首页 > 专栏

【专栏】第三方支付机构非授权支付的责任承担机制研究

北京大学金融法研究中心 · 零壹财经 2017-07-27 09:29:41 阅读:15210

关键词:支付机构第三方支付责任承担机制非授权支付

郭琼艳|文 摘要 在复杂的支付环境下,非授权支付成为侵害第三方支付用户权益的重要原因。现行法律少有规定用户与支付机构间的损失分配,《非银行支付机构网络支付业务管理办法》虽有所涉及,但尚未构建一套合理而完整的制度。用户资金安全的保障需求迫在眉睫,立法者在制定非授权第三方...

郭琼艳|文

摘要

在复杂的支付环境下,非授权支付成为侵害第三方支付用户权益的重要原因。现行法律少有规定用户与支付机构间的损失分配,《非银行支付机构网络支付业务管理办法》虽有所涉及,但尚未构建一套合理而完整的制度。用户资金安全的保障需求迫在眉睫,立法者在制定非授权第三方支付责任承担规则时,可参考美国经验,引入安全程序规则,在支付机构和用户之间合理分配损失。

关键词

第三方支付、非授权支付、支付机构、安全程序、责任承担机制

截至2016年6月,我国网上支付[1]用户达4.55亿人,消费者使用网上支付的比例已提升至64.1%[2]。第三方支付作为网上支付的方式之一,因其快速、便捷、操作简单的特性,成为诸多消费者的首选支付方式。用户通过使用支付账户[3],一定程度上缓解了交易安全和信用问题。然而,第三方支付存在的问题和风险也不可小觑,尤其是非授权支付及责任承担问题。

支付宝为例,据支付清算协会公布的2015年收单机构业务排名,支付宝的交易额位列榜首[4]。作为支付行业的龙头,其安全防控体系达到业内最高标准,多维度的保护将网络支付的资损率降到十万分之一,远低于VISA和PayPal[5]。即便如此,以支付宝为被告的诉讼仍时有耳闻,目前可搜索到和支付宝支付业务相关的裁判文书66份,涉及案例60个[6]。相比年交易量,涉诉案例微乎其微。除了大量已私下协商解决的纠纷,现有案例中,非授权支付纠纷引发的诉讼占比位居榜首。在2014年至2015年的43起诉讼案件中,利用支付宝快捷支付盗刷银行卡的案件有11起,利用钓鱼网站盗刷网银的案件有5起,非授权支付案件共16起(占比37%)。

现行立法对第三方机构非授权支付行为及责任承担没有明确规定,各支付机构自行制定的安全规则乱象丛生。法院处理相关纠纷时,主要适用《中华人民共和国合同法》、《中华人民共和国侵权责任法》,忽视了效率与安全并重价值导向下第三方支付活动的特殊规则。《非银行支付机构网络支付业务管理办法》(以下简称《网络支付管理办法》)中涉及损失的分配,但浅尝辄止。相比之下,美国在非授权支付损失分担规则上,有较为成熟的制度经验。鉴于此,本文将以支付宝为研究对象,结合现有法律法规,借鉴美国经验,深入探讨非授权支付中第三方支付机构应承担的责任。

一、非授权支付的含义及成因

新兴的非金融机构介入支付服务体系中,运用电子化手段为市场交易者提供前台支付或后台操作服务,因而被称为“第三方支付机构”,[7]由其提供的支付服务为“第三方支付”。在第三方支付服务中,用户最关心资金与支付行为的安全性。虽然支付机构坚称会兼顾支付效率和安全,但如施以外力的天平难以平衡,技术缺陷、用户过失或故意、第三方介入等因素都会造成效率和安全间的失衡,产生支付风险。其中,非授权支付因直接侵害用户的财产权利,且发生概率日益增加,受到广泛关注。

