交易的规则,持卡人就不能有效实现其权利并保障卡上财产安全。所以,类似凭密码验证无误即视为本人交易的规则,既是发卡行的免责条款,也是持卡人的行权条款,两者一体两面、互为对价,是银行卡使用机制的有机结构,是银行卡业务及功能得以发挥的重要规则,我们不能在银行卡交易顺利时就认可该规则的效力,而在发生非授权交易时就否认其效力。
在以证券规则思路审理盗刷纠纷时,首先要明晰卡权利人识别机制的构成。使用实物卡的权利人识别机制与网络交易使用卡账户的识别机制是不同的,前者建构的是双层识别机制,后者是单层识别机制。在实物卡指示支付情形,义务人要先识别卡、再识别人,所以是双层识别机制。在网络上使用卡账户指示支付情形,义务人只须识别人,所以是单层识别机制。在识别卡时只有一种措施,就是检验用卡人之实物卡是否为真卡。而在识别人时既可只采用一种措施如验证密码,也可以采用复合措施如密码加上签字、手机验证码或刷脸等。
在实物卡用卡人指示支付时,义务人要“先认卡再认人”(如凭卡并凭密码凭签字支付),或者“只认卡不认人”(如凭卡免密码免签字支付)。识别卡时,要辨别在用卡是否为真卡;识别人时,要辨别用卡人是否为权利人。在实物卡支付情形,如果对卡识别有误,发生支付后即构成伪卡盗刷,发卡行要承担责任,即使对人识别无误亦不构成免责条件;如果卡识别无误,但人识别有误,仍构成伪卡盗刷,发卡行仍须为此担责。有观点认为,“由于伪卡的出现,此种特有的信息识别机制却不敷其用,密码交易视为本人行为条款的射程亦止于真卡。”其实密码识别效力范围只限于密码措施本身,其有效与否与实物卡之真伪无关,或者说密码识别规则与实物卡识别规则各自独立发生效力。在采取双层识别机制或复合识别措施的场合,必须所有预定识别措施均实行无误时,义务人执行支付指令后才得以免责。所以,在实物卡为伪卡时,即使义务人识别密码正确也不能免责,其原因并不是密码识别规则效力范围有限,而是义务人未能完成所有预设措施上的识别义务。
在伪卡盗刷的场合,除非起获作案伪卡,在审理中通常不能出示特定伪卡作为证据。判断是否构成伪卡盗刷的关键依据,在于应用真卡的唯一性和使用时空的单一性,即“同一真卡不能同时异地使用”。如果同一识别信息的银行卡同时在异地使用,那么其中必有伪卡。在持卡人明示真卡所在时空场合后,其他同时在用卡就是伪卡。此时,即使发卡行举证按预设措施均识别无误,仍不能否认伪卡的存在。当然,即使异时异地的两次卡使用中,也不排除其中一次是真卡而另一次是伪卡的情形,但是在发卡行得以举证权利人识别无误时,日常经验表明,两次使用均为真卡的可能性较大,因而其中有伪卡的主张在经验判定上不获认可。
在伪卡盗刷的认定中,“同一真卡不能同时异地使用”中的“同时”并不是同一时刻之意,而是有一定幅度的时间段,对该时间段的认定要依个案情形并依日常经验来确定,通常要考虑真卡物理性移动所需最短时间的技术可能性。即在主张有伪卡使用的时刻到其后最早显示真卡存在场合的时刻之间,同一真卡从用卡地能否借助现有技术手段移动到持卡人处。如异地在用卡不可能借助当地的交通、快递等手段在该时间段内传送给持卡人,该时间段即可构成同一真卡不能同时异地使用中的“同时”,持卡人主张发生伪卡盗刷的事实成立。如果异地在用卡借助可选用手段在该时间段可以传送给持卡人,而发卡行又能举证权利人识别无误,则持卡人主张发生伪卡盗刷的事实通常不能成立。
