原告黄某、景某在被告中国工商银行股份有限公司翼城支行（简称翼城支行）分别办理了卡号为×××及×××的银行卡。2017年1月5日原告黄某到翼城县鼎尚时代商城东侧的工商银行ATM取款机上使用了该两张银行卡。当时原告黄某的银行卡上余额为17007.33元，原告景某银行卡上余额为41058.09元。2017年1月11日原告黄某再次持该两张银行卡去银行取钱，发现其银行卡上只有14.83元，原告景某银行卡上只有842.09元。原告黄某遂于2017年1月12日16时36分向翼城县公安局经济犯罪侦查大队报案，翼城县经侦大队于当日出具了受案登记表。经翼城县公安局经侦大队侦查，原告黄某所持有的银行卡于2017年1月8日晚上10点多在陕西省渭南市××县信用社的ATM机上分四次被一蒙面男子取走16900元，产生跨行交易手续费92.5元。2017年1月9日凌晨零点多该蒙面男子在陕西省渭南市××县农行的ATM机上将原告景某银行卡上的存款的分八次取走40000元，产生手续费216元。

涉案的银行卡交易该犯罪嫌疑人所使用的不是二原告持有的银行卡，现犯罪嫌疑人已被抓获，其供述是通过在被告工行红旗街支行ATM机上安装读卡器和摄像设备，复制了二原告的银行卡磁条信息并盗取了二原告的密码，在异地取款造成了原告银行卡损失。

原告认为，翼城支行作为专业的金融机构，负有保障银行卡存取款安全和谨慎审查义务，但翼城支行未尽应尽义务，造成原告损失，应当承担赔偿责任。原告遂起诉要求法院判令被告翼城支行赔偿其存款损失。

被告辩称：

一、根据《最高法院关于审理民事纠纷案件中涉及刑事犯罪若干程序问题的处理意见》规定，本案应”先刑后民”，中止审理，待刑事程序终结后再恢复本案审理。侦查结论直接与本案定性、效力及责任承担相关联。

二、翼城支行已尽相应安全保障义务，不应承担全部过错。首先，涉案银行卡符合《银行卡磁条信息格式和使用规范》的相关要求，相关法律法规及合同文件均未规定要求发卡行保证银行卡磁条信息不被复制，亦未将银行卡的真伪列为账户资金结算交易的凭证。并且发卡行也无法核实取款人的身份及银行卡真伪。其次，发卡人及持卡人在民事活动中地位相同，在资金交易活动中，均应注意安保义务。涉案银行卡系被第三人盗刷，翼城支行亦属被害人。并且翼城支行已尽安保义务，故不应承担全部过错。再次，交易行存在疏于对其自动终端设备管理维护，并在功能上未能识别伪卡的可能，导致原告资金被盗刷，交易行亦存在过错，应承担相应责任。

三，本案系银行卡纠纷，不是储蓄存款合同纠纷。持卡人与发卡人之间本质上包含储蓄存款合同等多重法律关系，应属于银行卡纠纷。

本人作为黄某和景某共同委托的代理律师，提出以下代理意见：

一、本案是银行卡纠纷实际也是储蓄存款合同纠纷，被告应当履行其付款义务。原告黄某、景某与被告之间办理银行卡的合同为储蓄存款合同，合同依法成立。储户将钱存入银行后，这些钱的所有权转移给银行所有，持卡人即储户享有对银行的债权。银行应按照储蓄合同的约定无条件向储户支付存款本金和利息。

二、被告未对储户信息尽到安全保障义务，故应当承担相应的赔偿责任。商业银行对于自己的服务设施、设备的性能和经营场所的安全情况要比储户更为了解，也更能预见可能发生的危险和损害，也应当采取必要的措施防止危险的发生，当不法分子在银行的ATM机上动手脚时，银行应及时采取必要措施防止储户的信息的泄露。本案中，该银行因疏于管理，对来自外部的不法侵害不能及时发现并制止危害继续发生，导致储户利益受损，其理应承担责任。

