银行卡是现代金融创新中应运而生的一种电子支付工具，较之传统支付工具，存在的一个突出问题就是电子信息数据的安全。随着银行卡业务的发展，银行卡信息安全问题越来越突出，各类银行卡犯罪日益呈现出集团化、国际化、高科技化的特征，银行卡信息和密码被窃的事件也屡见不鲜，那究竟谁该对银行卡的信息安全负保障义务?是持卡人?还是银行?另外，各家银行纷纷规定了”凡是通过交易密码发生的一切交易，均应视为持卡人亲自所为，银行不应承担责任”，这一条款的效力又是如何?本文拟从合同法的角度对这些问题做一探讨。

一、银行与持卡人之间的法律关系

银行卡是由经授权的金融机构(主要指商业银行)向社会发行的具有消费信用、转账结算、存取现金等全部或部分功能的信用支付工具。银行卡包括信用卡和借记卡，卡的功能不同，银行与持卡人之间的法律关系就不同，但归根结底银行与持卡人之间主要是平等的合同关系，它是在自愿基础上通过一系列协议而建立起来的服务关系。这种合同往往有单据化、标准化得特点，由银行印制提供的文本、单据包含大量的格式条款。银行与持卡人之间的合同关系的特殊性还表现在，除了合同之外，银行与持卡人还要遵守法定权利与义务，行业惯例等，包括交易安全、隐私保护等银行对客户的附随义务。

二、银行对持卡人的信息安全保障义务

根据《银行卡业务管理办法》第五十二条第一款第六、第七项的规定，发卡行有义务”在有关卡的章程或使用说明中向持卡人说明密码的重要性及丢失的责任”，”发卡银行对持卡人的资信资料负有保密的责任。”由此可见，银行对持卡人的信息安全是有说明和保护责任的，银行卡背后的信息不仅关乎持卡人的个人隐私资料，更直接关乎持卡人的财产权益。银行之所以对持卡人承担信息安全保障义务，主要是基于以下几点理由：

首先，合同交易方式电子化的要求。银行与储户的传统纸质化交易中，银行的工作人员在柜台的义务主要是核对储户的纸面化的存取款凭证和储户的身份证件、签名、印章等身份证明，以保障储户资金支付的安全。而现代银行和储户的电子化交易是通过银行提供的机器进行的，只要是客观上输入了储户的信息和密码，机器就视为是储户本人在进行交易，哪怕该信息和密码是盗取的，机器也无法识别。因此，银行对储户资金支付安全的保障义务就应相当扩张至对储户信息和密码的保障。而随着传统的柜台交易场所逐渐向无人化的交易场所延伸，如自助银行等，相应地，银行对这些交易场所也负有保障储户交易信息安全的义务。所以在各大银行的ATM机都会有摄像头，有明显的警示告知。

其次，收益与风险相一致的要求。电子化交易下，不法分子只需窃得储户的信息和密码，即可盗得储户的存款，而避开银行对取款人身份的书面审查。对这种风险的防范义务，应当由从这种风险中获益的人承担，这符合收益与风险相一致的原理。银行和储户从电子化交易中均有获益，但储户作为消费者其得到的是交易的便利和快捷，而银行作为经营者，直接获取的却是经济上的收益。银行交易的便利和快捷、银行经营环境和条件的改善，为银行吸纳存款和增加盈利提供了机会和空间，银行作为从危险源中获取经济利益者应当负有制止危险的义务。第三，危险控制理论的要求。根据危险控制理论，谁能更经济、合理和有效地控制危险，谁就应当承担控制潜在危险的义务。银行作为经营者对自己的服务设施、设备的性能和服务场所的安全情况比储户有更多的了解，也具有更加强大的力量和更为专业的知识，更能预见可能发生的危险和损害，更有可能采取必要的措施防止危险的发生。例如，银行可以动用适当的人员对自助银行进行巡逻，可以配置监控摄像设备，减少不法分子的可乘之机；可以通过明示自助银行门禁的使用说明：可以向储户提醒犯罪分子可能采取的手段，提高储户的防范意识；还可以通过在磁条信息上增设偏移量或将磁条卡换成芯片卡，以有效识别银行卡的真伪。
第四，合同法社会本位理念的要求。合同法社会本位理念强调对消费者权益的保护。美国《电子资金划拨法》和E条例明确规定，即使在储户存在疏忽而导致他人利用银行卡和密码窃取存款的情况下，该责任也并非一概由储户自己承担。由此将银行卡冒用的风险在金融机构与消费者之间进行分担，在保护消费者和金融机构的利益之间找到了适当的平衡点，给与了消费者更多保护。