如在一个案例中,持卡人胡某办理银行卡时设置了交易密码并开通短信提醒功能。某年9月11日零点53分至59分,在天津市发生了5笔消费交易,总金额为347万元。胡某于当日到市局报案,称其本人及其银行卡均在珠海市内。法院认为,涉案卡账户短时间内在异地跨行发生5笔交易,而当时胡某及其银行卡均未离开珠海市,可确信他人利用伪卡进行交易具有高度的可能性,故认定构成伪卡交易;发卡行认为胡某对泄露交易密码存在过错,但未能证明是胡某原因导致该卡数据信息被窃取使用,应承担举证不能的法律后果。遂判决发卡行全额赔偿胡某损失。该案中,胡某报案时间是重要事实,但网络新闻报道为当日13日49分,而法院判决书显示为当日1时49分。当日零点53分在天津发生盗刷,如果胡某于当日13点49分报案,其间近13个小时,足以使真卡以通常方式从天津移动到珠海,该时间段难以构成同一真卡不能同时异地使用的“同时”,因而不能认定本案事实构成伪卡盗刷;如果胡某于当日1点49分报案,其间不到1个小时,真卡无论如何不能从天津移动到珠海,则该时间段可以构成同一真卡不能同时异地使用的“同时”,因而可以认定本案事实构成伪卡盗刷。
《银行卡规定》第6条要求案件审理时要考虑“银行卡交易行为地与真卡所在地距离”“交易时间和报警时间”等事实,实际上就是要判断是否存在同一真卡“同时”在两地使用的可能性。该项规定仍有进一步细化并增加考量因素的必要。其一,“银行卡交易行为地与真卡所在地距离”固然与真卡移动时间相关,通常距离远而移动时间长,反之移动时间短。但距离不是决定移动时间的唯一因素,还要考虑个案中克服距离所能具备的技术或服务手段。如有的案件中,在用卡所在地与真卡所在地之间有直达航班或便捷快递服务;而有的案件中,克服距离的技术和服务手段均不便捷,如存在跨国用卡情形。其二,该条规定的“交易时间和报警时间”中,“交易时间”是指持卡人主张的伪卡使用时间,但是“报警时间”却并非真卡显示存在场合的时间。因为按照持卡人的处置,真卡显示存在场合的时间可在报警时间之前、同时或之后,案件处理要以真卡显示存在场合的时间为准。
在伪卡盗刷纠纷的场合,持卡人证明盗刷发生的事实时,要以证明真卡存在场合来证明同时存在着伪卡使用。如果持卡人能够证明存在同一真卡所在时空场合而同时有另一张克隆卡异地使用,即可证明发生伪卡盗刷的事实。为侧重保护持卡人权益,《银行卡规定》第5条对发卡行施加了核实真卡所在场合的义务,即在持卡人告知发生伪卡盗刷时,发卡行应当及时核实真卡所在及使用情况,否则承担举证不能的后果。之所以如此规定,是因为持卡人在面临盗刷事件发生时,可能缺乏确定真卡所在场所的知识或经验。《银行卡规定》确立的这一规则,旨在校正当事人举证能力上的不平衡状态。当然,这一规则只能适用于伪卡盗刷的场合,而不能适用于网络盗刷的场合。
在网络盗刷纠纷的场合,并不存在类似伪卡盗刷情形中“同一真卡不能同时异地使用”的判断规则。因为在发生网络支付的场合,如果使用相同的客户信息,可以同时在多处登录同一客户端,也可使用相同的支付密码同时在多处使用同一卡账户支付。即使安全性较高的手机验证码识别方式,持卡人也可在收到验证码之后在有效时间内将其传给异地支付人。由于在网络交易使用卡账户指示支付时,网络服务商只须采取人的识别措施,即使发生持卡人客户端同时多点登录的情形,只要持卡人身份识别信息和支付验证信息辨识无误,则不能认定构成网络盗刷。此时,欲证明发生网络盗刷,只能从客户信息保障义务得否有效履行上入手。如果能够证明存在网络服务商员工泄密,网络服务商技术和设备存在安全性漏洞,或者网络盗刷者被捕获在案等,则可以证明网络盗刷事实的存在。在确认网络盗刷事实时,最难以权衡的规则是举证责任分配。按照《银行卡规定》第4条规定的举证规则,除非超过了数据保存期限,网络服务商其实很容易提供交易单据、交易身份识别信息、交易验证信息等证据材料进行证明。除了刷脸支付情形的证据材料持卡人可以辨别外,如可以证明指示支付者与持卡人不是同一人,对于其他识别方式如身份识别信息、交易验证信息等,持卡人难以在质证中获得优势,所谓举证责任倒置亦不能根本改变这种境况。
