使用“翻墻”軟件導致信用卡被盜刷的法律責任應當如何認定？本文以一起使用“翻墻”軟件訪問境外網站并進行交易后信用卡被盜刷的案件為例，對相關法律責任認定問題淺作分析。

王某曾在廣州A銀行處申領過一張具有跨境交易功能的信用卡。該卡背面持卡人簽名處有王某的簽名，緊鄰簽名欄處有一組三個數字構成的CVV碼。2020年3月12日，王某瀏覽境外網站并下載付費資料，使用該信用卡向某機構支付了48美元。2020年9月13日，王某收到一條手機短信，短信稱該信用卡在2020年9月13日22時12分發生一筆金額為6888美元（折合人民幣47 151.12元）的境外預授權/消費。王某并未使用該信用卡進行消費，遂撥打A銀行客服電話申請對該信用卡作掛失處理，并于當日收到短信稱“您的信用卡于2020年9月13日22時34分成功掛失，卡片即時停用”。王某認為該筆消費存在信用卡被盜刷問題，遂繼續與A銀行溝通，A銀行向王某提供了消費明細及附件。2020年9月15日，王某將A銀行告上法庭，要求被告A銀行償還原告王某被盜刷款47 151.12元及利息，并承擔本案訴訟費。

本案中，雙方對被告A銀行是否已履行安全保障義務存有爭議。王某主張：其通過“翻墻”軟件即VPN服務訪問某國一家學術期刊網站，試用該網站一個月的會員服務后在2020年3月12日購買了包年會員服務，付費網站為中文網站，其在交易前確認過付款鏈接是安全的；2020年9月13日，其收到信用卡消費預授權的凍結短信就立即致電被告A銀行客服要求停止支付款項、掛失信用卡，客服告知其只是預授權消費，款項尚未劃出并已掛失信用卡，但是其在兩天后收到被扣款47 151.12元的交易短信提醒；該信用卡消費賬單顯示的顧客姓名不是其本人，且購買商品時的IP地址位于上海，這足以證明該交易不是本人操作；A銀行沒有盡到安全保障義務，導致其交易信息被泄露，且在卡片掛失后沒有及時止付導致款項被刷走，A銀行應當承擔相應責任。

對于王某的主張，A銀行不予認可，并主張：在接到王某電話后，客服于2020年9月14日向某國際卡組織申請調單以及差錯處理，某卡組織核實后認為此次交易屬于王某本人的交易，沒有進行拒付；卡片背面持卡人簽名欄后面的三位數字是CVV校驗碼，交易時需要輸入卡號及CVV碼，無需密碼，交易發生過程為持卡人同意發卡機構按付款指令將交易款項支付至收單機構處，代商戶確認訂單完成即可入賬扣款，預授權不可撤銷，商戶在凍結款項后逾期向銀行發起扣款申請才會取消交易；王某使用“翻墻”軟件訪問境外網站導致交易環境不安全，違反信用卡領用合約明示的信用卡安全管理要求，存在重大過錯。

法院認為，本案中，原告王某確認曾使用“翻墻”軟件訪問境外商戶網站并使用案涉信用卡付款?！吨腥A人民共和國計算機信息網絡國際聯網管理暫行規定》(以下簡稱《規定》)第六條規定：“計算機信息網絡直接進行國際聯網，必須使用郵電部國家公用電信網提供的國際出入口信道。任何單位和個人不得自行建立或者使用其他信道進行國際聯網?！奔次覈硟鹊挠嬎銠C信息網絡直接進行國際聯網，必須使用國家公用電信網提供的國際出入口信道。在案發前半年，王某曾通過“翻墻”軟件訪問境外商戶網站并兩次使用案涉信用卡進行付款交易。在境外網站注冊會員時，付款鏈接即便為中文，付款時也應當謹慎注意。王某通過郵電部國家公用電信網提供的國際出入口信道外的其他渠道即“翻墻”軟件訪問境外網站，本身就不符合互聯網訪問規定，盡管實踐中使用“翻墻”軟件訪問互聯網的現象并不少見，但不能因此認定其合法合理。原告王某不僅使用“翻墻”軟件訪問境外網站，還單方認為交易鏈接是安全的，從而輸入信用卡卡號、CVV碼，導致個人敏感信息存在被泄露、非法存儲的風險，進而產生資金交易風險。根據雙方簽訂的信用卡領用合約，在未受安全保護的互聯網使用信用卡的，產生的損失應由原告自行承擔，故法院判決駁回原告王某的全部訴訟請求。

所謂“翻墻”是指互聯網用戶通過正規渠道無法訪問特定網站，需要繞過相應的IP封鎖、內容過濾、域名劫持、流量限制等才能實現對該網站內容的訪問?！胺瓑Α奔夹g手段的實現主要依靠兩類軟件：一類是VPN類“翻墻”軟件，另一類是SSR類“翻墻”軟件。根據《計算機信息網絡國際互聯網安全保護辦法》《規定》《中國公用計算機互聯網國際互聯網管理辦法》相關規定，“翻墻”行為可能涉嫌違法。

使用“翻墻”軟件時，發送與接收的數據都會通過軟件提供商的機器，容易造成持卡人銀行卡交易密碼及其他身份認證信息被泄露。一般觀點認為，身份認證要素是指在電子銀行交易中銀行用于識別持卡人身份的信息要素，如客戶號（用戶昵稱、證件號碼等）、密碼、電子證書、USBKey、動態口令、簽約設置的主叫電話號碼、簽約設置的手機SIM卡或UIM卡等。持卡人的身份認證要素是銀行在提供電子銀行服務過程中識別持卡人身份的依據，持卡人必須妥善保管，不得將身份認證要素提供給任何第三方（包括銀行工作人員）或交于任何第三方（包括銀行工作人員）使用。使用上述身份認證要素發出的交易指令或完成的交易操作均視為持卡人本人所為，持卡人應對由此產生的后果負責。

本案中，持卡人王某提出在案發時本人在廣州市而IP地址顯示位于上海，并及時通知掛失，并無責任。但在案發后，A銀行已經積極履行調查、核實交易背景的義務，且該次交易扣款權限在于某卡組織而非A銀行，A銀行并無止付權限。王某主張涉案交易并非本人操作，但使用“翻墻”軟件時IP地址是虛擬地址，且商戶提供的包括此前的交易記錄、在商戶留存的個人信息等證據均證明涉案交易由持卡人本人操作，在王某沒有任何證據證明其信用卡遭到盜刷的情況下，A銀行對已經進行預授權的款項最終被劃扣至商戶的事實不存在過錯。

上述案例表明，通過“翻墻”軟件訪問境外網站，容易造成信用卡敏感信息被泄露，持卡人如果不符合信用卡領用合約的規定，在未受安全保護的環境下使用信用卡，需要承擔因信用卡被盜刷而產生的相應后果。

作者：廣東省中山市中級人民法院 李世寅 李紫馨
本文刊于《中國信用卡》2022年第8期 責任編輯：謝香玲