三、原告尽到了合理保管借记卡及密码的义务。自办理了该银行的借记卡以来，原告一直以来都妥善的保管着自己的借记卡，没有丢失过借记卡，也没有在任何互联网平台上或POS机上使用过自己的借记卡，更没有对任何人透露借记卡的密码信息。

四、依据合同的相对性原则，被告不得借口第三方的不法行为减免自己的付款及赔偿义务，被告也不能借口公安尚未破案或还有赖公安机关的侦查结果等来推脱责任。

五、储蓄合同中的“凡使用密码进行的交易，被告均视为原告的本人所为”条款是霸王条款、格式条款，免除银行在交易中保证银行卡交易安全的义务，加重了原告的交易风险，该格式条款显失公平应当认定无效。银行作为交易参与方应当承担识别交易相对方身份的义务，仅以密码核对正确即视为原告本人之行为，显然于法无据。 故银行不能因此减免付款义务，由于他人的不法行为导致储户存款被盗取的，被告仍应向原告承担赔偿责任。

六、本案作为储蓄存款合同纠纷，归责原则应当适用严格责任原则。在严格责任的归责体系下，违约行为的构成要件是单一的，即客观上的违约行为，而无需违约方是否具有过错这一要件。所以本案被告承担责任无需被告必须存在过失或过错，只要该行为发生未能向原告支付存款或存款短少被告均需向原告承担赔偿或支付责任。

山西省翼城县人民法院作出（2017）晋1022民初525号民 事 判 决，判令：

一、被告中国工商银行股份有限公司翼城支行于本判决生效之日起十日内支付原告黄某、景某银行存款56900元及利息（按照该行同期同类存款利率计付利息，从2017年1月9日起计算至本判决确定的履行之日止）。

二、被告中国工商银行股份有限公司翼城支行于本判决生效之日起十日内赔偿原告黄某、景某手续费308.50元。

被告不服一审判决，提起上诉。山西省临汾市中级人民法院 于二0一七年十二月十三日作出（2017）晋10民终2993号民 事 判 决，驳回上诉，维持原判。

二审法院认为：

第一，翼城支行主张根据《最高法院关于审理民事纠纷案件中涉及刑事犯罪若干程序问题的处理意见》规定，本案应”先刑后民”，中止审理。黄某、景某主张刑事犯罪的性质和责任承担不影响上诉人承担民事违约责任。本院认为，《最高法院关于审理民事纠纷案件中涉及刑事犯罪若干程序问题的处理意见》第一条规定”根据民事法律规范判断，当事人之间构成民事法律关系，且不影响民事案件审理的，民事案件可继续审理。”首先，本案中，黄某、景某在翼城支行办理了无存折借记卡，即与银行建立了储蓄合同关系，双方之间的民事合同法律关系明确，翼城支行不能以犯罪嫌疑人为直接侵权人为由免除自己对持卡人的合同责任。其次，黄某、景某（持卡人）与银行（发卡行）及犯罪嫌疑人之间因法律事实不同，分别涉及民商事、刑事法律关系，本案应与刑事案件分别受理及审理。再次，犯罪嫌疑人虽属于实际侵权人，但黄某、景某有权自由选择依据合同关系要求合同当事人或依据侵权规定要求侵权责任人承担责任，故翼城支行作为发卡行以刑事程序尚未终结为由主张本案中止审理，其请求无法律依据，本院不予支持。