总体来说，银行对储户的信息安全保障义务具体包括但不限于以下义务：(1)危险提示义务。银行应当对各种可能出现的不安全因素以及可能造成的伤害向储户作出明显警示。(2)安全防范义务。银行对于潜在的危险应当采用适当的设备和技术，采取适当的措施进行防范。(3)安全措施的说明义务银行对于采取的安全措施在必要时应当向储户进行必要的说明。(4)危害救助义务。当不安全因素给储户造成损害时，银行应当进行积极的救助，避免损失发生或进～步扩大。综上，作为发卡人的银行基于合同的相对性及合同法社会本位的理念，应对持卡人的银行卡信息安全负主要保障责任。当持卡人的信息被窃，如果是银行没有尽到安全保障义务，那银行就该对持卡人承担责任。

三、格式条款的免责效力

绝大多数商业银行的银行卡申请表背面都有这么一个条款，”凡是通过交易密码发生的一切交易，均应视为持卡人亲自所为，银行不应承担责任”。该条款的效力如何?银行是不是可以通过该条款来免除自己对持卡人信息安全保障的责任?《合同法》(以下简称《合同法》)第39条第2款规定，”格式条款是当事人为了重复使用而预先拟定，并在订立合同时未与对方协商的条款。”银行上述的免责条款由银行方事先拟定，不与申请人进行平等协商，申请人只能要么全部接受，要么全部拒绝，而不能就某些条款进行修改，这些都符合格式条款的特性。

由于格式条款并非基于双方当事人平等协商而达成的，因此，各国立法对其均有特殊的规制。我国《合同法》第39条第1款规定，”采用格式条款订立合同的，提供格式条款的一方应当遵循公平原则确定当事人之间的权利和义务，并采取合理的方式提请对方注意免除或者限制其责任的条款，按照对方的要求，对该条款予以说明”，第4O条规定，”格式条款具有本法第五十二条和第五十三条规定情形的，或者提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的，该条款无效。”可见，免责或者限制条款并非一律无效，银行方要以申请表背面的格式条款主张免责，必须符合两个条件：一是程序要求，即银行方已经采取合理的方式提请申请人注意免除其责任的条款，按照对方的要求，对该条予以说明，并得到对方的明确认可。二是实质要求，即该条款权利义务内容的确定符合公平原则。否则将做不利于经营者的解释。

现实生活中，银行往往不能做到上述这二点。从程序上看，申请人签署申请表时，常常抱着”看不看都一样”的心态，因为银行标准格式的合同根本不容许修改，在面对几联的印刷合同和银行拥挤的长队，申请人往往无暇详细阅读全部合同条款。为保证相对方在签署合同之前对免责条款确实了解，对于书面的合同文件，合理的提示必须是醒目的特殊字体，在显著位置标出，从而使一般人一眼就能注意到；或者是另以口头或书面的方式，特别提请对方阅读该免责条款。正如英国的丹宁勋爵所说：”某些免责条款必须用红色字体印在文件的正面，并以红色手指为标志予以指示，其提醒注意才能被认为是充分合理的。”从内容上看，该免责条款并没有遵循公平原则确定当事人之间的权利和义务。由持卡人在银行卡上设立自己能掌握和控制的密码，是保障申请人使用安全和防范犯罪的一个手段，但并非万无一失。若银行违反前文所述的信息安全保障义务导致储户的银行卡信息和密码被窃取，进而导致持卡人存款被盗的，则银行仍应向持卡人承担支付存款本金和利息的责任。该格式条款把一些本应由银行承担的责任也推向持卡人，无疑加重了持卡人的责任，有违公平。
 