(一)非授权支付的含义探析

非授权支付,指非经付款人授权使用支付机构账户,通过网络发送指令实现资金转移的行为。因未取得付款人授权,非授权支付行为本质上是无权代理。第三方网上支付发生于网络平台,支付机构无法得知指令发出者的真实身份,仅在双方已有事先协议约定的情形下,借助指令是否通过密码、验证码等验证而加以推定。若通过验证,视为由用户或经用户授权发出,具有令相对人相信的权利外观。可见,非授权电子支付与广义无权代理不同,符合表见代理的构成要件。根据《合同法》第四十九条规定,表见代理行为有效,应由用户承担代理行为的后果,但可向行为人追偿。这也与目前非授权支付责任承担的司法实践相符。

(二)非授权支付的成因

非授权支付行为的产生,根据产生原因背后的行为主体不同,有如下三种情况:其一,因用户丢失、泄露验证信息或设备;其二,因支付机构内部人员泄露等原因造成支付宝登录密码或其他验证信息泄露;其三,第三人通过伪造、欺诈等手段获得用户姓名、身份证号码、银行卡号等信息,并在银行端预留自己的手机号,随后开设新的支付宝账户转移资产。

二、我国第三方支付机构非授权支付的责任承担现状

第三方非授权支付的责任承担机制关系到能否合理、公平地保护用户权益,也关系到第三方支付行业的发展。下面将在明确非授权支付责任主体的基础上,结合我国现行规定及实践情况,分析第三方支付机构非授权支付的责任承担现状。

(一)非授权支付的责任主体[8]

支付行为可区分为传送支付指令与验证支付指令两个环节,第三方非授权支付牵涉用户、支付机构、银行等主体,明确各方责任需首先根据支付流程确定该方是否为非授权支付的法律关系主体。

首先,判断传送支付指令的主体需结合收付款双方是否均使用支付账户。若均使用机构提供的支付账户,则相关支付信息由支付机构传送。若一方选择支付账户,另一方选择银行账户,需根据具体情况判定指令是由哪一方发出进而明确法律关系主体。

其次,判断验证支付指令的主体,应考虑收付款双方是否使用支付账户内的预付价值余额,以及真实的货币资金是否仍停留在备付金账户内。若两者均使用账户内的预付价值余额,验证支付指令的行为应是由支付机构作出。若未使用预付价值余额,则需进一步考察指令是由关联账户的银行还是支付机构进行验证。

厘清法律关系主体有助于在发生纠纷时识别责任主体。只有当支付机构参与传送或验证支付指令的行为时,才可能对非授权支付承担法律责任。

(二)现行法律规定

我国现行法律中缺乏对非授权支付的责任分配。传统银行卡非授权支付方面无法律直接规定,若产生纠纷,法院只能适用《合同法》或《侵权责任法》[9]。近年兴起的第三方支付领域也缺乏相关立法,交易所涉主体中,商业银行尚可遵循《中华人民共和国电子签名法》第九条[10]、中国人民银行颁布的《电子支付指引(第一号)》第四十五条[11]以及银监会颁布的《电子银行业务管理办法》第八十九条[12]处理非授权支付的责任分配,针对第三方支付平台则处于立法真空状态。由中国人民银行颁布并于2016年7月1日起实施的《网络支付管理办法》在规范支付机构业务的同时,已经注意到非授权支付风险。

《网络支付管理办法》第十九条要求:“支付机构应当建立健全风险准备金制度和交易赔付制度,并对不能有效证明因客户原因导致的资金损失及时先行全额赔付,保障客户合法权益。”该条款旨在防范效率和安全的严重失衡,支付机构提高效率不可以侵害客户权益为前提。该办法第二十四条进一步规定,若支付机构采用不足两类有效要素进行验证,单个客户所有支付账户单日累计金额不应超过1000元(不包括向客户本人同名银行账户转账),支付机构应承诺无条件全额承担此类交易的风险损失赔付责任。小额支付中用户对效率的要求更高,为避免盲目追求高效而导致行业恶性发展,支付机构应承担此情况下减少甚至免除验证方式带来的责任。

虽然以上条文可适用于涉及第三方支付机构非授权支付的损失分配,但仔细研读却不免遗憾。第一,条文规定的先行赔付在哪一环节实施,是否需要用户主动申请挂失?第二,除无法证明因客户原因导致的损失,若已证明用户无过失或仅具一般过失是否可享受先行赔付?这些问题还有待完善。

