帐号密码因黑客攻击被盗,损失由谁承担?
编辑:陈志群律师 来源:上海法律网 点击进入:法律咨询热线
一、裁判文书:
上诉人(原审原告)北京甲科技有限公司。
法定代表人邢某,董事长。
被上诉人(原审被告)北京乙信息技术有限公司。
法定代表人唐某,总裁。
上诉人北京甲科技有限公司(以下简称甲公司)因与被上诉人北京乙信息技术有限公司(以下简称乙公司)网络服务合同纠纷一案,不服北京市朝阳区人民法院(2008)朝民初字第33827号民事判决,向本院提起上诉。本院于2009年5月25日受理后,依法组成由法官闫飞担任审判长,法官李琴、李晶雪参加的合议庭审理了本案。本案现已审理终结。
甲公司在一审中起诉称:甲公司是一家主营软件业务的电子商务商,在网站上经营游戏点卡和手机充值卡销售业务。乙公司是一家电子支付应用和服务的提供商。2005年5月11日,甲公司与乙公司签订了《YeePay电子支付平台接入服务协议》。根据该协议,乙公司的主要义务是提供资金交易平台YeePay,客户在甲公司购买物品通过该支付平台进行付款,乙公司应提供安全加密身份认证、提供网上安全支付服务、提供安全技术支持。但乙公司没有尽到协议中约定的上述义务,其加密技术与交易程序设计存在明显漏洞,致使甲公司在其支付平台上价值17.9万元的游戏充值点卡被他人利用黑客手段盗取。乙公司的技术漏洞包括:1、没有做到对每日累计交易限额的限制;2、退款程序设计有问题,没有设计退款前提、缺少对退款次数和金额的限定,退款时没有满足约定的账存资金数额;3、没有进行有效的身份认证;4、没有采用移动证书方式;5、没有建立及时有效的网上交易实时监控与危险提示机制;6、黑客可以通过技术手段解决,从未避免或克服。综上,甲公司认为乙公司的上述行为构成违约,故起诉要求乙公司赔偿甲公司经济损失17.9万元。
乙公司在一审中答辩称:2005年5月11日与乙公司签约的是北京丙数字科技有限公司(简称丙公司),有效期至2006年5月10日止,根据协议约定期满后自动顺延至2007年5月11日。但2006年9月6日因丙公司名称变更为甲公司,故乙公司与甲公司重新签订了修改后的《YeePay易宝支付服务协议》。根据该协议约定,甲公司的义务是按网上支付交易额向乙公司缴纳手续费,并应妥善保管商户密码,因其商户号和密码保管及使用不当造成的经济损失,乙公司概不负责。同时,协议还对目前国内电子商务面临的风险及网络犯罪可能给甲公司造成的损失进行了说明,甲公司同意自行承担由此产生的经济损失。双方第二份协议中并没有约定乙公司负有安全加密和身份认证义务、安全支付服务及安全技术支持义务,法律和行政法规也没有要求乙公司需要承担该义务。甲公司的商户号及密码被黑客盗取后,乙公司积极协助报案和侦破,并使案件顺利告破。乙公司已经完全履行了应尽义务,甲公司的损失是其自身缺乏风险意识,疏于防范所致。甲公司提出的所谓漏洞,没有法律依据,也不是协议中约定的我方义务。因此,乙公司不同意甲公司的诉讼请求。
一审法院审理查明:2005年5月10日,丙公司(甲方)与乙公司(乙方)签订《YeePay电子支付平台接入服务协议》(简称协议一),合同编号PC20050510A0055。该协议约定:乙方在互联网上搭建支付服务平台,甲方通过乙方支付服务平台在互联网上受理人民币银行卡进行支付的商务交易;甲方向乙方支付单笔交易额1.0%的手续费,服务期限12个月,自2005年5月11日至2006年5月10日止,协议期满前后如双方中没有任何一方向协议对方书面提出终止本协议的通知,则协议自动顺延一年;乙方根据协议为甲方提供下列服务:1.