使用“翻墙”软件导致信用卡被盗刷谁来负责(信用卡翻墙盗刷法律责任认定)

使用“翻墙”软件导致信用卡被盗刷的法律责任应当如何认定？本文以一起使用“翻墙”软件访问境外网站并进行交易后信用卡被盗刷的案件为例，对相关法律责任认定问题浅作分析。

一、案例介绍

王某曾在广州A银行处申领过一张具有跨境交易功能的信用卡。该卡背面持卡人签名处有王某的签名，紧邻签名栏处有一组三个数字构成的CVV码。2020年3月12日，王某浏览境外网站并下载付费资料，使用该信用卡向某机构支付了48美元。2020年9月13日，王某收到一条手机短信，短信称该信用卡在2020年9月13日22时12分发生一笔金额为6888美元（折合人民币47 151.12元）的境外预授权/消费。王某并未使用该信用卡进行消费，遂拨打A银行客服电话申请对该信用卡作挂失处理，并于当日收到短信称“您的信用卡于2020年9月13日22时34分成功挂失，卡片即时停用”。王某认为该笔消费存在信用卡被盗刷问题，遂继续与A银行沟通，A银行向王某提供了消费明细及附件。2020年9月15日，王某将A银行告上法庭，要求被告A银行偿还原告王某被盗刷款47 151.12元及利息，并承担本案诉讼费。

本案中，双方对被告A银行是否已履行安全保障义务存有争议。王某主张：其通过“翻墙”软件即VPN服务访问某国一家学术期刊网站，试用该网站一个月的会员服务后在2020年3月12日购买了包年会员服务，付费网站为中文网站，其在交易前确认过付款链接是安全的；2020年9月13日，其收到信用卡消费预授权的冻结短信就立即致电被告A银行客服要求停止支付款项、挂失信用卡，客服告知其只是预授权消费，款项尚未划出并已挂失信用卡，但是其在两天后收到被扣款47 151.12元的交易短信提醒；该信用卡消费账单显示的顾客姓名不是其本人，且购买商品时的IP地址位于上海，这足以证明该交易不是本人操作；A银行没有尽到安全保障义务，导致其交易信息被泄露，且在卡片挂失后没有及时止付导致款项被刷走，A银行应当承担相应责任。

对于王某的主张，A银行不予认可，并主张：在接到王某电话后，客服于2020年9月14日向某国际卡组织申请调单以及差错处理，某卡组织核实后认为此次交易属于王某本人的交易，没有进行拒付；卡片背面持卡人签名栏后面的三位数字是CVV校验码，交易时需要输入卡号及CVV码，无需密码，交易发生过程为持卡人同意发卡机构按付款指令将交易款项支付至收单机构处，代商户确认订单完成即可入账扣款，预授权不可撤销，商户在冻结款项后逾期向银行发起扣款申请才会取消交易；王某使用“翻墙”软件访问境外网站导致交易环境不安全，违反信用卡领用合约明示的信用卡安全管理要求，存在重大过错。

法院认为，本案中，原告王某确认曾使用“翻墙”软件访问境外商户网站并使用案涉信用卡付款。《中华人民共和国计算机信息网络国际联网管理暂行规定》(以下简称《规定》)第六条规定：“计算机信息网络直接进行国际联网，必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。”即我国境内的计算机信息网络直接进行国际联网，必须使用国家公用电信网提供的国际出入口信道。在案发前半年，王某曾通过“翻墙”软件访问境外商户网站并两次使用案涉信用卡进行付款交易。在境外网站注册会员时，付款链接即便为中文，付款时也应当谨慎注意。王某通过邮电部国家公用电信网提供的国际出入口信道外的其他渠道即“翻墙”软件访问境外网站，本身就不符合互联网访问规定，尽管实践中使用“翻墙”软件访问互联网的现象并不少见，但不能因此认定其合法合理。原告王某不仅使用“翻墙”软件访问境外网站，还单方认为交易链接是安全的，从而输入信用卡卡号、CVV码，导致个人敏感信息存在被泄露、非法存储的风险，进而产生资金交易风险。根据双方签订的信用卡领用合约，在未受安全保护的互联网使用信用卡的，产生的损失应由原告自行承担，故法院判决驳回原告王某的全部诉讼请求。

二、法律评析

所谓“翻墙”是指互联网用户通过正规渠道无法访问特定网站，需要绕过相应的IP封锁、内容过滤、域名劫持、流量限制等才能实现对该网站内容的访问。“翻墙”技术手段的实现主要依靠两类软件：一类是VPN类“翻墙”软件，另一类是SSR类“翻墙”软件。根据《计算机信息网络国际互联网安全保护办法》《规定》《中国公用计算机互联网国际互联网管理办法》相关规定，“翻墙”行为可能涉嫌违法。

使用“翻墙”软件时，发送与接收的数据都会通过软件提供商的机器，容易造成持卡人银行卡交易密码及其他身份认证信息被泄露。一般观点认为，身份认证要素是指在电子银行交易中银行用于识别持卡人身份的信息要素，如客户号（用户昵称、证件号码等）、密码、电子证书、USBKey、动态口令、签约设置的主叫电话号码、签约设置的手机SIM卡或UIM卡等。持卡人的身份认证要素是银行在提供电子银行服务过程中识别持卡人身份的依据，持卡人必须妥善保管，不得将身份认证要素提供给任何第三方（包括银行工作人员）或交于任何第三方（包括银行工作人员）使用。使用上述身份认证要素发出的交易指令或完成的交易操作均视为持卡人本人所为，持卡人应对由此产生的后果负责。

本案中，持卡人王某提出在案发时本人在广州市而IP地址显示位于上海，并及时通知挂失，并无责任。但在案发后，A银行已经积极履行调查、核实交易背景的义务，且该次交易扣款权限在于某卡组织而非A银行，A银行并无止付权限。王某主张涉案交易并非本人操作，但使用“翻墙”软件时IP地址是虚拟地址，且商户提供的包括此前的交易记录、在商户留存的个人信息等证据均证明涉案交易由持卡人本人操作，在王某没有任何证据证明其信用卡遭到盗刷的情况下，A银行对已经进行预授权的款项最终被划扣至商户的事实不存在过错。

上述案例表明，通过“翻墙”软件访问境外网站，容易造成信用卡敏感信息被泄露，持卡人如果不符合信用卡领用合约的规定，在未受安全保护的环境下使用信用卡，需要承担因信用卡被盗刷而产生的相应后果。

作者：广东省中山市中级人民法院 李世寅 李紫馨
本文刊于《中国信用卡》2022年第8期 责任编辑：谢香玲