在实际生活中确实存在这样的情形:网络盗刷确实发生,但网络服务商却能出示业务记录及技术分析,证明该次网络支付的客户端登录密码和支付验证密码均为正确,而持卡人却无从否认网络服务商的举证。这种情形在伪卡盗刷中亦常出现:异地发生的银行卡支付确属伪卡盗刷,只是持卡人不能证明异地在用卡不是真卡,而且发卡行却能证明支付密码等确认无误,此时除非起获伪卡,其他方式并不能有效证明伪卡盗刷事实。造成这种情形的缺陷是资格证券使用规则和权利人识别机制先天存在的,因为我们不能脱离市场可能性来设计权利人识别机制,如网络支付确有效率值得追求,但信息丢失则易被盗刷冒领;也不能超越技术可能性来设计权利人识别措施,如既然以网络支付密码作为识别措施,在发生盗刷时,总不能密码辨识无误却仍追究网络服务商的责任;更不能脱离现实社会的道德可能性来预设当事人行为模式,如果不坚持同一真卡不能同时在异地使用的识别规则,利用真卡迁移而主张伪卡盗刷的情形必然增多。客观事实存在却不能在程序法上有效证明,此类情形是法律极力压缩却不能根绝的社会生活空间,完全消灭由此造成的不公平对待不是法律力所能及之事,因为法官不能以造物主视角看待并确认事实,在程序中只能根据举证情事或通常经验来判断事实叙述是否属实。
在银行卡使用机制衍生的事实及责任证明规则之外,为缩小盗刷事实证明上的证明空白,日常经验判断尤其是借助大数据支持的经验判断,亦可引入银行卡盗刷事实的证明过程。《银行卡规定》第6条规定了全面审查证据规则,即“人民法院应当全面审查当事人提交的证据”,其证据范围不仅包括与案涉银行卡使用直接相关的事实证据,也包括间接相关的事实证据。当事人的信用记录特别是与银行卡使用相关的信用记录,当事人的经营能力特别是技术保障能力等,有助于法官对待证事实的盖然性判断。例如,发卡行的银行卡在使用中发生伪卡盗刷事件频率异常,挂在特定网络服务商客户端的银行卡发生盗刷事件频率异常,或者持卡人多次主张其银行卡被盗刷但其次数超出日常经验等,这些情形与盗刷事实的发生可能性之间存在较强的关联性。按照《银行卡规定》第6条的规定,法官在处理银行卡盗刷纠纷审查证据时,其所审查的“持卡人用卡习惯、银行卡被盗刷的次数及频率、交易系统、技术和设备是否具有安全性等事实”,均含有信用判断与能力判断的因素。
三、银行卡盗刷的责任依据与归责模式
在确定银行卡盗刷的民事责任时,要有既依据通常民法而又超越通常民法的视野与思路。所谓通常民法,就是《民法典》物权法编、合同编、侵权责任编规范。银行卡盗刷责任属于民事责任之一种,归责时自应符合通常民事责任制度的规定;但是,银行卡盗刷责任又是民事责任特殊之一种,仅依据民事责任制度的通常规范并不能有效归责处理。银行卡使用规则之所以在归责上具有特殊性,根源于银行卡使用的经济需要以及作为规则预设心理基础的经济理性。因为欲充分发挥银行卡的经济作用,在法律上必须做到权利实现简捷、义务履行简便和归责判断简明。
银行卡使用活动得以展开的关键是权利人识别机制,也是银行卡盗刷归责的事理根据与规范基础。资格证券“义务人向持有证券的履行义务后即可免责,故又名免责证券”。银行卡义务人免责的前提是对卡权利人识别无误,否则即构成权利人识别错误责任,义务人须为此向持卡人赔偿。在资格证券使用规则范畴,对银行卡盗刷归责应把握如下特殊性:其一,银行卡盗刷责任主要是权利人识别错误的赔偿责任,不能脱离当事人预设的权利人识别措施来判断责任归属。其二,将银行卡作为资格证券,目的在于便利权利行使与实现,相应地也要便利过错认定和归责判断。因此在过错认定上只在“是与否”上做选择,在责任归属上只在“有或无”上做选择。其三,银行卡使用过程中存在业务链结构,一次支付往往要通过多个主体环节。在银行卡盗刷归责上要根据业务链形成原因,先确定责任端,再确定责任环节。
