蔡某于今年五月的一天在路边停车时，被罪犯汪成楠等四人劫持。罪犯通过搜身，劫得蔡某身上现金850元、价值21177元的手表一只及信用卡六张，并用威胁手段逼得该些信用卡的密码。随后，罪犯继续控制住蔡某，先后在几家银行的ATM机上取得现金49200元。次日8时许，罪犯汪成楠至金某个体经营的宁波市鄞州邱隘金凤珠宝店，以劫得的鄞州银行、中国银行两张信用卡及密码刷卡购得价值78670元的黄金项链3条、黄金手链2条和黄金戒指2枚，并以“刘明”的名义在两份POS签购单上持卡人签名处签名。此后，蔡某被弃于他处。后四罪犯被相继抓获，共追回现金15040元、合计价值50706元的黄金项链2条、黄金手链2条和黄金戒指2枚，其中1条价值8013元的黄金项链系罪犯汪成楠所有并自愿退赔给蔡某，其余价值42693元的金饰均系罪犯从金某处刷卡购得。上述款物均已发还蔡某，其余现金和实物已被挥霍无法追缴。

  蔡某向法院起诉称：POS签购单上持卡人签名为“刘明”，而当时原告在该两张信用卡背面均有原告本人的预留签名，被告金某未审查该持卡人签名与信用卡预留签名是否一致，也未对持卡人的身份证进行核对审查，对持卡人的不正常消费行为未采取严格的审查措施，导致原告经济损失，该责任在被告，请求法院判令被告赔偿原告经济损失78670元。

  被告金某答辩称：原告被盗刷的两张信用卡均是凭密码消费，而不是凭签名消费，故原告经济损失与被告无关。案发后，公安机关已经追回部分赃物、赃款，因此原告实际的经济损失不足78670元。

  宁波市鄞州区人民法院经审理认为：被告作为银联卡的特约商户，按照中国人民银行《支付结算办法》以及银联公司与特约商户的受理协议书的规定、约定，在受理银联信用卡时，负有核对持卡人在交易凭证上的签字与信用卡签名条上的签字、信用卡正面的拼音姓名是否一致的合理审查义务。而在本案中，罪犯持抢劫所得的信用卡至被告处刷卡购买黄金饰品，消费金额及消费时间均异于普通人，持卡人在POS签购单上的签名与信用卡背面的预留签名以及卡正面的姓名拼音明显不符，应认定被告未尽到合理审查义务，对于原告因此而造成的损失，被告应当承担责任。但基于原告被抢的信用卡均属凭密码消费，且其在罪犯的威胁之下告知了消费密码，故可适当减轻被告的赔偿责任。原告被抢信用卡在被告处刷卡消费的金额为78670元，但后追回并发还原告的金饰价值合计42693元应当在损失中扣除，罪犯自愿退赔的黄金项链，可按8013元评估价以刷卡消费额占全部损失的比例予以折算扣减。对于原告信用卡消费损失的金额，本院确定为31810元。结合被告的过错和原告披露密码的因素，本院认定被告对原告的损失承担60％的赔偿责任即19086元。故一审判决：被告金某赔偿原告蔡某经济损失19086元。

  二、“密码”与“签名”确认的法律效力

  私人密码在储户设定后由系统对密码进行加密后传输到ABIS后台数据库中，私人密码具有私有性、唯一性、秘密性的特点。在规范的电子化银行业务自动交易系统中，私人密码不仅在操作员的电脑中看不出，即使到银行中心机房也无法查到。除非因各种原因泄密，否则他人无法知晓。私人密码的使用表明对交易者身份的鉴别及对交易内容的确认，从而起到数字签名的功能。正因如此，私人密码的使用效力规则是“本人行为原则”。所谓本人行为原则，是指只要客观上在电子化银行交易中使用了私人密码，如无免责事由，则视为交易者本人使用私人密码从事了交易行为，本人对此交易应承担相应的责任。

  许多银行把这一原则规定在银行卡章程之中，如牡丹卡章程规定：“凡使用密码进行的交易，发卡机构均视为持卡人本人所为。”龙卡章程规定：“持卡人不得将本人龙卡密码告知他人，若密码遗失，发卡机构可协助持卡人防范风险，但可能发生的损失由持卡人自负。”太平洋卡章程规定：“持卡人须对个人密码自行保密，否则，密码泄露所造成的损失全部由持卡人承担。”

  本案原告被抢的信用卡均属凭密码消费，原告在受到威胁之下，将信用卡密码泄露给犯罪分子，应当承担泄露密码的相应责任。

  但是，消费者持卡进行消费时，银联卡特约商户有对“持卡人”身份进行核实的义务，即确认持卡消费的人是否是经发卡人同意而合法使用信用卡的人。如中行要求：特约商户对信用卡、持卡人出示的身份证和持卡人本人进行核对（或彩照信用卡与持卡人本人），确认同一性后，持卡人方可刷卡消费。消费者在消费结账时应该检查签购单上记载金额是否正确，确认无误后方可在签购单上签名。签购单上的签名要与长城卡背面的签名相同。其他银行也有类似的规定。

