我的位置: 政情 > 十二公民 > 文章详情
支付宝盗刷后怎么办?电子支付立法滞后,社会期待消费纠纷有权威指引
分享至:
 (2)
 (1)
 收藏
来源:上观新闻 作者:罗培新 2018-06-16 15:39
摘要:电子支付相关立法滞后,导致很多消费纠纷的解决缺乏权威指引。社会普遍期待最高法院出台相关司法解释,以指导司法实践,衡平保护各方利益。

 

在移动互联时代,身份确认及意思表示是否出自本人意愿,委实难以证明。借用一句老套的话:你永远不知道,在互联网的另外一端,点动鼠标或者划动手机屏幕的,是一个人还是一条狗。在这种情况下,如何分配社会合作带来的利益和负担,颇值细细思量。

 

举一个通俗的例子:如果客户声称支付宝被“盗刷”,要求索赔损失,法院是要求支付宝证明不是真的被盗刷,还是要求消费者证明不是被熊孩子偷去买游戏币了?

 

电子支付相关立法滞后,导致很多消费纠纷的解决缺乏权威指引。社会普遍期待最高法院出台相关司法解释,以指导司法实践,衡平保护各方利益。而在这一过程中,价值判断与规范选择,无疑极其重要。

 

主体名称如何确定

 

支付宝、微信等支付平台,曾被普遍称为第三方支付机构。这里所谓“第三方”,是针对买卖双方而言。而事实上,在传统的银行卡支付场景中,银行也是“第三方”。故而,《电子商务法(草案)》规定的相应概念为“电子支付服务提供者”,包括银行和非银行支付机构。相应地,原来“消费者”或者“客户”的提法,被替换为“电子支付服务接受者”。

 

此次司法解释,是将适用范围限定于“非银行支付”,还是一体适用于所有的电子支付服务提供者?从实践来看,近年来,银行业电子支付业务取得了长足发展,其业务形态、交易流程、客户体验、各方权责约定等方面,与非银行支付机构颇为类似,监管部门在某些领域对于银行与非银行支付机构采用了同等的监管要求。例如,在扫码支付方面,人民银行2017年发布的《条码支付业务规范(试行)》明确规定,银行业金融机构和非银行支付机构均同等适用该规范。

 

出于法理正当性考量,如果监管部门对于同一业态采用同样的监管标准和合规要求,司法政策也应一体适用,避免在举证责任与损失赔付等方面进退失据。举例来说,如果买方一笔交易需支付200元,买方用支付宝余额付100元,另用快捷支付方式从关联银行支付100元。对同样一笔交易,如果仅仅是因为支付环节的不同而作区别对待,将造成权责配置失衡、甚至难以自洽的情形。

 

接下来,出于行文简洁的考量,将电子支付服务提供者称为电子支付机构,将电子支付服务接受者称为客户。

 

诉讼地位如何确定

 

根据我国法律规定,在确定诉讼地位时,基本原则是原告选择被告,法院视情况追加第三人。而在这一过程中,厘清电子支付服务法律关系,有利于法院确立相关各方的诉讼地位。

 

电子支付服务法律关系,包括以下数个层面:

其一,电子支付机构与客户之间建立的是支付合同法律关系,服务内容是电子货币保管及资金代收代付。关联银行与电子支付机构建立的是支付服务合作法律关系。

其二,支付行为的独立性。电子支付机构不负责审查支付行为背后的基础交易是否真实有效,不负责处理由于基础交易而引发的纠纷。电子支付机构的“担保交易”服务,并非担保基础交易真实有效的意思。以支付宝为例,支付宝的担保交易功能,并不是担保法意义上的担保,其主要是指支付宝为淘宝网等电子商务平台上的交易双方乃至线下交易者提供代收代付的中介服务,类似于债务清偿的提存效果。支付宝公司并无对交易详情进行实质审核、担保交易安全的义务。故而,司法解释可以明确,客户以基础交易关系不合法、不真实、相对方有违约行为等基础交易关系的事由,请求电子支付机构承担赔偿责任的,不予支持。

其三,明确备用金所有权归属客户,电子支付机构受托保管,但客户完全承担使用支付服务期间由电子支付机构代为保管或代收代付款项可能承担的贬值风险及可能的孳息损失,电子支付机构没有义务向客户返还孳息。