(三)司法实践

交易主体与支付机构之间是委托服务合同法律关系,合同内容主要是代收代付。两者的权利义务根据合同加以明确,因缺少直接适用的法律法规,若产生纠纷,法院只能用传统合同法或侵权法原理予以处理。以支付宝为例,其涉诉的非授权支付案件中,仅有一起以支付宝败诉结案,其余均是原告撤诉或支付宝胜诉。

在杨荣林诉农业银行站西路支行、支付宝公司合同纠纷案中,原告主张其储蓄卡内资金通过支付宝被盗转,支付宝辩称支付前已向绑定手机号发送验证码且验证成功,支付在可信环境下发生。最终,法院以“既未能证明涉案转账是存款被盗的事实,也不能证明农行和支付宝对涉案转账行为存在违反合同义务或过错责任的事实”为由,驳回原告杨荣林的诉讼请求[13]。支付机构未违反合同义务,或原告未能证明支付机构存在过错、违反合同义务,是多数原告败诉的原因。

在张世鹏与支付宝公司、淘宝公司网络服务合同纠纷案[14]中,支付宝败诉。法院认为,当事人签署的《支付宝服务协议》是支付宝提供的格式合同,其中免除运营商责任的条款应属无效条款。而且被告未尽到协议要求的安全保障义务和注意义务,具有过错,应对违约行为造成的损失予以赔偿。可见,法官仍是基于《合同法》原理,并未考虑第三方支付业务中效率与安全的相对平衡。

从以上案件还可以看出,针对第三方支付机构非授权支付引发的纠纷,普遍适用过错责任原则。即支付机构对非授权支付造成的损失负有过错才承担责任,反之则由用户承担损失。

(四)市场实践

支付机构作为市场实践的参与者,早已关注非授权支付问题。为打击非授权支付,各支付平台均致力于研发具备预防与识别功能的风控系统。以支付宝为例,历时八年研发风控大脑CTU,通过位置、行为、偏好等六大类共一万条策略对支付行为进行分析,判断交易风险[15]。为提供更优质、安全的服务,各平台纷纷制定了相关安全规则。支付宝主要通过《支付宝安全保障规则》(以下简称《保障规则》)[16]防范非授权支付风险,分担因此造成的损失。

《保障规则》第二条明确了何为“未经本人授权的支出”及“直接损失”。第三条第一款指出本规则仅适用于非授权支付造成的直接损失;第二款规定用户需在支付账户发生未授权支出后180天内通知支付宝,明确其他就损失享受保障服务的限制,如已通过实名认证等;第四款列举了九项不在本规则保障范围内的情况,包括因用户故意、重大过失或违法行为造成资金损失,因他人欺诈、胁迫等行为造成用户资金损失,不可抗力等。除此之外,《支付宝服务协议》第四条第(三)款规定发起支付指令时支付宝验证用户身份的途径,并强调,对于因密码、校验码等身份识别信息泄露和手机、电脑等设备产品遗失所致的任何损失,将由用户自行承担。

在立法缺失的情况下,支付机构可根据平台非授权支付情况制定安全规则。作为一方当事人,支付机构难免倾向于保护自身利益,将大部分责任转嫁至用户。以《保障规则》为例,虽然认可用户能因非授权支付获得保障,但存在适用范围小、前置程序复杂、过分强调用户对认证信息的保护义务等问题。

第一,第三方支付机构存在利用合同格式条款免除自身责任之嫌。《保障规则》第三条第四款列明了九类不在保障范围内的行为,其中第一至第四项均有“经调查或经支付宝合理判断”的措辞。支付机构的判断不同于法律认定,支付宝借此免除自身责任,可能落人《合同法》第三十九条关于“格式条款”的规定,继而因“免除其责任、加重对方责任、排除对方主要权利”导致条款无效[17]