在依证券规则确定银行卡盗刷责任时,在过错认定上采取“是与否”结构,在归责认定采取“有或无”结构。这在卡权利人识别错误责任上表现得尤为明显。所谓卡权利人识别错误责任上的“是与否”结构,有两层含义:一是义务人在卡权利人识别过程中,要么识别正确,要么识别错误;识别正确就毫无错误,识别错误就完全错误。其间没有过渡性的轻过失、重过失、故意之分。二是卡权利人识别只是义务人的责任,持卡人的过错状态与此无关。所谓权利人识别错误责任上的“有或无”结构,亦有两层含义:一是义务人如果因识别错误而担责,就承担全部责任;如果识别无误而免责,就免除全部责任。其间没有责任相应减免的余地。二是在有多个业务环节的识别义务人的场合,识别错误者最终承担全部责任,其间没有共担责任的余地。
在银行卡盗刷责任认定上,之所以建构“是与否”“有或无”结构,是银行卡作为资格证券的运行机制及其内在属性决定的。持卡人在资格证券范畴中是纯粹的权利人,不存在与发卡行对待履行的义务。当然其权利纯粹性只在卡权利人识别机制中有意义,并不排除持卡人在基础关系上亦有相应义务。此间区别甚为重要。例如,在信用卡关系中,持卡人在约定限额内向发卡行借贷,此为持卡人凭卡而有之权利;在超过限额则不能向发卡行借贷,此为持卡人权利限度而非义务;持卡人凭卡借贷后,应当履行按规则还款义务,此为信用卡基础关系所定义务,并非凭卡指示借贷时之义务。因此,持卡人在凭信用卡指示付款时,义务人只须识别用卡人是否为权利人,然后在限额之内则执行支付指令,在限额之外则拒绝执行;至于其是否有尚未履行的还款义务,则由发卡行根据信用卡使用合同处理。
权利人识别错误责任上的“是与否”结构与“有或无”结构是相互关联的,因在过错确认上只限“是与否”,即要么是义务人过错、要么不是义务人过错,所以在归责上只能“有或无”,即要么义务人承担全部责任、要么义务人完全免责。因此在处理银行卡盗刷纠纷时,只需考虑义务人是否构成权利人识别错误责任,至于持卡人是否有过失则在所不问;而且义务人要担责就承担全部责任,要免责就免除全部责任。这种过错上的“是与否”和归责上的“有或无”结构,同样适用于资格证券规则上的发卡行义务履行不当责任和持卡人信息安全保障责任。
有学者发现,“由于伪卡持有人的冒领行为将产生全有或全无的清偿效力,那么在伪卡交易的损失分配上也将呈现为要么由发卡行承担要么由真正持卡人承担的一种泾渭分明的状态,而不存在由两者分担的可能。然而,这一逻辑推演与笔者检索到的绝大多数按比例分担交易损失的伪卡交易民事案件裁判文书并不一致。由此产生的问题是,伪卡交易损失的分配在理论与实践上出现上述分歧的根本原因是什么?”该学者对问题原因的探讨是沿合同法思路展开的,其于问题解决固然有所益处,但终究不能根本解决问题。在笔者看来,导致法理逻辑推演与司法实践选择相分歧的真正原因,就是证券规则思路未能取代合同法思路,以及横亘两者之间的两大观念障碍,其一是能否认可银行卡的占有状态与卡权利人识别机制无关;其二是能否认可持卡人有无过错与银行卡盗刷事实认定无关。
依资格证券法理,发卡行及其他义务人在执行支付指令时,只须按预定的权利人识别措施进行审核辨别,验证无误既可执行支付指令并且免责,而用卡人究竟是持卡人本人或其授权者甚或非法占有者则在所不问,其与发卡行及其他义务人无关,当然发卡行及其他义务人有恶意除外。这在合同法知识结构中或许是难以接受的结论,但在证券规则知识体系中却是一个合理的基本规则。如前辈学者早有阐释,“凡对于以有价证券,证明其合法地位者,为给付时,即使其人非实际上之债权人,但亦可因此而免除其责任。”其对“有价证券”的界定,广义上包括资格证券。