安全加密和身份认证;2.提供网上安全支付服务;3.提供安全技术支持;4.向甲方提供其在网上支付结算的相关信息查询服务;乙方的权利义务中约定,乙方要准确、实时地将甲方发来的网上支付交易请求传递给银行,并将银行对该支付请求的应答及时、安全、保密地传递给甲方,乙方对其支付服务平台的支付接入系统中信息传递过程的安全、保密、实时性负责,承担且仅承担因此项原因造成的直接经济损失;甲方的权利义务中约定,甲方应妥善保管商户号及商户密码,因甲方商户号和密码保管及使用不当造成的经济损失,责任由甲方承担;风险说明中约定,目前国内电子商务环境尚未成熟,其电子商务立法,以及信用体制还不完善,在这种情况下,甲方作为商户在开展电子商务业务时存在一定的风险性,如:有些不法分子盗用他人银行卡通过网络进行活动,或持卡人拒绝付款等恶性支付事件等,会给商户造成直接经济损失。
该协议期满后,双方均未提出终止,故顺延一年。在顺延期内,丙公司于2006年5月12日经核准名称变更为甲公司。
2006年9月15日,乙公司(乙方)与甲公司(甲方)又签订了《YeePay易宝支付服务协议》(简称协议二),合同编号:PC20050510A0055(补)。该协议中甲方选择的服务内容编号为YP02,电话支付服务。协议二约定:甲方应妥善保管商户号及商户密码,因甲方商户号和密码保管及使用不当造成的经济损失,乙方概不负责;当甲方向乙方提出退款请求时,甲方在乙方账户中应有足够退款的账存资金,或者甲方把相应的退款金额转账至乙方账户,乙方收到该款项后向消费者做出退款处理;退款时,乙方原则上不接受消费者的直接指令,乙方有权将消费者的指令转给甲方,并由甲方自行进行处理;风险说明约定,目前国内电子商务环境尚未成熟,其电子商务立法,以及信用体制还不完善,在这种情况下,甲方作为商户在开展电子商务业务时存在一定的风险性,会给商户造成直接经济损失,甲方完全知晓上述风险,并愿意自行承担由此产生的经济损失;协议终止日期为2007年9月7日,终止日期前一个月内双方均未提出书面异议,合同顺延一年。
就协议二,甲公司提出是基于其需要增加电话支付服务这项业务,在协议一的前提下就此补充的协议。而乙公司则提出是因丙公司名称变更而重新签订的服务协议,内容既包括协议一中的在线支付服务,同时增加了电话支付服务。但就协议二中没有涉及到在线支付服务内容,以及合同编号中出现“(补)”字,乙公司未能做出合理解释。
乙公司的YeePay易宝电子支付平台系统经国家信息安全认证取得了信息系统安全认证证书,企业信用等级评定为AAA级。
2007年3月28日,甲公司在YeePay易宝支付平台的账户被黑客攻击。北京市海淀区人民法院针对黑客做出的刑事判决书查明:李东生于2007年3月28日凌晨,经事先预谋,由其负责在南京市“菜鸟行”网吧内租用电脑,配合他人远程访问操作该电脑,利用该电脑访问甲公司星空平台,进行网上购买网络游戏充值点卡的操作,在交易成功后,再利用黑客手段,登陆甲公司YeePay支付平台下的管理帐号,将已支付货款退回。李东生伙同他人反复进行上述操作,共窃取各类网络游戏充值点卡2073张,价值39 153.52元。北京市海淀区人民法院一审判处被告人李东生有期徒刑7年,罚金人民币1万元,剥夺政治权利1年;判处被告人王大伟有期徒刑1年3个月,罚金人民币2000元;在案扣押的人民币3000元发还甲公司;责令被告人李东生退赔人民币36 153.52元发还甲公司。该判决结果经二审维持已经生效。现甲公司认可只收到了3000元。