第二,未区分一般过失和重大过失。若出于重大过失,比如将写有密码的纸条随意放置于他人可接触的环境中,由用户承担大部分甚至全部损失无可厚非。但任何人的谨慎程度都是有限的,用户遗失支付设备、密码等要素可能是因为第三人不怀好意,而非未尽合理注意义务。由此导致的非授权支付,若不区分用户的过失程度,将其完全纳入支付机构免责事由不太合理。

第三,未保障用户知情权。第三方支付业务中,存在多个验证环节、多道验证程序,若仅是告知密码、验证码等手段,而未确保用户已明知支付过程中需验证的环节以及验证规则,便让其承担支付行为的风险,无法充分保障用户权益。不仅是支付宝,包括财付通《财付通服务协议》、《微信公众平台服务协议》以及百度钱包《网络支付业务服务协议——用户》在内的其他第三方支付平台协议中同样存在上述情况。

三、第三方支付机构非授权支付责任承担机制的问题

我国第三方支付中存在的非授权支付行为究竟应如何承担责任,尚未形成一套具有普遍适用性的规则。法院处理纠纷时,尊重用户与支付机构以平等民事主体身份订立的合同,却忽略了支付机构的优势地位,也未能平衡网上支付效率优先、兼顾安全的价值理念。

(一)用户与第三方支付机构的实力失衡

第三方支付用户相较于支付机构,无论是资金、信息还是技术方面都处于劣势[18]。首先,支付机构具有雄厚的资金实力;相比之下,大部分第三方支付用户只是经济实力一般的自然人,损失承受能力较低。其次,互联网技术是第三方支付业务存在的根本,支付机构通常拥有精通计算机、移动支付等电子技术的专业团队,了解甚至控制交易的操作流程;但多数用户对这些科学技术了解甚少。最后,用户和支付机构之间存在明显的信息不对称。支付机构通晓支付行为的操作流程、每笔交易的具体细节,而用户通常只知道己作出的行为。若产生纠纷,保有交易信息的支付机构在举证环节享有天然优势。

第三方支付用户是否适用《消费者权益保护法》(以下简称《消法》)仍有待确定。《消法》第二条规定:“消费者为生活消费需要购买、使用商品或者接受服务,其权益受本法保护。”生活中,消费者使用第三方支付服务可能不是出于生活消费目的,而是为了投资获利,这不符合《消法》第二条规定。特别法的缺位,导致当事人只能通过一般民事法律规范调整权利义务,以求达到平衡。消费者权益保护是通过对经营者施加一系列义务而实现的,追求的是实质公平[19];而一般民事法律规范,强调的是形式公平。虽然有限制格式合同[20]这类突破契约自由的条款,也无法改变一般民事法律规范的价值取向。不仅如此,民法在于确权而非限权,对经营者权利限制也是传统民法规则无法做到的。

(二)采用过错原则作为归责原则的不公平性

法院对第三方支付案件设置的案由主要有违约、侵权和不当得利。在支付宝涉诉案件中,侵权和不当得利的比例不到20%,主要还是合同违约纠纷。《合同法》第一百零七条选择将严格责任作为违约的一般性归责原则,这不意味《合同法》排斥过错责任,只不过是将过错责任作为法律规定的特别情况对待[21]。采用过错责任意味着用户除了要证明存在违约事实,还要证明支付机构具有过错才可能获赔,否则所有损失将由用户承担。

无论是支付机构的客观违约行为还是主观过错,由用户来证明都存在难度。用户对支付的具体环节、技术缺乏了解,产生纠纷时不易获得该笔非授权支付的交易信息,并且难以证明支付机构是否已尽合同约定的审查、保障义务。前述杨荣林案、陈培丽案[22]等,原告败诉的重要原因就是无法证明支付宝公司在交易中的违约行为。主观层面的过错对用户而言更是难以证明。即使存在获取证据的可能性,普通用户证明支付机构存在过错的成本也较高,当耗费的时间成本、金钱成本远高于非授权支付造成的损失时,用户只能无奈放弃。

