央行内部曝光第三方支付漏洞及安全风险案例-第三方支付信息泄露实例

银行卡被第三方支付公司盗刷，如何起诉公司

下面有个案例，供你参考：

银行卡绑定第三方支付平台被盗刷的责任认定案例

2017-01-09 10:22

导读：随着网络经济的发展，以“支付宝”“财付通”“微信支付”为首的第三方支付平台的出现为电子商务的发展注入了新动力。近年来第三方支付平台迅速崛起，它已经不仅仅是一种支付工具，更是电子商务交易环节中最重要的一环。但是在快速发展过程中第三方支付平台也出现了一些法律问题，例如消费者将银行卡绑定到第三方支付平台后被盗刷的责任由谁承担？本期法信小编整理《人民司法·案例》2016年第29期相关案例及观点，结合其他案例、法条，对银行卡绑定第三方支付平台被盗刷的责任认定问题作出了阐释，希望能够为读者提供参考与帮助。

人民司法·案例

银行卡绑定第三方支付平台被盗刷的，法院应当依据发卡行是否履行了合同义务认定其责任承担——彭某与中国建设银行股份有限公司中山宏基支行借记卡纠纷上诉案

案例要旨：在银行卡绑定第三方支付平台的情形下发生的资金盗刷案件中，若发卡行是按持卡人的指令向第三人履行合同义务，不应认定为合同履行错误，发卡行不应承担责任；发卡行如果存在违反合同约定或者未履行合同附随义务的情形，则应承担相应责任。

案号：(2016)粤2072民终430号

审理法院：广东省中山市中级人民法院

案件来源：《人民司法·案例》2016年第29期

案情简介：

2013年7月23日，彭某在中国建设银行股份有限公司中山宏基支行(以下简称建行宏基支行)办理了百惠龙卡。2015年7月3日，该卡于14:36:52通过中国银联股份有限公司上海分公司消费5000元，于14:47:16通过深圳市财付通科技有限公司消费5000元，于15:01:27通过迅付信息科技有限公司消费1000元，于15:07:53通过智付消费3000元，于15:09:29通过智付消费700元。彭某称其在2015年7月9日使用该卡过程中发现卡内余额为零。2015年7月9日，彭某在建行珠海香洲支行打印交易清单。2015年7月11日，彭某向中山市公安局石岐区分局宏基派出所报案。2015年7月15日，彭某在建行中山朗晴轩分理处打印该卡的2015年7月3日明细事项。后彭某将建行中山分行诉至广东省中山市第一人民法院，请求判令建行中山分行向彭某偿还被盗存款14700元及相应利息损失。

另查明：彭某在建行中山分行处办理的按揭贷款于2015年1月至2015年6月在该卡正常收回贷款本息，于2015年7月4日在该卡仅收回贷款本息5.91元。双方均确认涉案借记卡有开通手机短信服务，彭某主张账户被盗刷，未曾收到账户资金变动的短信通知。彭某同时确认之前曾通过第三方支付平台进行多次小金额消费。

裁判理由：

广东省中山市中级人民法院二审认为：本案系借记卡纠纷。彭某在建行宏基支行办理了借记卡，双方形成储蓄存款合同关系。本案诉争五笔金额系通过第三方支付平台支出，而第三方支付平台的交易，使用的是第三方支付平台提供的账户进行货款支付。买方初次将借记卡绑定第三方支付平台提供的账户时，银行会在客户进行支付时对第三方支付平台提供的手机号码和银行预留的手机号码进行一致性检验，通过后就可进行支付。如果银行已按前述要求在业务关联时进行了相关信息验证，确保客户身份真实可靠，在之后的交易时无需再次验证，只须按指令付款。