一审诉讼中,双方均认可涉案行为均属在线支付业务。甲公司还认可退款程序是客户向其提出退款申请,其认为可以退款的则向乙公司发出退款指令,乙公司据此退款。
一审法院判决认定:协议一和协议二,均基于甲公司与乙公司的真实意思表示而签订,其内容亦不违反法律、行政法规的强制性规定,均属合法有效。就两份协议书的关系,甲公司和乙公司存在不同理解,就此该院认为,1、该两份协议中涉及的服务内容不同,协议一是有关在线支付服务的约定,而协议二是有关电话支付服务的约定;2、协议二的合同编号同样沿用协议一的合同编号,只在编号最后用括号标注了“(补)”字;3、协议二签订时协议一仍在有效期内。综合上述三点,该院认为该两份协议应为针对不同服务内容同时存在的两份协议。乙公司关于协议二取代协议一的理解,该院不予采信。
但由于双方当事人均认可涉案服务均属在线服务业务,故判断乙公司是否违约,应以协议一的约定作为判断标准。
根据协议一的约定,乙公司的服务内容是为甲公司提供:1.安全加密和身份认证;2.提供网上安全支付服务;3.提供安全技术支持;4.向甲方提供其在网上支付结算的相关信息查询服务。甲公司主张乙公司的违约主要体现在所提供的在线支付是否安全。就乙公司提供的在线支付是否安全,属于服务的质量要求。根据我国合同法的规定,质量要求不明确的,按照国家标准、行业标准履行;没有国家标准、行业标准的,按照通常标准或者符合合同目的的特定标准履行。现双方就具体的“安全”的标准在协议一中并未做出约定,目前也没有关于在线支付服务的国家标准、行业标准,故判断乙公司提供的在线支付服务是否安全,应按照通常标准及合同目的进行判断。本案中,甲公司账户损失是基于犯罪行为,而双方在协议一中就风险进行了明确说明。根据风险说明的内容,犯罪行为应涵盖在该项业务的风险之中,乙公司对此不应承担责任。况且,刑事案件中认定的事实是:犯罪分子是通过“访问北京市甲科技有限公司星空平台,进行网上购买网络游戏充值点卡的操作,在交易成功后,再利用黑客手段,登陆北京市甲科技有限公司在yeepay支付平台下的管理帐号,将已支付货款退回”实施的犯罪行为,与乙公司自身的系统安全性无关。而且,甲公司认可退款程序需要客户先向其提出退款申请,其认为可以退款后才会向乙公司发出退款指令。因此,根据现有证据,不能证明乙公司存在违约行为。甲公司据此提出的诉讼请求,该院不予支持。
但同时,因目前国内电子商务环境尚未成熟,信用体制还不完善,在此情况下,乙公司作为从事在线支付服务的经营者,应当尽量完善自身的服务水平,为客户提供更安全的在线支付服务。就此,该院将另行向乙公司提出司法建议。
综上,依据《中华人民共和国合同法》第六十二条第(一)项,《中华人民共和国民事诉讼法》第六十四条第一款之规定,判决:驳回甲公司的诉讼请求。
甲公司不服一审法院上述民事判决,向本院提起上诉。其主要上诉理由是:
一、游戏点卡之所以被盗,经济损失17.9万元,正是因为安全环节出现了问题。乙公司没有尽到安全保障义务,没有尽到安全加密和身份认证、安全支付服务及安全技术支持的义务;乙公司的加密技术与交易程序设计存在着诸如以下非专业人士都能发现的明显的漏洞:1、没能做到对每日累计交易限额的限制。依据中国人民银行2005年10月26日制定的《电子支付指引(第一号)》第二十五条,银行应根据审慎性原则并针对不同客户,在电子支付类型、单笔支付金额和每日累计支付金额等方面做出合理限制。2、关于退款的程序设计有问题。