近日，读者蒋丽萍向本报反映，她所在的公司为了方便，在一家商业银行为员工办理了银行卡，用于发放工资。三个月前，她到该银行查询时，意外发现自己的银行卡被他人在外省刷卡消费交易11次，共计支出43041.32元。

蒋丽萍说，她并未在该银行办理与第三方支付机构建立关联的业务，公安机关也不能查实她有监守自盗、指示他人恶意串通消费或其他重大过失，该银行同样不能证明她具有相应嫌疑。因此，她要求该银行赔偿，但遭到拒绝。

银行拒绝赔偿的理由是：本案是在银行卡密码、银行卡关联手机号、网络短信验证码、身份证号等重要信息被泄露后，通过第三方支付平台被他人实现消费的，因此，她无权要求其重复支付。

她想知道银行这个说法是否正确？是不是符合法律规定？

说法

银行的理由不能成立，其必须对蒋丽萍承担相应的赔偿责任。其原因是：

一方面，本案银行存在过错。

在银行卡开通快捷支付的情况下，只需要提供银行卡卡号、户名、手机号码等信息，第三方支付发送手机动态口令到客户手机号上，客户输入后即可完成支付，即无需输入银行卡密码。

正因为如此，为维护客户利益，中国银监会、中国人民银行《关于加强商业银行与第三方支付机构合作业务管理的通知》第三条规定：“客户银行账户与第三方支付机构首次建立业务关联时，应经双重认证，即客户在通过第三方支付机构认证的同时，还需要通过商业银行的客户身份鉴别。账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份，明确双方权利与义务。”

上述通知第四条规定：“商业银行通过电子渠道验证和辨别客户身份，应采用双（多）因素验证方式对客户身份进行鉴别，对不具备双（多）因素认证条件的客户，其任何账户不得与第三方支付机构建立业务关联。”

依据以上规定，银行应当意识到银行卡与第三方支付建立关联业务的风险，并通过双（多）因素认证加以避免。可是，本案中，蒋丽萍并未在本案银行办理与第三方支付机构建立关联业务，所以，更谈不上涉案银行在首次建立业务关联时已经完成了客户身份鉴别工作。

另一方面，涉案银行应当承担赔偿责任。

《非银行支付机构网络支付业务管理办法》第十条第（二）项规定：“银行应当事先或在首笔交易时自主识别客户身份并与客户直接签订授权协议，明确约定扣款适用范围和交易验证方式，设立与客户风险承受能力相匹配的单笔和单日累计交易限额，承诺无条件全额承担此类交易的风险损失先行赔付责任。”

在公安机关不能查实蒋丽萍有监守自盗、指示他人恶意串通消费或其他重大过失，且涉案银行也不能证明其具有相应嫌疑的情况下，作为负有保障储户资金安全、正确结算、甄别客户身份义务的涉案银行，必须为技术漏洞而发生银行卡被盗刷所造成的损失买单。

廖春梅 法官