  从这些规定来看，银联卡特约商户应当通过持卡人的身份证件，根据银联卡上姓名拼音和签名与身份证姓名的一致性、身份证照片与持卡人形象的一致性，或银联卡上照片与持卡人形象的一致性，签购单与信用卡上签名的一致性，来确认持卡人合法身份。而特约商户对持卡人形象的对比事后无法留下证据，签购单上的持卡人签名则是确认持卡人身份的证据。在国际上信用卡的使用惯例也是以“签名制”确认身份。

  当然，我们不能苛求特约商户具有笔迹鉴定专家一样的专业辨别能力，要求他们去履行所谓的“专家注意义务”，但也不能等同于普通人的“一般注意义务”，而应当是一种与收银员职业要求相符的善良管理人的“合理注意义务”。本案犯罪分子持卡消费的时间是上午八点，一次性刷卡金额达七万余元，消费金额及消费时间均异于普通人，在这种情况下被告更应该仔细审查核对持卡人身份，而本案POS签购单上签名为“刘明”，这与信用卡背面的预留签名以及卡正面的姓名拼音明显不符，因此，被告未尽到合理的审查义务，存在一定的过错。

  三、两种确认方式并存下的责任负担

  无论是“密码制”还是“签名制”确认，信用卡的使用都是有一定的风险的。用“签名制”确认身份，首先签名应当具备非常高的特殊性和难模仿性，这一点是很难做到的，目前各信用卡章程也都只是要求“持卡人”的签名与信用卡上的签名一致，即样式的相近，而没有要求签名的样式具有特殊性。银联卡特约商户对签名的肉眼判决，只能限于签名字体结构、笔画走势等一般特征。

  因为“签名制”确认的这些缺陷，使“密码制”确认得到了长足的发展。但是因为种种原因，密码泄露的几率很高，产生的风险也很大。近期在国内发生了多起犯罪分子通过在自助银行网点门口刷卡处安装读卡器、在柜员机上安装摄像装置方式窃取储户卡号及密码的案件，在北京街头甚至出现了专门套取客户卡号和密码的假的ATM机，这使得银行卡交易的隐私性与安全性大大降低。

  由于法律对于这种风险的分配与责任的负担没有真正的明确与协调，往往使持卡人所承担的风险过重，特别是在私人密码使用为“本人行为原则”的前提下，一切“注意义务”都转嫁到了持卡人身上，从而使发卡人和银联卡特约商户对减少风险无法产生有效的激励，以尽量降低这些风险。特别是在“密码制”确认方式已经逐渐成为人们使用银联卡交易的习惯方式之后，实践中很多银联卡特约商户在交易时根本就不核对持卡人的签名和信用卡上的签名是否一致，也很少有商户让持卡人出示身份证对持卡人的身份进行确认，而只是关注POS机的密码确认是否正确。

  私人密码使用即为“本人行为原则”成立有一个前提，就是现有技术可保证其安全性超过传统交易方式，但就目前来说密码技术尚不够成熟，在其安全性无法得到充分保障的情况。私人密码使用即为“本人行为原则”的适用应当受到一定的限制。

  信用卡消费交易的过程是，持卡人在特约商户进行消费，发卡人向特约商户支付价款，持卡人再向发卡人还款。这一过程存在三个法律关系，一是持卡人和特约商户之间的消费关系，二是发卡人和持卡人之间的消费信贷和委托付款关系，三是发卡人和特约商户之间的委托受理和承诺付款关系。

  因为持卡人在签购单上签名之前，已经通过了POS机密码确认，委托付款已经完成，所以也有观点认为持卡人在POS机签购单的“签名”，只是银联卡特约商户用以证明自己已经向持卡人提供了商品或服务，并不起到对持卡人身份进行确认的作用。

  笔者认为这种观点是不正确的，且不说国际上信用卡使用惯例完全是以签名确认身份，如果此种说法成立的话，那么就意味着，自POS机验证密码成功之后，持卡人与另外两方的法律关系已经完成，银联卡特约商户“核对持卡人在交易凭证上的签字与信用卡签名条上的签字、信用卡正面的拼音姓名是否一致”已不再一种义务，而是银联卡特约商户为保护自己能得到发卡行支付消费款项而已。这显然会使信用卡使用的风险加大。

  所以，签名不仅是持卡人交易意思表示的证明，也是银联卡特约商户确认持卡人真实身份的证据。这样，刷卡消费实际上存在着“签名制”与“密码制”的双重确认。如果银联卡特约商户没有尽到合理的审查义务，造成持卡人损失的，应承担相应的赔偿责任。当然，如果密码泄露是持卡人所为，可适当减轻特约商户的赔偿责任，如有证据证明密码泄露是发卡行操作系统不符合保密安全要求，则应由发卡行与银联卡特约商户共同承担赔偿责任。