从《银行卡规定》谈支付机构在银行卡盗刷中的法律风险
2021年5月25 日,最高人民法院发布了《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》(以下简称《银行卡规定》),该规定于发布之日起实施。《银行卡规定》适用于持卡人与发卡行、非银行支付机构、收单行、特约商户等当事人之间因订立银行卡合同、使用银行卡等产生的民事纠纷,并明确了上述主体间的义务、责任。
本文将聚焦《银行卡规定》的主要内容,并重点分析支付机构在银行卡盗刷交易中可能产生的法律风险。
《银行卡规定》主要内容
(一)明确适用范围
在适用对象方面,包括持卡人与发卡行、非银行支付机构、收单行、特约商户等当事人。
在适用场景方面,包括因订立银行卡合同、使用银行卡等产生的民事纠纷。其中,银行卡民事纠纷包括借记卡纠纷和信用卡纠纷。
在适用时间方面,适用于《银行卡规定》施行(即2021年5月25日)后尚未终审的案件。施行前已经终审,根据当事人申请再审或者按照审判监督程序决定再审的案件不适用。
(二)规制银行卡合同中息费违约金条款
1、发卡行对息费违约金条款具有告知义务
发卡行在与持卡人订立格式合同时未就收取利息、复利、费用、违约金等对持卡人具有重大利害关系的条款履行足够的提示或说明义务,致使持卡人没有注意或理解该条款,持卡人有权主张该条款不成为合同的内容。
2、持卡人有权请求人民法院对过高息费违约金条款进行调整
调整应综合考虑国家有关金融监管规定、未还款的数额及期限、当事人过错程度、发卡行的实际损失等因素,根据公平原则和诚信原则予以衡量。
(三)适用《民法典》相关规定,列明银行卡纠纷诉讼时效中断事由
针对发卡行对持卡人的债权请求权特点,明确符合如下情形的构成诉讼时效中断事由:
1、发卡行按约定扣划透支款本息、违约金。
2、通过手机短信、书面信件、电子邮件等方式催收债权。
3、发卡行以持卡人恶意透支存在犯罪嫌疑为由向公安机关报案。
(四)明确银行卡盗刷交易的事实认定规则
1、银行卡盗刷交易包括伪卡盗刷交易和网络盗刷交易,本质上是持卡人银行账户发生了非本人授权交易。两者区别在于盗刷的方式不同,伪卡盗刷交易着重强调通过伪造银行卡进行刷卡交易,而网络盗刷交易是通过盗用持卡人身份识别信息和交易验证信息进行网络交易。
2、谁主张谁举证,持卡人主张发生银行卡盗刷交易的,应向法院提供能对盗刷事实形成初步确信的证据材料,如生效法律文书、银行卡交易时真卡所在地、交易行为地、账户交易明细、交易通知、报警记录、挂失记录等。
3、谁占有证据谁举证,发卡行、非银行支付机构主张本人或授权交易的,应承担证明责任,具体可提供交易单据、对账单、监控录像、交易身份识别信息、交易验证信息等。
4、发卡行具有核实、保存证据义务,在持卡人告知发卡行其账户发生了盗刷交易时,发卡行需要及时向持卡人核实银行卡的持有及使用情况,同时,发卡行需及时保存相关证据材料,未及时提供或保存相关证据材料,应承担举证不能的法律后果。
(五)明确银行卡盗刷责任认定规则
1、发卡行承担无过错责任,发生银行卡盗刷交易的,发卡行应承担持卡人被盗刷的本息违约金并赔偿损失。
2、持卡人承担过错责任,持卡人对身份识别信息、交易验证信息有妥善保管义务,否则应承担相应过错责任。
3、持卡人有减损义务,持卡人应及时采取挂失等措施防止损失扩大,否则应自行承担扩大损失责任。
4、发卡行、非银行支付机构在开通或新增网络支付业务功能时对持卡人有告知义务,未履行或未完全履行告知义务的产生的盗刷责任持卡人不承担,有证据证明持卡人同意的除外。