再如在日常交易中,接受货币支付者不须考虑货币的占有状态,接受无记名证券(如电影票)者也不须考虑该证券的占有状态,而银行卡属于记名证券,义务人不须在预设识别措施之外考虑银行卡的占有状态。这是因为:其一,持卡人以银行卡为付款时,义务人无权在卡权利人识别措施之外,审核用卡人占有卡的原因,当然在发卡行柜台交易或依反洗钱法规定除外;其二,持卡人可对卡组织建构的网络中任何特约商户行使凭卡支付的权利,接受支付指令者根本无能力审核用卡人占有卡的原因;其三,除非受资金关系或公法(如反洗钱法)上的约束,持卡人也不允许在用卡时被审核占有卡的原因,如不会接受如何占有卡的盘问。法律不能脱离经济运行机理而设定规则,不能超出交易本质和人的本性而向当事人施加义务。在交易活动中,凡不能施加义务者,便不可施加责任。如果将银行卡的占有状态作为义务人的识别义务范畴,将超出义务人的识别能力,并阻碍银行卡交易顺畅运行,甚至根本消解银行卡得以有效率使用的可能。银行卡的占有状态与卡权利人识别机制无关,恰是维持资格证券使用机制的必要运行模式,是发挥资格证券功能的必要规则安排。
目前在处理银行卡盗刷纠纷时,持卡人过错是必须考量的因素。如有观点建议,“在持卡人存在过错的盗刷案件中,银行因未能识别银行卡真伪而导致持卡人资金流失,应承担主要责任。再考虑到银行相对于持卡人而言具有更强的负担能力,在具体的赔偿比例上,由银行承担80%~90%的赔偿责任、持卡人承担10%~20%的责任比较合理。”但是按照证券规则,发卡行就伪卡而支付,要负100%的责任,其间没有划分主要责任、次要责任之必要。再如《银行卡规定》第7条第3款也规定,“持卡人对银行卡、密码、验证码等身份识别信息、交易验证信息未尽妥善保管义务具有过错,发卡行主张持卡人承担相应责任的,人民法院应予支持。”但是按照证券规则,持卡人信息保管得当与否,不应构成发卡行就伪卡支付的免责事由,持卡人是否有过错与义务人识别真卡及权利人时的注意义务无关。可见,以持卡人保管银行卡或其相关信息不当为过错,并以此来减免发卡行或网络服务商责任,是完全不符合银行卡作为资格证券的规则原理的。
首先,不能误解持卡人对银行卡及相关信息进行保管的性质。持卡人对自己的银行卡、客户端登录密码、支付密码、手机验证码等身份识别信息、交易验证信息进行保管,这是持卡人的权利而非义务。即使持卡人遗失银行卡或泄露相关信息,也只是其权利保有不周当,而非对其义务的违反。这是因为,民事义务总是为他人承担,民事主体自己对自己并无义务。再者,如果双方约定刷脸支付,持卡人当然没有为其面貌保密的义务,如果盗刷者通过面部拷贝软件冒充持卡人刷脸盗刷成功,应由义务人承担全部责任。又如,持卡人也没有为其签字保密的义务,如果他人模仿持卡人签字实现盗刷目的,无论其伪造签字多么像持卡人本人签字,义务人均应承担全部责任。当然,在使用真卡的情况下,如果因持卡人泄露密码而致他人盗刷,义务人识别密码并支付后既可免责。其原由并非持卡人未能妥当履行信息保管义务,而是义务人妥当履行了识别义务。
其次,持卡人是否保管好自己的信用卡及相关信息与义务人识别权利人错误之间,没有法律上之因果关系。例如,银行卡是发卡行所发行,对在用卡之真伪与否,应负有绝对识别的能力与责任,无论伪卡的制作水平达到何种程度,无论持卡人在多大范围泄露了银行卡信息,发卡行都应当识别出伪卡。发卡行就伪卡支付而承担的责任,实与持卡人泄露了密码等信息无关。
再次,即使持卡人故意持伪卡支付,发卡行亦应拒绝,否则同样要承担识别错误的赔偿责任。假如持卡人将借记卡取消网络支付功能后予以设质,其后又克隆伪卡取款,质权人可在持卡人凭伪卡支付的限额内,要求发卡行赔偿。但对于持卡人本人,发卡行可以持卡人有恶意而免责,并应基于故意侵权追究该持卡人的责任,因为银行卡只能由发卡行发行,持卡人无权制作银行卡。持卡人出于故意而持伪卡交易,发卡行都应承担识别错误责任;举重明轻,即使持卡人出于过失而泄露密码,发卡行也应对伪卡盗刷承担识别错误责任。