本案中，彭某曾多次通过第三方支付平台进行小金额交易，说明确系彭某本人将借记卡绑定第三方支付平台，建行中山分行已履行了客户身份的验证义务。第三方支付平台的账号和支付密码由彭某自行设置和保管，彭某因第三方支付平台的账号和支付密码外泄导致借记卡被盗刷，建行中山分行无须承担责任。只是因为彭某已开通手机短信通知，建行中山分行应在彭某账户资金发生变动时，及时履行短信提醒义务。因此，涉案借记卡发生第一次盗刷后，因建行中山分行未能在彭某账户资金发生变动后通过手机短信通知彭某，导致彭某未能及时发现其账户资金的异常变动，不能及时办理挂失止付，导致损失的扩大，建行中山分行负有一定的责任。根据本案的具体情况，法院酌定建行中山分行就第一次盗刷之后的四笔被盗刷导致的损失承担50%的责任，也即建行中山分行须向彭某赔偿损失4850元[(5000元+1000元+3000元+700元)x50%]及相应利息损失。

广东省中山市中级人民法院作出(2016)粤2072民终430号终审民事判决：建行中山分行须向彭某赔偿损失4850元及相应的利息。

法院观点：

1.银行卡绑定第三方支付平台的支付模式

持卡人在将银行卡与第三方支付平台进行绑定时，输入银行卡号、身份证号码、手机号、银行发送的动态验证码即可完成操作。根据银监会、央行联合下发的《关于加强商业银行与第三方支付机构合作业务管理的通知》中的要求：“对预留手机号码且设定短信通知的客户，商业银行应在客户进行支付时对第三方支付机构提供的手机号码和银行预留的手机号码进行一致性检验，通过后方可进行支付。如果银行已按照前述要求在业务关联时实行了相关信息验证，确保客户身份真实可靠，在交易时可以无需再次验证。”由此可见，如果银行已按前述要求在业务关联时进行了相关信息验证，确保客户身份真实可靠，在之后的交易时无需再次验证，只须按指令付款，由此体现第三方支付的便捷性。在银行卡绑定第三方支付平台时，第三方支付平台与持卡人之间会约定相应的支付密码，该支付密码由持卡人设定和保管，与发卡行没有关联，发卡行接到持卡人输入的与第三方支付平台约定的支付密码，即是接到付款指令，会即时向第三方支付平台付款，无需再对持卡人的身份进行验证。

2.应综合判断并认定银行卡绑定第三方支付平台被盗刷的事实

在银行卡绑定第三方支付平台的情形下，持卡人是通过互联网线上交易完成支付，它不同于物理卡情形下的伪卡或者克隆银行卡盗刷，法院在认定物理银行卡被克隆之事实时，一般根据当事人提供的银行卡使用记录、克隆卡的交易行为地与持卡人处所的距离、交易时间和报案时间、报警记录、挂失记录、持卡人身份等证据，综合判断是否克隆银行卡盗刷。

事实上，线上交易盗刷事实的认定一直是审判实践中的一个难题。从现有的第三方支付平台盗刷案例来看，持卡人能够向法院提供证明盗刷事实的证据十分有限。本案中，法院并没有充分论证如何认定涉案的五笔交易为他人盗刷，综合本案案情，能够认定盗刷事实的证据也只有持卡人彭某的报警记录以及涉案银行卡特定时间在第三方支付平台频繁的异常交易记录。通常认为，持卡人在发现银行卡被盗刷后第一时间予以报警，是认定银行卡交易非持卡人本人操作的重要证据，如果持卡人恶意报假警，违反了治安管理处罚法第二十三条第(一)项之规定，其行为妨害了公安机关正常的工作秩序，依法应给予治安行政处罚，因此，持卡人的报警行为一般被认定为持卡人的真实行为。但报警记录并不能作为认定盗刷事实的一般标准依据，也就是说法官不能仅以持卡人的报警记录就认定盗刷事实，还应结合案件其他证据，比如异常的交易记录、发卡行的提醒告知短信、部分第三方支付平台的退款记录、操作线上交易的I P地址等证据，结合发卡行的抗辩意见，以个人的生活经验，按照高度盖然性证明标准，综合判断是否存在盗刷事实。