这一矛盾也不适用“举证责任倒置”。互联网时代很难确定在电脑或手机另一端触动键盘的究竟是谁,更无法防范用户谎称遭盗刷要求支付机构赔付的道德风险。对于交易流程,支付机构在举证上有一定优势;但要证明用户并非盗刷,支付机构面临的难度不亚于用户。若想避免更多损失,或减少成为被告的次数,支付机构只能在效率和安全中不断倾向后者,研发更复杂的使用或验证程序,最终可能有碍于用户的支付体验,违背第三方支付效率优先的原始价值。

(三)第三方支付价值导向的迷失

与银行业金融机构将安全置于绝对优先位置不同,第三方支付机构更加重视支付效率,这必定会减少传统支付服务采用的烦琐程序,为用户提供更便利的支付条件。从用户选择看,既然愿意享受第三方支付的效率,可推测其接受某种程度上安全性的降低。在遵守底线安全的前提下,应当允许用户在效率和安全之间作出选择,甚至承担一定风险。

我国缺少该领域立法,无法窥视立法者的价值取向。司法实践层面,审判人员多倾向于依照形式公平的价值行事,未确立考量效率与价值孰轻孰重的意识,无法合理分配非授权支付损失,未建立一套双方都能接受的安全程序规则。因此,合理区分非授权支付的责任显得格外重要。

四、第三方支付机构非授权支付责任承担机制再思考

(一)欧美立法经验

美国及欧盟地区电子支付行业起步较早,配套的责任分配制度在业务发展需求以及经营者与用户利益博弈双重助力下不断完善。发生非授权支付纠纷时,美国和欧盟倾向于保护用户权益,通过立法将大部分损失发配给支付机构[23]

1.美国。针对以小额支付为主的支付业务,美国《电子资金转移法》、《真实信贷法》以及相配套的Z条例和E条例[24],对非授权支付中各方责任进行了详细规定。

用户对账户内资金的未经授权划拨承担责任,需满足三个条件:第一,支付机构使用的存取工具被用户普遍接受;第二,支付机构基于现有技术,能提供准确辨认发出指令用户的方法;第三,支付机构已向用户披露了非授权电子资金划拨的用户责任以及方法[25]。若满足上述条件,以借记卡和存款账户为基础的第三方支付受《电子资金转移法》和E条例保护。此类账户产生未经授权支出,用户在得知该交易后2个工作日内通知支付机构,则不承担责任,由支付机构实施退款机制,但支付机构可对每笔非授权支付收取不超过50美元的费用;若用户在2个至60个工作日通知支付机构,其承担的损失以500美元为限;若在60个工作日之后才通知或仍未通知支付机构,用户承担的责任将不设上限,直至所有损失[26]

《真实信贷法》和Z条例在非授权支付问题上加重了支付机构的责任。将信用卡非授权支付作为规制对象的《真实信贷法》和Z条例规定,无论是否及时通知支付机构,用户承担的损失均不超过50美元[27]

2.欧盟。欧盟2007年《支付服务指令》可适用于第三方支付机构的非授权支付行为,这是立法者首次就未经授权的电子支付制定损失分配规则。该指令第六十条规定,只要支付人履行了及时通知义务,支付机构就应当将非授权交易涉及的资金全额返还支付人,根据双方之间签订的合同,用户还可以进一步追究支付机构的责任[28]。第六十一条在前述条款的基础上赋予支付人更多谨慎义务,如果因支付工具遗失或者被盗导致账户内资金被划走,支付人承担的损失以150欧元为限。如果支付人在未经授权交易中存在欺诈行为;或者因故意或重大过失,未能在出现支付工具遗失、被盗等情况而出现非授权交易时及时通知支付机构,支付人应承担全部责任。反之,如果支付人没有欺诈行为;也没有因故意或重大过失,而未将支付工具遗失、被盗或已产生非授权支付的情况通知支付机构,则支付人承担的责任不超过150欧元[29]。

从美国和欧盟立法不难看出,支付机构在未经授权的第三方支付中如何承担责任,受用户行为是否属重大过失,以及是否及时挂失的影响。何谓“重大过失”,欧盟《支付服务指令》赋予法院自由裁量权,法官可根据个案进行分析。是否挂失也是影响支付机构责任的重要因素,挂失后的损失用户不需承担,一旦用户履行了通知义务,支付机构就有责任保障用户的资金安全。