如果加以设计退款前提,如先退货或购货后3天退款,则可以避免类似的游戏卡被盗的现象发生;缺少对退款次数,退款金额的限定,同一IP及帐户上的大批量的退卡交易,应属于异常交易情形,如果加以限制,则可以避免或减少客户损失。3、没能进行有效的身份认证。任何账户开通银行业务均需本人持身份证等进行办理,乙公司在没有对登陆人的身份的真实性进行很好的核实鉴定情况下(yeepay只要求提交电子邮箱或手机号码等即可)办理网银开通业务,致使犯罪分子登陆得逞,进行盗窃活动,而且窃后难于找到罪犯。4、如果采用移动证书的方式(己被国际上很多大银行采用),即使用户的电脑被黑客侵入安装木马程序,但是依旧无法通过网银系统来窃取用户的资金或财产,这样的网银系统才算比较安全。5、未能建立及时有效的网上交易实时监控与危险提示机制,乙公司的网上交易实时监控与预警不到位。因此,如果乙公司能够进行有效的身份认证,如能把登陆人的身份与IP地址绑定,或者设计退款前提,如先退货或购货后3天退款,则可以避免类似的游戏卡被盗的现象发生。如果乙公司对每日累计交易限额进行限制,对退款次数,退款金额进行限定,即使在发生被盗的情况下,也不至于造成太大的损失。因此,乙公司对于该损失负有不可推卸的责任。
二、一审判决以没有国标或行业标准为由,确定乙公司应该按照通常标准或者符合合同目的的特定标准履行安全保障义务,从而判定乙公司尽到了安全保障义务,并没有违约,是错误的。理由是:1、如果乙公司不向甲公司承诺上述安全保障义务,则甲公司不会与乙公司签约,不会购买使用乙公司的支付平台的。利用乙公司的安全保障服务及承诺进行安全的电子支付,这是甲公司签订本合同的根本目的。2、合同法规定没有国标或行业标准为由,确定乙公司应该按照通常标准或者符合合同目的的特定标准履行的前提是当事人就质量问题约定不明确而且经协议不能达成补充协议时才适用。但是本案中就安全问题约定是明确的,即乙公司负有安全保障义务,安全加密和身份认证、安全支付服务及安全技术支持的义务。另外,当事人并不存在经协议不能达成补充协议这个前提,因此,法院不能直接判定乙公司应该按照通常标准或者符合合同目的的特定标准履行。
三、罪犯在甲公司的平台上付款—买卡是正常操作,而到乙公司的平台上进行退款操作则是反常进行的,因此问题是出现在乙公司的平台上操作的退款环节。
四、黑客非法入侵的是乙公司的平台。如刑事判决书所述,罪犯进入甲公司星空平台购买游戏点卡操作成功后,利用黑客手段,登录甲公司在乙公司支付平台下管理账号将己支付货款退回其在易宝支付平台下的账户上。
五、非法入侵不是与乙公司自身系统安全性无关,而正是易宝平台存在安全问题的主要表现之一。黑客不属于不可抗力,是可以通过技术手段解决的。自身系统安全性没有问题,黑客是不可能侵入的。因此,这里的黑客非法入侵并不是风险,而是乙公司的过错即系统不安全,未尽到安全保障义务造成的。
六、既然罪犯在甲公司的平台上付款—买卡是正常操作,那么乙公司应该依照双方约定在事后依据卖卡数量向甲公司结算。罪犯利用黑客手段,登录甲公司在乙公司支付平台下管理账号将己支付货款退回其在易宝支付平台下的账户上,因此,被盗的是乙公司的平台而不是甲公司的,乙公司应该依约向甲公司支付所买的点卡货款。