第二，银行主张本案系银行卡纠纷，且已尽到安全保障义务。黄某、景某主张双方建立储蓄存款合同关系，翼城支行未尽到相应的安全保障义务。本院认为，根据已查明事实，黄某、景某在银行处办理了无存折借记卡，双方之间形成的是储蓄存款合同民事法律关系。发卡行应当保障存款人的合法权益不受任何单位和个人侵犯。本案中，犯罪嫌疑人通过在ATM机安装读卡器、摄像设备，窃取了黄某、景某的银行卡卡号、密码等信息，且利用伪卡进行交易，上述事实足以表明翼城支行所发放的银行卡不具有唯一的可识别性和不可复制性，被复制的银行卡不能被交易系统排除，存在一定安全隐患，能够认定银行在合同履行过程中存在未尽到安全保障义务的违约行为，故翼城支行应当赔付黄某、景某由此而造成的损失。

第三，翼城支行主张交易行疏于对其自动终端设备管理及维护，亦存在过错，应承担相应责任。黄某、景某主张其与交易行无直接合同关系，交易行不应承担责任。本院认为，本案涉及的是二者因储蓄合同关系引发的纠纷，交易行非合同的一方当事人，依照合同相对性的基本原则，对交易行是否应承担责任本案不予评判。在没有证据证明黄某、景某与他人恶意串通损害银行的利益前提下，翼城支行应当先行向黄某、景某承担赔偿责任，在承担违约赔偿责任后，银行可依法向实际侵权人追偿。

一、双方之间存在储蓄存款合同关系，任何一方都应本着诚实信用原则履行自己的义务。保障原告账户资金安全系被告应尽的义务之一，否则应承担相应的违约责任。

二、银行作为金融机构对自己的服务设施、设备的性能和经营场所等情况未对储户信息尽到安全保障义务，当不法分子在银行的ATM机上动手脚时，银行应及时采取必要措施防止储户的信息的泄露。银行因疏于管理，对来自外部的不法侵害不能及时发现并制止危害继续发生，导致储户利益受损，理应承担相应责任。

三、关于本案中储蓄合同约定“凡使用密码进行的交易，被告均视为原告的本人所为”的条款是格式条款，该格式条款显失公平，应当认定无效。本律师认为，作为合同双方的发卡行和储户，各自都负有安全保障义务和密码保管义务。在原告方尽职保管银行借记卡安全的同时，银行作为交易参与方亦应当承担识别交易相对方身份的义务。银行不能因他人的不法行为导致储户存款被盗取而拒绝承担赔偿责任。

本案中反映了现实生活中遇到的需要高度重视的安全问题，人们防范意识不强，致使不法分子有机可乘。当下信息时代，日益猖獗的木马、形形色色的钓鱼网站以及网络犯罪的规模化、集团化、使得普通用户更需要了解并掌握一些必要的防范措施。

银行卡持有人的安全意识是影响网络银行安全性不可忽视的重要因素。储户的唯一身份标识就是银行签发的“数字证书”。目前，我国银行卡持有人安全意识普遍较弱，不知义密码保密，或将密码设为自己的生日等易被猜测的数字，一旦卡号和密码被他人窃取或猜出，用户账号就可能在网上被盗用。例如进行购物消费等，从而造成损失，而银行技术手段对此却无能为力。或是有不法分子通过电子邮件冒充知名公司，特别是冒充银行，以系统升级等名义骗取不知情的储户点击进入假网站，并要求他们同时输入自己的账号、网络银行登录密码、支付密码等敏感信息；或利用网络聊天、低价兜售网络游戏设备、数字卡等商品，诱骗用户登录其提供的假网站地址，输入银行账号、登录密码和支付密码；或通过手机短信等方式实施诈骗，一旦客户进入“中毒”的计算机登录网络银行，用户的账号和密码就有可能被不法分子窃取。因此一些银行规定：储户必须持合法有效的证件到银行柜台签约才能使用“网络银行”进行转账支付等，以保障储户的资金安全。另一种情况是，储户在公用的计算机上使用网络银行，可能会使数字证书等机密资料落入他人之手，从而直接使网上身份识别系统被攻破，网上账户被盗用。为了防止储户信息被不法分子窃取，银行方面对每一个储户提供电子证书来提高账户的安全性，建议储户也应当尽量选用这样的方式操作。