最后,持卡人是否有过错是极难证明的事实。除了持卡人同谋盗刷被破获,余外所有持卡人过错基本上是脱离其具体行为而推定出来的。如在实务中常见的逻辑是,如果持卡人不泄露卡信息如密码,盗刷者就不能以伪卡盗刷。这一逻辑严重不周延,持卡人泄露、员工窃取、在atm机安放偷录设备、黑客破解数据等,都可以导致卡信息泄露。可以说,对持卡人在银行卡及密码信息保管上的过错,从来都是盖然性较大的判断,甚至在许多情形中不过是猜测而已。
可以说,认为持卡人“未尽妥善保管义务具有过错”,并据此相应减少发卡行等义务人的赔偿责任,实质上欠缺法理基础和应用价值。因在持卡人是否有过错的认定上有较大的盖然性,必然导致归责上的迁就性,导致发卡行该完全免责时不能完全免责,该承担全部责任时又不须承担全部责任。司法实务中经常考察持卡人过错的做法,主要出于以下原因:一是在银行卡纠纷处理过程中,通常合同法思维贯穿其间,查明双方当事人过错成为思维惯性。二是有助于实现办案法官的心理平衡,便于法官做出归责决断,如果既不能确凿认定发生伪卡盗刷,又不想认可发卡行识别无误的抗辩事由,若以持卡人亦有过错来认定双方都有过错而分担责任,便可做出双方当事人均可勉强接受的结论。再加上对证券规则思路未能接受,或者更为强大的司法政策环境挤压,办案法官很难按照“是与否”“有或无”结构做出归责决断。所以,在目前的实践中运用持卡人“未尽妥善保管义务具有过错”规则,虽然可能导致银行卡纠纷处理的过程低效率甚至结果有偏差,但却是可以理解的。
银行卡使用过程还有一个突出特点,就是银行卡使用范围并不仅限于发卡行与持卡人两者之间的直接关系,而在两者之间有多个经营主体构成业务链,卡权利人识别机制及支付指令执行,由业务链上的所有主体协同传递完成。银行卡使用业务链构成的系统极为庞大,在网络交易中尤其如此。因此在发生银行卡盗刷尤其是网络盗刷时,精准确定责任人就十分关键。《银行卡规定》注意到这一复杂情形,按照其第7条第1款,在发生伪卡盗刷交易或者网络盗刷交易时,“借记卡持卡人基于借记卡合同法律关系请求发卡行支付被盗刷存款本息并赔偿损失的”,“信用卡持卡人基于信用卡合同法律关系请求发卡行返还扣划的透支款本息、违约金并赔偿损失的”,人民法院依法予以支持。这一规定的本质是确定了业务链的端点责任,即不管在发卡行与持卡人之间的业务环节有多少,只要发生了伪卡盗刷或网络盗刷,作为业务链一端的发卡行都要对业务链另一端的持卡人,先行承担赔偿责任。发卡行承担责任后,再依据《银行卡规定》第11条第3款,“可以依法主张存在过错的收单行或者特约商户承担相应责任。”该项规定适用于伪卡盗刷时,当无问题;但适用于网络盗刷时,则问题很大。因为这一规定忽略了银行卡使用业务链的建构机理,因而其规定的归责规则并不适用于网络盗刷的场合。
银行卡使用业务链是由一系列委托合同关系建构的,并且是从发卡行和持卡人两端分别建立的。从发卡行一端延伸,在发卡行与收单行、特约商户之间,建立发卡行委托收单行、特约商户接受凭卡支付并代为识别权利人的合同关系。市场上的特约商户网络通常是由卡组织建立的,发卡行只要加入卡组织建构的网络(如在银行卡打上卡组织标记),即对卡组织网络中的所有特约商户建立了委托合同关系。从持卡人一端延伸,在持卡人与网络服务商、第三方支付机构之间,建立持卡人委托网络服务商、第三方支付机构代为传递支付指令的委托合同关系。具体而言,“此类私法上的法律关系实为两种:其一为资金保管法律关系;其二为资金代收代付的服务合同法律关系。”相对于发卡行一侧而言,这种发生在网络支付上的合同关系是持卡人主动建立的,即使这种主动性可能是被诱导的,但持卡人不注册客户端,其银行卡使用过程中就没有网络支付业务链。