七、合同中未将黑客攻击归为风险,也未约定风险负担方式。在黑客攻击的情况下,以风险为由,判令承担着部分银行功能的第三方支付平台免责也是不正确的。依据风险转移的交付主义,按照合同的约定,由乙公司代为办理货款的收付结算,在交付给甲公司之前,便有妥善保管的义务。此时的货款,仍然处于乙公司的管理和控制之下,只有甲公司才有权支取使用,但甲公司在无过错的情况下,被他人支取,此责任不应当由消费者承担。根据《商业银行法》第六条规定:“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。”由此可见,银行必须保障客户的合法权益不受各种风险的侵犯。如果受到黑客的侵袭造成存款损失,网上银行无疑应承担相应的责任。若银行有证据证明客户故意或过失地泄露自身的账户和密码,承担着部分银行功能的乙公司支付平台也应该承担类似的责任。否则,如果将风险都归于其客户承担,则很可能导致第三方支付平台减少对安全问题的关注,并基于成本最小化的考虑,减少对安全设施和安全技术的投入,这势必对电子商务的发展而言是一个严重阻碍。
综上,甲公司请求撤销原判决,依法改判或发回重审。
乙公司服从一审判决。其针对甲公司的上诉理由答辩称:
一、一审法院直接裁定驳回甲公司的诉讼请求,适用法律正确,甲公司故意曲解协议内容。甲公司认为乙公司没有尽到安全保障义务,没有尽到安全加密和身份认证、安全支付服务及安全技术支持的义务,甲公司的上述说法不是事实。在双方签订的《YeePay电子支付平台接入服务协议》第四条中,对甲公司提出的3项服务所包含的内容已经做了明确规定,乙公司己在履约过程中完全履行该协议规定,甲公司没有证据证明乙公司违约。
1、关于第四条第1项“安全加密和身份认证,为甲方使用乙方的平台支付功能提供高质量的网络传输加密通道”,乙公司的服务主要采用了如下几种方式:(1)对商户(即甲公司)的登录密码进行安全加密,并存储到我方数据库。加密使用的是一种不可逆的算法,任何人都看不到原始密码;(2) 甲公司登录到乙公司为其提供的后台时,必须先输入商户登录名再输入登录密码,乙公司的系统对登录名和密码认证通过后,商户方可登录,这是身份认证的过程;(3)无论支付请求还是登录请求,我们都提供了SSL协议的通道,用于加密数据,以防止数据中途被窃取,维护数据的完整性,确保数据在传输过程中不被改变。
2、关于第四条第2项“提供网上安全支付服务,甲方的商务网站产生的交易所需的在线支付与结算功能,通过乙方网上支付网管与乙方所连通的国内商业银行交换信息,并将银行确认信息反馈甲方”。所谓网上“安全支付”,除了上述第四条第1项所指外,还包括商户向乙公司系统发起的支付请求参数中不包含消费者任何银行卡信息,以保护消费者用卡安全。第四条第2项是对第四条第1项的强调和补充,其中后半段是对乙公司服务流程的描述,乙公司提供的服务完全符合本项规定。
3、关于第四条第3项“提供安全技术支持,为甲方提供订单信息传输的接口规范,配置安全传输协议,后台管理权限设定;为消费者的支付等重要信息提供高质量的网络传输加密通道。”首先,乙公司在为甲公司开发接口时提供了如下技术支持服务:(1)甲公司可以登录到乙公司为其提供的后台中下载官方的接口协议规范及规范编写的范例;(2)甲公司随时可以联系乙公司的技术支持部,解决售前、售中、售后的技术问题。其次,关于安全传输协议的配置和高质量的网络传输加密通道,就是指SSL协议通道。该服务也是第四条第1项和第2项中有关服务的重复和强调。再次,关于后台管理权限设定,是指甲公司在乙公司平台注册为商户身份后,经自身激活帐号并且乙公司业务管理工作人员审核通过后,甲公司便拥有了其在乙公司平台的合法身份,并可以使用注册的登录名和密码登录到乙公司为商户提供的管理后台中。