司法实践中，也有不少判例确认了上述这些观点。如在”江西宜春市宜丰首例ATM机储户存款损失纠纷案”中，江西宜春市中级人民法院就驳回了银行的上诉，宜丰法院认为：原告李文萍与被告银行建立储蓄存款合同关系后，银行有义务承担防范犯罪的义务，本案无证据证明在ATM机上取款是由真卡操作的，则不能认定已在ATM机上发生的操作行为系原告与被告发生的真实交易。因此，原告与被告形成的储蓄合同涉及的标的1572．50元，仍应视为在原告储蓄卡中。被告与原告签订的《储蓄卡领用合约》系被告提供的格式合同，该合约第4章第3条中”凡使用密码进行的交易，银行方均视为储户本人所为。因密码保管或使用不当导致的损失由储蓄方本人承担。”此条款明显加重了储蓄方的责任，免除了银行的责任，排除了储户方的主要权利，属无效条款，且被告银行无证据证明原告李文萍违反了该款其他条款内容的行为，也无证据证实原告故意泄露了密码或参与了犯罪，因此不能认定原告在使用储蓄卡的过程中有过错，银行对李文萍储蓄卡中的存款有给付义务，对其中损失部分，负有赔偿责任。据此作出由被告赔偿原告款1572．5元的一审判决。所以，银行不能仅就这一格式条款免除自己的责任，除非符合制定格式条款的程序要求，格式条款的内容也符合公平原则。

四、第三人过错银行能否免责

实践中，因第三人的原因，如犯罪分子恶意窃取银行卡信息、”银联”成员操作疏忽、除发卡行以外的其他机构操作中的过失等，造成持卡人损失的，作为发卡行的商业银行是否可以免除违约责任?我国《合同法》第121条明确规定：”当事人一方因第三人的原因造成违约的，应当向对方承担违约责任”《德国民法典》第278条规定：”债务人对其法定代理人及为其履行债务之使用人所犯过失，应与自己的过失负同一范围的责任。”可见，基于合同相对性的特点，与持卡人存在合同关系的是发卡银行，所以无论持卡人的损害是由合同以外的第三方如何造成的，只要银行违背了对持卡人的信息安全保障义务，造成持卡人损害的，持卡人都可以向银行主张违约责任，要求其赔偿损失。至于发卡行在履行了赔偿责任后如何向第三人追偿，是本文涉及的合同关系之外的法律关系，在此不做论述。

不久前有一系列影响颇广的案件，犯罪分子在自助银行的门禁系统上装了一个盗码装置，凡是进入自助银行的持卡人都被要求在门禁系统上刷卡并输入密码，由此窃取银行卡密码信息，盗取卡内现金。有持卡人A，拿着B行发行的标有”银联”标识的银行卡，到c行的自助银行提款，在通过C行门禁时，被窃取了密码，最终导致卡内存款被窃。在这个案件中，A与B之问存在储蓄合同，B行作为发卡行系储蓄合同的债务人，B行违约的原因是因为犯罪者的故意及债务履行辅助人C行的疏忽(其未尽到保障经营场所安全的责任)，B行不能以自己没有过错，是第三人的原因造成债权人的损害而主张免除责任。

五、持卡人过错银行能否免责

既然保障银行卡信息安全的责任在银行，且银行不能通过免责条款和第三人的过错来免除自己的责任，那是否意味着持卡人可以不尽适当的注意义务，凡是在银行卡信息和密码以及存款被窃的情况下，都能获得银行的赔偿呢?回答当然是否定的。

在银行卡信息密码以及存款被窃取的过程中，持卡人若有过失，则银行方可主张免除或减轻责任，即可主张过失相抵。所谓”相抵”，是指受害人的过错构成损害发生或扩大的原因，以该原因的原因力抵消其所受损害可能请求赔偿的一部分或全部。我国《合同法》第120条规定，”当事人双方都违反合同的，应当各自承担相应的责任。”即持卡人没有尽到注意保管自己信息密码的义务，银行没有尽到保管持卡人信息和存款的义务，则双方都构成违约，都需要承担责任。严格说，双方违约与过失相抵是两个不同的制度。不过，在学理上和实践中，我国一直承认债的不履行责任可以适用过失相抵。所以，在具体的案件中，法院也需要根据持卡人的过错程度，最终确定银行的赔偿范围，甚至可以免除银行的责任。