(二)制度创新:安全程序规则

为更明确地划分责任承担,美国《统一商法典》第4A编创新地提出“安全程序”用于认证支付指令,并将由欺诈造成的损失在当事方之间进行分摊[[color=#A9A9A9]30]。这一规则用于规制大额电子资金划拨,适用对象是金融机构,但对我国第三方支付立法有重要借鉴意义。

安全程序是指由用户与银行签订协议,建立用于验证支付指令真实性的程序,目的在于验证支付指令是否由客户发出,以及拦截存在错误的支付指令[[color=#A9A9A9]31]。《统一商法典》规定,安全程序可以使用包括算法、密码、识别字符或数字、加密、回呼程序等在内的安全验证工具[32]。根据第4A-202(a)条,若接收方接收的指令经用户授权或受制于代理法,用户才受其约束。若非如此,导致的损失需由银行承担,这符合用户对因欺诈导致非授权支付行为责任分配的预期。

该编提出“安全程序规则”,作为授权支付指令的例外。即接收方与用户协议约定,若通过遵循安全程序进行的验证后,支付机构接受以用户名义签发的指令,无论指令是否获得用户的授权均视为由用户发出,损失由用户承担。该规则的适用存在诸多限制条件:第一,支付机构需事先与用户达成协议,以用户名义发出的支付指令必须经安全程序验证;第二,该安全程序必须具备商业上的合理性;第三,支付机构证明其出于善意接受支付指令;第四,支付指令已经过银行认证,且认证符合安全程序,或符合用户对支付机构接受支付指令这一行为施加限制的其他书面协议和指令[33]。符合上述条件,即使不是经用户授权的指令,支付机构也要根据指令进行付款。四项条件中,最具不确定性的是“商业上的合理性”。《统一商法典》并未给出明确界定,仅对判断标准提出建议:参照用户向支付机构提出的要求,支付机构对用户的了解,包括支付指令的种类、金额、频率等,在类似状况下用户和支付机构通常会采用的安全程序[34]。虽然没有统一标准,但安全程序判断用户是否具备商业合理性,需十分注重用户情况及用户知情权,只有两方均认可的安全程序才具有可操作性。

为确保不因效率降低安全标准,《统一商法典》为经安全程序验证的支付指令又设置了如下例外:其一,通过书面协议,接收方可限制其在支付指令下有权执行的支付。[35]其二,若支付指令非直接或间接由下列人员发出,接收方无权执行支付指令下的支付:一是用户委任的、有权根据支付指令或安全程序行事的人;二是获得用户支付指令传送设备的人,或未经接收方授权,即从用户控制的来源获得违反安全程序信息的人,且无论来源途径以及用户是否具有过错[36]

《统一商法典》第4A编通过设立一般规则、例外以及例外之例外勾画出非授权支付的损失分配机制。在保障用户知情权情况下,确认安全程序,并将该安全程序规则上升至法律层面,避免支付机构因过度依赖自身技术层面的认证而陷入侵害用户权益的境地。

(三)安全程序规则在我国的适用

安全程序规则在我国并非新鲜事物。以支付宝为例,《支付宝服务协议》类似于安全程序协议,《保障规则》则起到安全程序规则的作用。针对前述支付宝以及其他第三方支付机构在设置类安全程序规则中的不妥之处,与《统一商法典》第4A编相关规定比较,支付宝等第三方支付机构各类协议应至少进行如下完善:

第一,避免“经调查或经支付宝合理判断”等措辞出现于各类协议,减少会被用户、监管者、审判人员误解的主观判断。第二,区分用户一般过失与重大过失,在一般过失的情况下可加人适当限制,如用户需在合理时间内采取挂失等措施预防损失扩大。第三,“建立在支付机构完整披露基础之上的用户自认[37]”,即用户明确并接受支付过程中存在哪些验证环节以及验证规则,才可承担支付行为带来的风险。

上述修改仅是支付机构在市场实践层面的补救,若要完善非授权支付损失分配机制,应引入《统一商法典》中的安全程序规则,将引发争议的技术认证与责任承担上升至法律层面,为该领域设立最低验证标准。