3.法院应当依据发卡行是否履行了合同义务认定银行卡绑定第三方支付平台被盗刷的责任承担

从合同法的原理分析，在持卡人和发卡行之间，银行卡盗刷案件涉及合同履行违约之纠纷，即发卡行本应将银行卡内的资金支付给合同当事人即持卡人，却支付给了合同之外的第三人，发卡行属于履行对象错误而违约，合同履行对象错误，承担责任的当然是合同义务人即发卡行。合同的履行是指债务人全面、适当地完成其合同义务，使债权人的合同债权得到完全实现。根据合同的相对性原则和正确履行原则，债务人履行合同义务须向债权人即合同相对人履行，除非双方当事人在合同中约定向第三人履行，或者合同未约定，在履行过程中经合同相对人明确授权或者指令，由第三人接受合同义务人的履行。在银行卡绑定第三方支付平台的情形下，发卡行均是向第三人履行合同义务，第三方支付平台的账号和支付密码由持卡人自行设置和保管，发卡行按指令支付款项的行为不应认定为合同履行错误。因此，持卡人因第三方支付平台的账号和支付密码外泄导致被盗刷，与发卡行无关。

发卡行没有责任，持卡人的合法权益则应当依据其与第三方支付平台之间合同约定寻求保护。虽然盗刷银行卡是不法行为，但在第三方支付平台却是通过正常途径进行交易的。根据《非金融机构支付服务管理办法》相关规定，第三方支付平台应当建立相应的风险控制措施。比如，在快捷支付中，当快捷支付用户遭遇恶意盗刷，系统识别器会发出提醒。被盗刷的顾客2小时内联系客服中心，并提供交易号等信息，支付宝公司会暂时冻结支付宝账户。15个工作日内联系客服中心，提交的材料经审核通过后，平安保险将给予受害人100%赔付，而投保费由支付宝承担。在易付宝支付中，如果非客户本人原因引起的盗刷消费成功，消费者报案并提交材料齐全后，相关保险公司即可进行全额赔付。如果交易尚未完成，易付宝将对交易进行拦截，并返还相应盗刷款项。

法信 · 相关案例

1.商业银行在电子资金转移和支付环节已尽到身份识别义务和安全保障义务，当事人对信用卡被盗刷存在过错的，应自行承担责任——中国农业银行股份有限公司珠海分行诉肖健鹏信用卡纠纷案

案例要旨：商业银行和第三方电子支付平台在电子资金转移和支付环节负有身份识别义务和安全保障义务，银行已尽到身份识别义务和安全保障义务，当事人的信用卡被盗刷系因个人原因丢失个人证件及通讯工具，未及时挂失致个人信息外漏所致的，相应的损失应全部由当事人自行承担。

案号：（2013）珠香法民二初字第1373号

审理法院：广东省珠海市香洲区人民法院

来源：广东法院网 2014-10-16

2.他人通过网上银行及支付宝和密码完成交易致使持卡人受到损失，而持卡人没有证据证明发卡人对密码的泄露存在不当行为的，持卡人应当自行承担被盗刷损失——周俊诉中国工商银行股份有限公司临湘支行信用卡纠纷案

案例要旨：保护存款安全是储户和银行双方共同的义务。根据网上银行的支付程序，在网银支付过程中，银联卡号、持卡人手机号码、身份信息和正确密码是完成支付的必要条件。他人通过网上银行及支付宝和密码完成交易，致使持卡人受到损失，而持卡人没有证据证明发卡人对密码的泄露存在不当行为的，持卡人应当自行承担被盗刷损失。