 

在构造电子支付机构的责任体系时,必须注意的是,从支付流程来看,一个完整的支付法律关系应当区分为支付信息传递与支付授权识别(客户身份识别)两个环节,具体说来,应当以支付指令传送与支付指令验证为焦点,根据具体流程来确定电子支付机构、关联银行与客户的责任。

 

具体而言:第一,如果收付款双方均使用电子支付服务提供者支付账户内的预付价值余额,并且支付指令信息均是使用借贷簿记方式,而且都体现在收付款双方的支付账户内,此时真实的货币资金仍然停留在支付机构开设在备付金存管银行的备付金账户中,并未发生转移。在此情况下,支付指令与验证指令均由支付机构发出,法律纠纷发生在收付款人与支付机构之间,与银行无关。

第二,收付款双方均使用支付机构提供的账户,但是并未使用支付账户内的预付价值余额。在此情况下,首先,支付信息是通过支付机构传送,因此对支付机构的法律责任审核范围,应围绕其是否按照约定和监管要求,及时、准确、完整地传递客户支付指令而展开。其次,需要考察的是,验证指令是关联账户的银行发出还是支付机构发出,如果验证指令是由银行发出,发生非授权支付时,如果支付机构已经及时、准确、完整地传递了客户支付指令,则应由银行向客户承担法律责任。如果验证指令是由支付机构发送给客户,发生非授权支付时,应由支付机构向客户承担法律责任。例如,在快捷支付模式下,首次验证是通过银行发送验证指令,此后交易均由支付机构发送验证指令,在不同的情形下,法律关系的主体存在差异。

第三,收付款双方一方使用支付机构账户,一方使用银行账户。首先,需要辨别支付指令是由支付机构账户方还是银行账户方发出,以此判断法律关系主体。同理,在验证指令环节需要进行同样的识别与判断,以厘定不同的法律关系和责任承担。前述安排有助于识别支付纠纷下的责任主体和诉由,判断责任承担与归责方式。而支付机构或银行向客户承担责任后,可以根据支付机构与银行之间的业务合同约定明确各自责任的分担比例和方式。

 

因而,客户可以根据实际情况,确定起诉的对象。司法解释可以作如下规定:

 

电子支付机构与客户之间因支付服务合同发生的诉讼为合同之诉。客户以第三人侵权为由提起诉讼的,其申请追加电子支付机构为共同被告或者第三人的,人民法院经审查符合法律规定,应予准许。人民法院认为电子支付机构有必要作为共同诉讼当事人参加诉讼的,应依法追加其作为第三人参加诉讼。

 

在第三人侵权的情况下,要审慎判定电子支付机构参与诉讼的必要性,避免施加不必要的成本。例如,张三在线下遭到李四欺诈或胁迫而进行了网络转账,后来起诉李四。在此种情况下,张三或许会申请追加电子支付机构为共同被告或者第三人,法院在审查时,如果能够判定这是第三人侵权诉讼,可以要求电子支付机构配合调查,出具证明,以查明资金流向,但不宜将其列为共同被告或第三人。

    

举证责任如何分配

 

举证责任的分配,是电子支付服务引发的诉讼的核心问题。在确立相关规则时,务须遵循以下三点:其一,倾斜配置责任。基于信息与技术优势,支付服务机构承担更多的举证责任,具有正当性。从长远上看,也有利于提升支付的技术能力。其二,抑制道德风险。理想的规则设计,应当力避诱发道德风险,杜绝滋生“职业打假人”或“专业碰瓷者”的空间,否则,不仅会伤害行业发展,而且会带来沉重的社会成本。其三,场景控制原则。根据“谁控制、谁举证”的原则,区别电子支付不同环节,合理配置举证责任。以银行卡支付为例,该种支付方式分为物理(实体)卡支付与网络支付,交易过程异常可分为终端异常、客户端异常以及数据传输异常。终端异常全部由银行承担责任,客户端异常的原因则多种多样,需要具体分析;数据传输异常则可能是因为犯罪分子侵入系统或介入传输过程,也需要具体分析。但无论是哪种原因,只要不是因为客户的过错,银行均要承担赔偿责任。