五、构建我国第三方支付机构非授权支付的责任承担机制

借鉴美国及欧盟成熟立法,充分考虑我国商业实践和司法裁判中的不足之处,对我国第三方支付机构非授权支付的责任承担机制具体设计如下:

(一)引入安全程序规则

为有效防范道德风险,并合理分配因欺诈产生的非授权支付损失,同时尊重以支付效率为导向的价值判断,我国应引入安全程序规则,但需注意以下两点:

第一,区分法定程序规则和约定程序规则。监管部门可以为支付机构设立最低判断标准,厘清“商业上的合理性”,并审核支付机构的安全程序规则是否符合法定标准以及是否构成无效的格式条款。同时,明确支付机构充分披露验证规则的义务,赋予用户选择接受与否的权利。若选择接受,已通过安全规则验证的非授权交易损失应由用户承担,但用户可向侵权人追偿。

第二,约定程序中区分挂失前后的责任承担。挂失后的损失由支付机构承担,除非用户存在欺诈、故意或重大过失行为。

(二)责任承担机制的完善

若支付机构和用户间未约定安全程序规则,可借鉴美国与欧盟的立法思路:

第一,用户及时通知支付机构,存在认证信息被盗用、泄露或常用设备丢失的情况(尚未产生非授权支付)。该日之后产生的所有未经授权支付,用户不承担责任。

第二,用户未通知支付机构,存在认证信息被盗用、泄露或常用设备丢失的情况。但是,当非授权支付发生后,在规定期限内通知支付机构,支付机构应尽快垫付该笔损失,并展开调查。通知后产生的非授权支付,用户不承担责任。

第三,若用户对非授权支付的产生具有过错,其应承担部分责任,责任范围应设置上限。

第四,用户未能在立法规定的期限内通知支付机构产生非授权支付,或用户有欺诈、故意或重大过失行为,其承担的责任不限于上限范围内,有必要使其承担所有损失。是否构成重大过失,需要法官结合具体规定,根据个案情况判断。

【注释】

[1]网上支付是指以公共互联网为基础,依托于计算机等设备,通过互联网发起支付指令的行为。按支付方式划分,网上支付可分为第三方支付平台支付和网络银行直接支付。参见任超:《网上支付金融消费者权益保护制度的完善》,载《法学》,2015(5)。

[2]中国互联网络信息中心:《第38次中国互联网络发展状况统计报告》,资料来源:http://www.cac.gov.cn/2016-08/03/c_1119326372.htm,2017年1月16日访问。

[3]支付账户是指获得互联网支付业务许可的支付机构,根据客户的真实意愿为其开立的,用于记录预付交易资金余额、客户凭以发起支付指令、反映支付交易明细信息的电子簿记。

[4]《2015年中国支付清算支付宝业务量排名榜首》,资料来源:http://news.cngold.com.en/20160522dl903n70825341.html,2016年5月30日访问。

[5]罗培新、虞磊珉:《第三方支付需建立安全程序规则》,载《法制日报》,2015-11-14(10)。

[6]所有案例均出自中国裁判文书网,资料来源:http://wenshu.court.gov.en/,2016年3月20日访问。

[7]《中国人民银行有关部门负责人就〈非金融机构支付服务管理办法〉有关问题答记者问》,资料来源:http://finance.stockstar.com/GC2010080330000201.shtml,2016年4月25日访问。

[8]罗培新、虞磊珉:《第三方支付需建立安全程序规则》,载《法制日报》,2015-11-14(10)。

[9]彭冰:《银行卡非授权交易中的损失分担机制》,载《社会科学》,2013(11)。

[10]《电子签名法》第九条:“数据电文有下列情形之一的,视为发件人发送:(一)经发件人授权发送的;(二)发件人的信息系统自动发送的;(三)收件人按照发件人认可的方法对数据电文进行验证后结果相符的。当事人对前款规定的事项另有约定的,从其约定。”