5、收单行有保障持卡人用卡安全义务,特约商户有审核持卡人签名和银行卡真伪的义务,否则持卡人有权要求收单行或特约商户对伪卡盗刷交易承担侵权责任。
6、盗刷者承担最终责任。发卡行、非银行支付机构、收单行、特约商户承担责任后,有权向盗刷者追偿。
7、发卡行或非银行支付机构承诺先行赔付的,应当按照该允诺承担先行赔付责任。
(六)持卡人所获赔偿具有补偿性
基于同一银行卡盗刷交易事实,持卡人可依据其与发卡行、非银行支付机构、收单行、特约商户、盗刷者等之间的不同法律关系分别主张权利,但所获赔偿数额不应超过其因银行卡被盗刷所致损失总额。
(七)银行卡被盗刷可撤销不良征信记录
持卡人对银行卡盗刷交易不承担或仅部分承担责任时,可请求发卡行及时撤销相应不良征信记录。
支付机构在银行卡盗刷中的法律风险
(一)无法提供交易相关证据而举证不能的风险
持卡人主张盗刷交易的,只需提供能使法院初步确信发生盗刷交易的证据材料。而发卡行、支付机构否认盗刷交易,主张争议交易为持卡人本人或授权交易的,则需承担更大的举证责任,若提供的证据材料不充足而无法使法院对持卡人本人或授权交易形成高度盖然性认定标准,则发卡行、支付机构需赔偿持卡人的损失。
因此,对于持卡人的身份信息、交易信息、操作记录、与持卡人就争议交易的沟通记录、持卡人提供的证明材料等,支付机构应在合法合规前提下尽可能的完整、准确、长时间保存,并做好信息备份,确保能按照法院要求提供。
(二)开通或新增网络支付业务功能未完全履行告知义务的风险
支付机构新增网络支付业务类型时,应充分履行告知义务,对于将为其提供网络支付功能以及相关的身份识别方式、交易验证方式、交易规则等足以影响持卡人是否使用该功能的内容,应使用通俗易懂的描述,并采取粗体下划线等显著方式提请持卡人注意。若持卡人不知晓或没有全面理解该功能的,持卡人有权拒绝承担相应的网络盗刷责任,有证据证明持卡人知道并理解该功能的除外。
(三)发卡行承担责任后转嫁至支付机构的风险
发卡行在银行卡盗刷交易中承担无过错责任,即若无法证明争议交易为持卡人本人或授权交易,或持卡人未对自身身份识别信息、交易验证信息尽妥善保管义务,或持卡人未及时采取挂失等减损措施的,发卡行将要承担持卡人全部或大部分损失。
通常发卡行在合作协议中会将盗刷交易产生的风险转嫁至支付机构,要求支付机构承担先行全额赔付责任。虽然支付机构先行承担责任后可向盗刷者追偿,但实践中往往很难追回,从而导致从结果上由支付机构最终承担了损失。
因此,支付机构在与发卡行、特约商户建签订合作协议时,应明确各方责任及风险赔付流程。
(四)先行全额赔付的风险
《银行卡规定》规定了在如下两种情形下,支付机构应承担先行赔付责任:
1、支付机构明确承诺承担网络盗刷先行赔付责任的,该允诺构成支付服务合同的内容,应按照承诺先行赔付,除非能有效证明是持卡人原因导致的损失。
2、支付机构相关网络支付业务系统、设施和技术不符合安全要求导致网络盗刷,应承担先行赔付责任。
(五)持卡人重复获赔而无法要求归还的风险
由于银行卡盗刷交易涉及主体较多,持卡人可能会基于不同的法律关系分别向发卡行、非银行支付机构、收单行、特约商户、盗刷者主张权利,而发卡行或支付机构在一般情况下会先行赔付,如果持卡人另外还从其他主体处获得了部分赔偿,那将会导致持卡人获得的赔偿数额超过了总损失,从而面临超出的部分如何归还、归还给谁的问题。
对此,支付机构应当在赔付前做好调查工作,并与持卡人事先书面约定发生超额获赔情况的处理机制。
本文由公众号“苏宁金融研究院”原创,作者为苏宁金融研究院特约研究员惕若。