 

因而,如何确定客户是否有过错,就成为了一个核心命题。

 

为了防止欺诈,传统支付工具中需要对客户向银行签发的指令进行认证,以确保账户所有人与支付指令发起人一致。对此,一种被普遍接受的可靠方式是核对签字或印章,但这仅限于面对面的场景。在不见面的电子支付场景中,如何验证支付指令发出人的身份、进而分配欺诈损失,仍然是一个悬而未决的重要问题。

 

为了解决资金在划拨过程中出现风险时产生的损失分配问题,美国《统一商法典》第4A编(Article 4A of Uniform Commercial Code)规定了支付指令发送人与执行该指令的接收行之间的权利义务关系。包括构成支付指令的接受与拒绝的条件(无论对错)以及如何修改支付指令、出现错误时发送人与接收行谁承担损失这样的关键问题。

 

根据美国《统一商法典》第4A编,资金划拨主要有两种错误,即未授权的支付指令与错误的支付指令。未授权支付指令规则的关键是发送人和接收行之间的“安全程序协议”约定。安全程序特指经发送人与接收银行双方协议约定并用以验证支付指令真实性的程序。其目的是双重的:其一,证实支付指令的信息是客户发出的,或者证实修改、撤销支付指令的信息是客户发出的;其二,发现支付指令或信息在传递过程上的错误。

 

为了平衡支付安全与支付效率,美国《统一商法典》第 4A编提出了“安全程序例外原则”,即要求接收银行与其客户就支付命令的安全验证程序和内容签订协议。根据该规定,原则上对于未经授权的支付命令所导致的客户损失应由银行承担;但是,如果接收银行与客户约定,以客户名义签发给接收银行的支付命令须经双方事先协议约定的安全程序核证,而银行在接受支付命令时尽了合理的注意义务,并且遵循了安全程序,则应由客户承担损失并就未授权的支付命令向接收银行付款。

 

所谓安全程序,是指客户与银行约定使用的密码或其他有效的身份认证手段,如果电子支付指令的发送、接收和执行符合安全程序,则视作该电子支付指令为客户本人或者授权他人发出。在一般情况下,客户只对经过其授权的电子支付指令负责,例如美国《统一商法典》第 4A 编明确规定,若银行收到的指令经过了安全程序的证实,由这一指令所产生的后果应由客户承担。安全程序规则必须满足以下四个条件: 其一,银行或支付机构与其客户达成协议,约定客户输入电子支付指令必须经特定安全程序确认;其二,该安全程序必须具备商业上的合理性和技术上的可靠性;其三,银行或支付机构出于诚实及善意接受该电子支付指令;其四,银行或支付机构按照安全程序对电子支付指令予以审核并执行。

 

该编对安全程序协议的内容与遵守执行有着严格的要求,具体如下:

1.双方同意。即所采用的安全程序应当经过银行与客户双方约定并以协议的形式予以体现。

2.具备商业上的合理性。判断标准包括,如客户的要求、银行对客户状况的了解、付款指示的种类、金额、频率、与其他种类的安全程序的比较、类似状况下通常采用的安全程序等。此外,还规定了视为具有商业上合理性的条件,即银行已提供具备商业合理性的安全程序,然而客户却加以拒绝,而自行选用另一种安全程序,且以书面明示同意,只要以其名义发出付款指示,不论是否经过授权,一旦收受指示的银行遵守其所选用的安全程序,加以承诺者,客户一概受其拘束。符合上述两条件之安全程序,即视为具有商业上之合理性。

3.主观善意,即收受指示的银行证明其本身乃依善意而遵循付款指示。美国《统一商法典》第4A编将“善意”定义为“事实上的诚实,并且遵守公平交易之合理商业标准。”

4.遵守安全程序,即收受指示的银行遵守安全程序的作业流程,以及遵守客户所发出的其他指示或书面限制约定(如金额上限、收款人名单等)。如果客户违反书面约定的要求,则收受指示的银行并无遵守的义务。

 

由此看来,美国《统一商法典》第4A编所确立的安全程序规则,最核心的部分为支付机构与客户双方所约定的安全程序是否具备商业上之合理性。

 