案号：（2015）临民初字第37号

审理法院：湖南省临湘市人民法院

来源：中国裁判文书网 2015-07-02

3.银行卡绑定第三方支付平台被盗刷，持卡人与发卡行在履行合同中都存在过错的，均应承担相应责任——梁燕芬诉中国工商银行股份有限公司广州大南路支行借记卡纠纷案

案例要旨：根据流程规则，通过工银e支付消费和掌钱转账均需要银行卡密码、网上银行登录密码和验证码等完全正确，方能消费或转账成功。因持卡人在网上填写个人信息时不慎泄露银行卡密码和网上银行登录密码的，应自行承担相应损失；因发卡行的验证码信息被病毒软件拦截导致持卡人未正常收到短信验证码的，表明发卡行在履行合同过程中未正确尽到通知义务，发卡行应承担相应责任。

案号：（2015）穗中法金民终字第1066号

审理法院：广东省广州市中级人民法院

来源：中国裁判文书网 2015-10-29

4.被盗刷款项均系通过持卡人自行设立的支付密码予以支付，持卡人主张发卡行未及时进行信息提示存在过错并要求承担赔偿责任的，法院不予支持——姜会旺与中国农业银行股份有限公司东阿县支行信用卡纠纷案

案例要旨：持卡人银行卡绑定第三方支付平台多次被盗刷期间，发卡行可以证明均向其预留的手机号码进行了短信通知和提示义务，且持卡人主张的被盗刷款项均系通过持卡人或得到其授权的他人自行设立的支付密码予以支付的QQ消费或充值等方式支付，持卡人主张发卡行存在过错并要求承担赔偿责任的，法院不予支持。

案号：（2015）聊商终字第275号

审理法院：山东省聊城市中级人民法院

来源：中国裁判文书网 2015-11-06

5.当事人通过支付宝进行交易过程中因自身原因受人欺骗造成损失，支付宝尽到形式审查、确保支付安全义务的，不承担赔偿责任——余大弟诉支付宝（中国）网络技术有限公司网络服务合同纠纷案

案例要旨：当事人通过支付宝进行交易过程中因自身原因受人欺骗造成损失，其损失与支付宝提供的服务之间并不存在因果关系，支付宝尽到形式审查、确保支付安全义务的，对当事人损失不承担赔偿责任。

案号：(2012)杭西民初字第1715号

审理法院：浙江省杭州市西湖区人民法院

来源：《浙江省高级人民法院案例指导》2004年第1期

法信 · 法律依据

1.《中华人民共和国合同法》

第六十条 当事人应当按照约定全面履行自己的义务。

当事人应当遵循诚实信用原则，根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。

第一百零七条当事人一方不履行合同义务或者履行合同义务不符合约定的，应当承担继续履行、采取补救措施或者赔偿损失等违约责任。

第120条当事人双方都违反合同的，应当各自承担相应的责任。

2.《中国银监会、中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》

三、客户银行账户与第三方支付机构首次建立业务关联时，应经双重认证，即客户在通过第三方支付机构认证同时，还需通过商业银行的客户身份鉴别。账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份，明确双方权利与义务。

四、商业银行通过电子渠道验证和辨别客户身份，应采用双（多）因素验证方式对客户身份进行鉴别，对不具备双（多）因素认证条件的客户，其任何账户不得与第三方支付机构建立业务关联。

八、对预留手机号码且设定短信通知的客户，商业银行应在客户进行支付时对第三方支付机构提供的手机号码和银行预留的手机号码进行一致性检验，通过后方可进行支付。如果银行已按照前述要求在业务关联时进行了相关信息验证，确保客户身份真实可靠，在交易时可以无需再次验证。

3.《非金融机构支付服务管理办法》

第二条本办法所称非金融机构支付服务，是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务：（一）网络支付；（二）预付卡的发行与受理；（三）银行卡收单；（四）中国人民银行确定的其他支付服务。

本办法所称网络支付，是指依托公共网络或专用网络在收付款人之间转移货币资金的行为，包括货币汇兑、互联网支付、移动电话支付、固定电话支付、数字电视支付等。

本办法所称预付卡，是指以营利为目的发行的、在发行机构之外购买商品或服务的预付价值，包括采取磁条、芯片等技术以卡片、密码等形式发行的预付卡。

本办法所称银行卡收单，是指通过销售点（POS）终端等为银行卡特约商户代收货币资金的行为。

近几年网络隐私泄露的经典案例都有哪些?