综上,乙公司实际提供的服务完全符合本项的规定。由于安全保障、安全加密和身份认证、安全支付服务及安全技术支持3项义务在协议中有明确规定,甲公司也认可该规定,所以,甲公司是在故意曲解协议内容。
二、甲公司罗列的上诉理由完全没有法律及事实依据。
1、关于“没能做到对每日累计交易限额的限制”的问题。《电子支付指引(第一号)》第二十五条明确说明,该条款是针对银行设置的,乙公司不属于商业银行,也不归属中国人民银行管辖,只是一家民营经营性公司。且黑客在线交易时是先使用银行卡充值到其易宝帐户2000元,充值的金额及过程符合银行规定。客户拥有按其意愿自由使用其会员帐户内资金的权利,我平台无权对其进行金额限制,法律法规也没有相应规定。
2、关于“退款程序”的问题。商户给其客户退款是商户的合法权利,只要商户在我平台账户内有足够的余额,我平台对商户自愿发起的退款无权进行任何干涉及审核。罪犯首次购买甲公司货物是使用银行卡在线支付完成的,在取得货物后,罪犯使用盗取的甲公司用户名和密码登陆甲的商户后台,进行退款操作,每次退款时,甲公司帐户金额均达到退款金额。我平台退款程序没有任何问题,不是导致甲损失的原因。
3、关于“没能进行有效的身份认证”的问题。(1)乙公司支付平台个人帐户与银行个人帐户不同,银行个人帐户是个人结算帐户,使用实名制,开户需要身份证。而乙公司支付平台个人帐户仅供客户网上购物支付使用,不具有结算功能,故不需要身份认证。对于只在网上消费不进行结算提取现金的帐户,在电子支付业内均不需要身份认证。(2)登陆人身份与IP绑定。协议中未约定,法律法规及行业规定也没有规定要绑定IP。
4、关于“采用移动证书方式”的问题。目前,国内部分大型银行才刚刚开始采用此技术,银监会07年第134号通知《关于做好网上银行风险管理和服务的通知》规定,“各商业银行最迟于2007年12月31日前应对所有网上银行高风险账户操作统一使用双重身份认证。双重身份认证由基本身份认证和附加身份认证组成。基本身份认证是指网上银行用户知持有、保管并使用可实现其他身份认证方式的信息(物理介质或电子设备等)。”法律法规并未规定第三方电子支付公司必须采用移动证书方式,且案发时国内商业银行都没有全部达到该标准,甲公司要求乙公司支付平台达到该标准,显然是没有任何法律依据的。
5、没有建立网上交易实时监控与危险提示机制的义务。甲公司帐户内发生的退款,是发生在甲公司合法身份登陆后。商户直接向其客户会员帐户退款,乙公司平台无权阻止。乙公司平台在商户与其客户的交易过程中,仅仅起到支付功能,不参与双方的交易及交易纠纷,退款是商户的合法权利。甲公司所提出的同一IP商户进行大量退卡操作,乙公司平台没有及时预警是没有法律依据的,在双方协议中并未约定乙公司负有此义务。
6、黑客不属于不可抗力,但是要看损害结果造成的原因,甲公司的损失完全由黑客造成,乙公司平台无任何过错。乙公司平台于2007年3月7日已经通过国家信息安全认证,获得《信息系统安全保障级一级》认证证书。乙公司平台系统安全,黑客不是通过乙公司平台盗取甲公司商户号和密码,而是因为甲公司疏于防范,才导致自己电脑中的商户名和密码被黑客盗取并使用。在协议7.6条中已经明确约定,“甲方应妥善保管商户号及商户密码,因甲方商户号和密码保管及使用不当造成的经济损失,责任由甲方承担。”