[11]《电子支付指引(第一号)》第四十五条:“非资金所有人盗取他人存取工具发出电子支付指令,并且其身份认证和交易授权通过发起行的安全程序的,发起行应积极配合客户查找原因,尽量减少客户损失。”

[12]《电子银行业务管理办法》第八十九条:“金融机构在提供电子银行服务时,因电子银行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的,金融机构应当承担相应责任。因客户有意泄露交易密码,或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的,金融机构可以根据服务协议的约定免于承担相应责任,但法律法规另有规定的除外。”

[13]《杨荣林与中国农业银行股份有限公司广州站西路支行、支付宝(中国)网络技术有限公司合同纠纷案一审民事判决书》,(2013)穗越法民二初字第4981号,资料来源:http://wenshu.court.gov.cn/content/content?DocID=ade25121-decf-4517-9be2-e39ba2069e8f,2016年3月28日访问。

[14]《张世鹏与支付宝(中国)网络技术有限公司、浙江淘宝网络有限公司网络服务合同纠纷案一审民事判决书》,(2014)凉民初字第2986号,资料来源:http://wenshu.court.gov.cn/content/content?DocID=e4cldc59-048c-44e3-a827-9cc06d3ce5cd,2016年3月28日访问。

[15]《给新支付宝用户的一份安全报告》,资料来源:http://www.wtoutiao.com/p/il9eEk.html,2016年1月22日访问。

[16]《支付宝安全保障规则》,资料来源:https://cshall.alipay.com/lab/help_detail,htm?help_id=252759,2016年3月26日访问。

[17]《合同法》第四十条。

[18]李俊平:《第三方支付法律制度比较研究》,108页,湖南师范大学2012年博士论文。

[19]胡志光、周强:《论我国互联网金融创新中的消费者权益保护》,载《法学评论》,2014(6)。

[20]《合同法》第三十九条、第四十条、第四十一条。

[21]王利明:《违约责任论》,64页,中国政法大学出版社,2002。

[22]《陈培丽与中国建设银行股份有限公司厦门松柏支行、支付宝(中国)网络技术有限公司借记卡纠纷一审民事判决书》,(2014)思民初字第6830号,资料来源:http://wenshu.court.gov.cn/content/content?DocID=f70821bb-dla8-4d2d-9eb6-45949448e76e,2016年3月28日访问。

[23]彭冰:《银行卡非授权交易中的损失分担机制》,载《社会科学》,2013(11)。

[24]Z条例是美国联邦储备局1968年为执行《真实信贷法》而制定的,E条例是美国联邦储备局1978年为执行《电子资金转移法》而制定的。

[25]15U.S.C.§1693g(a).

[26]15U.S.C.§1693g(a);12C.F.R.§205.6(b)(1)(2).

[27]15U.S.C.§1643(a)(1);15U.S.C.§1661i;12C.F.R.§226.12(b)(c).

[28]Article60,Directive2007/64/EC.

[29]Article60(1)(2)(3),Directive2007/64/EC.

[30]刘颖:《支付命令与安全程序——美国〈统一商法典〉第4A编的核心概念及对我国电子商务立法的启示》,载《中国法学》,2004(1)。

[31]U.C.C.§4A-201.

[32]U.C.C.§4A-201.

[33]U.C.C.§4A-202(b).

[34]U.C.C.§4A-202(c).

[35]U.C.C.§4A-203(a)(1).

[36]U.C.C.§4A-203(a)(2).

[37]罗培新、虞磊珉:《第三方支付需建立安全程序规则》,载《法制日报》,2015-11-14(10)。


零壹智库推出“金融毛细血管系列策划”,通过系列文章、系列视频、系列报告、系列研讨会和专著,系统呈现“金融毛细血管”的新状态、新功能、新价值、新定位。
 

相关文章


用户评论

游客

自律公约

所有评论


资讯排行

  • 48h
  • 7天


专题推荐

more

第四届中国零售金融发展峰会(共15篇)

《陆家嘴》交流会第6期(共14篇)

2022第一届中国数字科技投融资峰会(共43篇)

2019年数字信用与风控年会(共15篇)



耗时 162ms