持卡人注册了网络客户端,将其银行卡账号在客户端绑定后,只要登录客户端并输入银行卡支付密码,就可通过网络服务商指示发卡行履行支付义务;如果与网络服务商有免密支付协议,不需输入支付密码即可实现客户的支付指令,实际上是将支付密码先行绑定。有的网络服务商直接执行持卡人的支付指令,有的则通过第三方支付机构再执行持卡人的支付指令,如持卡人注册网约车的客户端时,其凯发下载进入的支付方式并不直接选银行卡账户,而是选第三方支付机构的账户(如支付宝或财付通),再在第三方支付机构客户端中选定银行卡账户。虽然网络服务商、第三方支付机构能够执行持卡人指令,也需与发卡行之间有相关协议,但特定的网络服务商或第三方支付机构毕竟是持卡人选定注册的,是持卡人自主将其银行卡绑定于特定客户端。因此,网络服务商、第三方支付机构的权利人识别义务实际上是由持卡人施加的,规定由发卡行为网络服务商、第三方支付机构的识别错误承担责任,这显然是不合理的。当然,如果持卡人登录的就是发卡行的网络服务客户端,则另当别论。
由此可以确定银行卡使用业务链中确定盗刷责任的基本规则:其一,盗刷发生在哪一侧,就由哪一侧承担盗刷后果。在实物卡使用中,对于收单行、特约商户识别有误导致的伪卡盗刷,发卡行一侧的业务主体要承担责任。在网络支付业务中,对于网络服务商、第三方支付机构识别有误导致的网络盗刷,由持卡人一侧的业务主体承担责任。由此可以看出,在发生网络盗刷的场合,直接规定由发卡行承担赔偿责任,显然不符合网络支付业务链的建构基础及责任发生机制。《银行卡规定》第7条第1款的归责安排,未能区分客户端所在业务链的合同性质、主体范围与责任根据,确属规则建构逻辑不严密。其二,先确定业务链两侧的责任,再确定其中间环节的责任。在伪卡盗刷场合,在发卡行向持卡人承担赔偿责任后,再向有过错的收单行或特约商户进行追偿。在网络盗刷场合,持卡人可以同时追究网络服务商、第三方支付机构的连带责任,最终由有过错者承担责任。
按照《银行卡规定》第11条的规定,“在收单行与发卡行不是同一银行的情形下,因收单行未尽保障持卡人用卡安全义务或者因特约商户未尽审核持卡人签名真伪、银行卡真伪等审核义务导致发生伪卡盗刷交易,持卡人请求收单行或者特约商户承担赔偿责任的,人民法院应予支持。”对于持卡人直接请求收单行或特约商户承担赔偿责任的,《银行卡规定》制定者认为,因持卡人与收单行、特约商户之间没有成立银行卡合同关系,在发生伪卡盗刷时收单行、特约商户要承担侵权责任。但发生盗刷时,收单行、特约商户所承担的其实并非侵权责任。其一,如前所述,发卡行与收单行或特约商户之间有委托合同关系,持卡人因此与收单行或特约商户发生联系。其二,收单行、特约商户的卡权利人识别义务来自发卡行的委托,而非直接来自于法律规定。其三,虽然直接起诉收单行或特约商户可方便管辖,但在实体归责方面,由持卡人直接向收单行或特约商户追责的根据不足。因为即使收单行或特约商户识别权利人有误,但如果发卡行未从卡账户上支付,则持卡人没有损失;如果发卡行已从卡账户支付则构成伪卡盗刷,应由发卡行先行承担责任。
在银行卡盗刷尤其网络盗刷的责任承担上,持卡人或网络支付用户利益的侧重保护常被强调。多有观点主张借鉴他国做法,在发生非授权交易时,“对于挂失前的损失,除非存在用户欺诈、故意或者重大过失行为,用户只承担限额责任。”甚而具体建议“我国有必要确立支付用户未授权交易损失承担的有限责任制度,如5%或10%的损失承担比例。”此类建议是否适合我国当前国情,能否有助于银行卡产业发展,值得反复深入研究,特别是实证研究。但这已超出银行卡作为资格证券的使用规则范畴,而属于金融消费者保护范畴了。