三、一审法院根据合同法规定,认定在没有国标、行标时,应按照通常标准及合同目的进行判断。在本案中,甲公司账户损失是基于犯罪行为,而双方在协议中就犯罪行为可能导致的风险进行了明确说明。根据风险说明的内容,犯罪行为涵盖在支付业务的风险中,乙公司对此不应承担责任。况且,刑事案件中认定的事实是:犯罪分子先通过访问北京甲科技有限公司星空平台,进行网上购买网络游戏充值点卡的操作,在交易成功后,再利用黑客手段,登陆甲公司在乙公司支付平台下的管理账户,将货款退回。上述犯罪行为与乙公司系统安全性无关,乙公司不存在违约行为。
四、乙公司系统安全性经国家信息系统认证,甲公司没有证据证明罪犯侵入乙公司支付平台。事实是罪犯先进入甲公司星空平台购买游戏点卡操作成功后,再利用从甲公司财务电脑上盗取的甲公司用户号和密码登录甲公司在乙公司支付平台下的管理帐号将货款退回。罪犯是使用甲公司的合法身份登录,进行退款操作。甲公司很清楚案件事实,却仅依靠刑事判决书中的“黑客手段”四字对案件断章取义、胡乱解释,即无事实基础,又无法律依据,没有证据证明乙公司存在违约行为,没有证据证明罪犯通过黑客手段侵入乙公司系统。
请二审法院根据案件事实,驳回甲公司的全部诉讼请求。
本院经审理查明的事实与一审法院查明的事实一致。
上述事实,有协议书一、协议书二、名称变更证明、信息安全认证证书、企业信用等级评定证书、北京市海淀区人民法院(2008)海法刑初字第1121号刑事判决书,以及当事人陈述等证据在案佐证。
本院认为:乙公司为甲公司提供电子支付平台服务,乙公司对自身系统的安全和信息保密负有认真和谨慎义务,其有责任保证电子支付业务处理系统的设计和运行能够避免电子支付交易数据被泄露。如果电子支付系统存在安全隐患,其安全设计存在缺陷并被黑客利用,数据传输系统被攻破致用户资料泄露,造成客户损失,乙公司理应承担赔偿责任。甲公司作为电子支付平台的商户,也应当妥善保管商户号和密码,如果因甲公司商户号和密码保管及使用不当,导致被人利用进行非法操作,从而造成经济损失,该责任则应当由甲公司自身承担。
在本案中,导致甲公司损失的直接原因是犯罪分子利用黑客手段,登陆甲公司在乙公司电子支付平台下的管理帐号和密码进行退款操作。本案的焦点在于,甲公司的管理帐号和密码泄露而导致游戏充值卡被盗,是由于甲公司保管帐号和密码不善,还是由于乙公司自身系统存在安全隐患。乙公司的YeePay易宝电子支付平台系统经国家信息安全认证取得了信息系统安全认证证书,甲公司如果认为乙公司的系统存在安全隐患从而导致游戏充值点卡被盗,其应当提交相应的证据。但从甲公司提交的现有证据来看,尚不足以证明乙公司的电子支付平台存在安全隐患而导致游戏充值点卡被盗,因此,甲公司要求乙公司承担违约责任,于法无据。甲公司所列举的乙公司程序设计上的漏洞,都不是必然导致犯罪分子盗窃游戏充值点卡成功的原因。况且,对于交易限额、退款次数、退款金额的限制以及网上交易实时监控等措施,甲公司作为商户没有在签订合同时提出要求,乙公司没有义务对某个具体客户做出程序上的变更。
综上,甲公司的上诉理由缺乏法律和事实依据,本院不予支持。原审判决认定事实清楚,适用法律正确,应予维持。依照《中华人民共和国民事诉讼法》第一百五十三条第一款第(一)项的规定,判决如下:
驳回上诉,维持原判。
一审案件受理费三千八百八十元,由北京甲科技有限公司负担(已交纳)。
二审案件受理费三千八百八十元,由北京甲科技有限公司负担(已交纳)。
本判决为终审判决。
二、律师评析:
上海法律网网络律师陈志群分析后认为,原告的帐号密码因黑客攻击被盗,导致发生财产损失,其以网络服务合同纠纷为由起诉作为电子支付平台的被告,那么则必须审查被告对该损失的发生是否存在过错。如被告不存在过错,则不需要承担违约责任,因为本案不适用过错责任以外的归责原则。