例如：2017年3月22日，国内知名漏洞报告平台乌云网公布了“携程安全支付日历导致用户银行卡信息泄露”的相关信息。漏洞发现者指出，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。

而该信息加密级别并不够高，可以被骇客轻易获取。泄露的信息包括用户的：持卡人姓名、身份证、所持银行卡类别、卡号、CVV码以及用于支付的6位密码。

相关信息

个人信息主要包括以下类别：

1.基本信息。包括姓名、性别、年龄、身份证号码、电话号码、Email地址及家庭住址等在内的个人基本信息，有时甚至会包括婚姻、信仰、职业、工作单位、收入、病历、生育等相对隐私的个人基本信息。

2.设备信息。主要是指所使用的各种计算机终端设备（包括移动和固定终端）的基本信息，如位置信息、Wifi列表信息、Mac地址、CPU信息、内存信息、SD卡信息、操作系统版本等。

3.账户信息。主要包括网银账号、第三方支付账号，社交账号和重要邮箱账号等。

第三方支付存在的不正当竞争，第三方支付的风险有哪些？

第三方支付在风险上存在这样的问题：共性问题主要包括备付金挪用、反洗钱、信息保护、不正当竞争等几个方面；个性问题上，互联网支付领域易遭受欺诈风险，银行卡收单则涉及套码、切机、二清等问题。那么，第三方支付存在的不正当竞争，第三方支付的风险有哪些？ 一、信息泄露风险 1.支付渠道参数泄露 商家使用支付宝、微信、智付等支付平台，需要接入第三方支付接口。而接入支付接口的过程中，商家需要将支付渠道参数提供给Beecloud、Ping++等第三方支付集成服务商。这些集成服务商能把支付宝、微信、易宝、智付、网银等多种接口集成在一个系统下。由于商家和第三方支付集成服务商为支付渠道参数的拥有者，当出现信息泄露问题时，责任承担人的确定就比较困难了。 例如，商家接入全渠道支付接口，但在使用过程中出现支付渠道参数泄露，此时黑客会利用此参数进行恶意代收代扣等行为，或者用于洗钱等非法活动。此时商户会被第三方支付风险控制系统认定为黑名单，造成投诉纠纷时，甚至要承担赔付责任。 2.数据泄露 由于第三方支付集成服务商或第三方支付平台提供的内部风险控制存在漏洞，导致企业交易数据泄露。这些交易数据有可能被被人转卖牟利或被竞争对手获得。竞争对手可以利用该类交易数据分析商户的交易行为，从而分析其商业模式和发展战略。这对于企业来说，是致命的。这就是为什么现在的支付牌照交易买卖如此活跃，小米、绿地、唯品会等互联网巨头不惜重金购入，京东停止与支付宝合作的原因。 这种数据的泄露，除了交易数据的泄露，还涉及客户数据的泄露。在对客户实名认证的过程中，如果通过第三方支付集成服务商的SDK调用第三方支付的实名认证接口，在调用数据的过程中，存在客户数据泄露风险。 二、支付集成服务商风险 第三方支付集成服务商的各个接口是由各大支付平台提供的。如果集成服务商不能及时获取各个支付平台的接口更新信息（如安全漏洞更新、勒索病毒应对更新等），那么很容易出现信息泄露安全。况且第三方支付集成服务商对于各个支付接口的更新是要受到开发资源排期、版本更新进度等外部因素的影响。 第三方支付集成服务商的另一个风险在于其系统本身的安全性。在“商家-支付集成服务商-多家第三方支付平台”的支付接口集成模式下，如果支付集成服务商的系统受到DDoS、蠕虫病毒等外部攻击，那么该支付集成系统就无法正常使用了。