[案情简介]

    原告顾骏。

    被告交通银行上海分行(以下简称上海交行)。

    原告为上海交行太平洋借记卡用户。2003年5月22日晚上8时左右，原告到中国银行上海市南京东路支行(以下简称南京东路中行)的自助银行欲刷卡取款时，看到该自助银行门禁上一个装置，上面写有提示语：进门前请先刷卡并输入密码。原告按该提示刷卡并输入密码，但自助银行门没有打开，原告即离开。2003年6月10日，原告在交通银行ATM机上取款时，发现其交通银行太平洋借记卡内资金缺少人民币10068元，遂向警方报案。后经查，原告交通银行太平洋借记卡内资金分别在2003年6月7日、6月9日被提取现金共计人民币10000元，花费手续费人民币68元。

    另查明：被告人罗淦、陈秋哲于2003年5月下旬至8月中旬先后在中国银行上海市南京东路支行、交通银行上海分行市南支行等金融机构设立的自助银行门禁系统上安装盗码器，共窃取23人银行借记卡的磁条信息及密码，并伪造银行借记卡通过银行ATM机提取银行存款人民币110000余元，其中包括原告顾骏的人民币10000元(手续费人民币68元)。另外，罗淦、陈秋哲还xx4人银行信用卡存款人民币22000元。被告人罗淦、陈秋哲犯金融凭证诈骗罪、信用卡诈骗罪，分别被判处有期徒刑十五年、十四年。从罗淦、陈秋哲处追缴到的赃款仅为人民币6000元(尚未发还)，原告表示对此不主张。

    又查明：原告顾骏在2001年4月23日向上海交行申领太平洋借记卡时，上海交行向其提供一份“太平洋借记卡申请表”。该表背面“申领使用太平洋借记卡须知”第14条载明，凡是通过交易密码发生的一切交易，均应视为持卡人亲自所为，银行不应承担责任。

    [裁判要旨]

    法院认为：xxx业务存在特殊风险，较之一般存取款业务，银行更应对储户履行告知义务、信息安全保障义务，充分预防风险的发生。由于被告上海交行及其代理行南京东路中行在履行本案所涉的储蓄合同中，未尽到相关义务，导致储户损失，故应承担责任。原告作为普通的借记卡持有人，在被告对门禁操作系统无任何说明的情况下，对覆盖于自助银行门禁系统上的盗码器，足有理由相信这是银行的装置，难以识别系犯罪分子所为，且在本案中，当原告发现钱款被盗后马上报警，及时采取了相关措施，原告所有的借记卡及密码并没有丢失，也没有交由他人，故原告在本案中没有过错，不应承担责任。储蓄合同中虽有“凡是通过交易密码发生的一切交易，均应视为持卡人亲自所为，银行不应承担责任”的条款，但该格式条款不考虑储户是否存在过错，不具体分析失密的原因，无疑加重了储户的责任，有违公平，本案中被告以此格式条款为抗辩难以成立。据此判决被告上海交行给付原告顾骏人民币10068元及相应利息。

    判决后，双方当事人均未上诉。

    [评析]

    在本案中，认定上海交行应否对储户顾骏被窃取的存款承担责任主要需厘清下列几个问题：一、银行在xxx信息和密码被窃取以及付款过程中是否未尽应尽之义务。二、上海交行应否对南京东路中行的行为负责。因为本案原告持有的是上海交行发行的太平洋借记卡，但借记卡信息和密码被窃取是在南京东路中行下属营业部的自助银行门禁系统上，因此需要探讨若由于南京东路中行未尽应尽之义务，上海交行是否仍应对此承担民事责任。三、银行能否以“凡是通过交易密码发生的一切交易，均应视为持卡人亲自所为，银行不应承担责任”这一条款主张免责。四、储户对于xxx信息和密码被窃是否存有过错，银行方能否因此免除或减轻责任。

    一、银行对储户的信息安全保障义务

    xxx是现代金融创新中应运而生的一种电子支付工具，较之传统支付工具，存在的一个突出问题就是电子信息数据的安全。对此，银行应当负有保障储户信息、密码等信息数据安全的义务，即银行应保证其服务场所、系统设备的安全适用，足以保障储户信息、密码等信息数据的安全，在储户的信息、密码等信息数据被窃取之后，银行能采取合理充分的措施保障储户资金的安全。银行之所以应当对储户承担信息安全保障义务，主要是基于以下几点理由：

    首先，合同交易方式电子化的要求。银行与储户的传统纸质化交易中，银行的工作人员在柜台的义务主要是核对储户的纸面化的存取款凭证和储户的身份证件、签名、印章等身份证明，以保障储户资金支付的安全。而现代银行和储户的电子化交易是通过银行提供的机器进行的，只要是客观上输入了储户的信息和密码，机器就视为是储户本人在进行交易，哪怕该信息和密码是xx的，机器也无法识别。因此银行对储户资金支付安全的保障义务就应当相应扩张至对储户信息和密码的保障。而随着传统的柜台交易场所逐渐向无人化的交易场所延伸，如自助银行等，相应地，银行对这些交易场所也负有保障储户交易信息安全的义务。

    其次，收益与风险相一致的要求。电子化交易下，不法分子只需窃得储户的信息和密码，即可盗得储户的存款，而避开银行对取款人身份的书面审查。对这种风险的防范义务，应当由从这种风险中获益的人承担，这符合收益与风险相一致的原理。银行和储户从电子化交易中均有获益，但储户作为消费者其得到的是交易的便利和快捷，而银行作为经营者，直接获取的却是经济上的收益。银行交易的便利和快捷、银行经营环境和条件的改善，为银行吸纳存款和增加盈利提供了机会和空间，银行作为从危险源中获取经济利益者应当负有制止危险的义务。

    第三，危险控制理论的要求。根据危险控制理论，谁能更经济、合理和有效地控制危险，谁就应当承担控制潜在危险的义务。

    第四，合同法社会本位理念的要求。合同法社会本位理念强调对消费者权益的保护。美国《电子资金划拨法》和E条例明确规定，即使在储户存在疏忽而导致他人利用xxx和密码窃取存款的情况下，该责任也并非一概由储户自己承担。由此将xxx冒用的风险在金融机构与消费者之间进行分担，在保护消费者和金融机构的利益之间找到了一个适当的平衡点，给予了消费者更多保护。储户因疏忽遗失信息及密码尚且如此，更何况自助银行及电子化交易设备系银行提供，处在银行控制之下。银行作为经营者应当对其经营场所和系统设备承担更多的义务，对储户的信息安全应提供保障。

    银行对储户的信息安全保障义务具体包括但不限于以下义务：(1)危险提示义务。银行应当对各种可能出现的不安全因素以及可能造成的伤害向储户作出明显的警示。(2)安全防范义务。银行对于潜在的危险应当采用适当的设备和技术，采取适当的措施进行防范。(3)安全措施的说明义务。银行对于采取的安全措施在必要时应当向储户进行必要的说明。(4)危害救助义务。当不安全因素给储户造成损害时，银行应当进行积极的救助，避免损失发生或进一步扩大。

    在本案中，银行并没有尽到其对储户的信息安全保障义务。首先，银行在自助银行的门禁处并没有进行概括性的风险提示，尤其是针对自助银行犯罪的防范说明。其次，银行方对经营场所没有采取适当的防范措施，以致犯罪分子将盗码器安装在其门禁系统上较长时间而未被发觉；对于xxx，银行方也没有采用安全有效的技术，以致无法识别xxx的真伪，使不法分子得以在窃取储户的xxx磁条信息和密码后持伪造的磁卡窃取存款。再次，银行为自助银行安装了门禁系统，这本也是一种安全措施，但其并没有对此安全措施的使用、操作进行说明，从而使犯罪分子有机可乘，利用储户对门禁系统使用方法了解上的缺失，在门禁系统上安装盗码器，从而窃取储户xxx的磁条信息和密码。

    综上所述，银行对于储户负有保障其xxx信息和密码安全的义务，而银行违反了此义务，导致不法分子窃取了储户的xxx信息和密码，进而窃取了银行的存款，因此银行不能因此免除其对储户的付款义务，银行仍应按照储蓄合同的约定向储户支付存款本金和利息。

    二、银行对债务履行辅助人的行为应否承担责任

    （全文详见）