美国《统一商法典》第4A编主要调整的是大额资金划拨,对于银行利益的平衡考虑过多,对于普通消费者而言,在电子支付业务中面对银行或者支付机构的谈判能力相对较弱,因而在安全程序协议的约定、执行、遵守等问题上,客户选择权极为有限。尽管如此,安全程序原则确认的身份认证程序和要求,普遍原则和例外原则等规定为我国银行和支付机构所普遍采纳。以商业银行电子支付业务为例,《电子支付指引》第四十五条规定对于非账户所有人发出的电子支付指令,如果其身份认证和交易授权已经通过银行安全程序验证的,由此所造成的风险与损失都由客户自己承担,银行的职责仅在于积极配合查找原因,尽量减少客户的损失。

 

回到我国的场景。在制定司法解释的过程中,有一种观点认为,可以采取过错推定的方式,即规定:

 

非因客户自身过错造成客户经济损失,客户请求非银行支付机构赔偿损失的,人民法院应予支持。非银行支付机构以损失系客户自身过错所致进行抗辩的,应当对其主张承担举证证明责任。非银行支付机构能够证明客户对损害的发生存在过错的,可根据过错程度减轻非银行支付机构的责任。非因非银行支付机构及客户过错造成的客户经济损失,非银行支付机构对客户进行赔偿后,可向责任方追偿。

 

以上规定,体现了对消费者倾斜保护的理念,具有法理正当性,但其缺陷在于,仍然没有解决如何防范道德风险的问题,未考虑运用具备商业合理性的技术手段来完成举证责任,对电子支付行业发展的阶段性也未予充分考虑。

 

建议从以下方面着手完善:

 

其一,要求客户承担“非授权交易”的初步举证责任。“非因客户过错导致客户经济损失”的表述,已经表明这属于“非授权交易”的场景。由于该场景发生于使用环节,而客户是最主要的控制方,如果客户对于基础事实不承担任何举证责任,而完全由支付机构来承担,殊为不妥。目前,最高人民法院《关于审理银行卡民事纠纷案件若干问题的规定》(征求意见稿)为持卡人配置了初步证明义务:持卡人主张存在伪卡交易事实的,可以提供刑事判决、案涉银行卡交易时其持有的真卡、案涉银行卡交易时及其前后银行卡账户交易明细、报警记录、挂失记录等证据进行证明。在电子支付的场景下,也可以要求客户承担类似的初步举证责任,以证明发生的是“非授权交易”。例如,可以考虑规定:

 

用户主张在电子支付中存在非授权交易的,可以提供刑事判决、案涉时间及其前后其未进行电子支付、相近时期交易明细、网络异常交易记录、报警记录、挂失记录等证据进行证明。

 

其二,细化支付机构的举证责任。司法解释要求支付机构证明“客户自身过错”,但证明的具体对象是什么,什么情况下算是完成了证明,规定并不明确。在这种情况下,电子支付机构举证责任的承担,无疑将面临窘境。可以借鉴美国的规定,考虑引入技术因素,即如果支付机构建立了具有商业合理性的安全程序,而且与客户约定,如果客户的身份认证和交易授权已经通过安全程序验证的,则由此所造成的风险与损失都由客户自己承担。这里还须特别提及的是,这套程序要保证支付指令及验证程序必须具有完整性、一致性及可追溯性。国家监管部门可以考虑制定这方面的监管规定、行业标准和信息安全管理要求。

 

其三,动态调整举证责任分配规则。向支付机构倾斜配置举证责任,确有督促其提升技术能力的考量,但也不能操之过急,须与市场发展阶段、客户诚信水平、机构技术能力相适应,动态调整举证责任的配置。例如,现在在西部偏远地区,还有许多民众还没有用上智能手机,不要说扫脸识别,甚至连指纹识别都做不到;再如,某些特殊群体从事的是保密职业,不适合进行刷脸和指纹识别,如果要求所有客户都必须通过生物特征验证才能发出支付指令,则势必会弱化、甚至消灭对此类群体的支付服务,伤害了支付机构普遍服务的价值体系。

(本文作者系上海市政府法制办副主任、  教授)

栏目主编:王海燕 文字编辑:王海燕 题图来源:视觉中国 图片编辑:邵竞
  相关文章
评论(1)
我也说两句
×
发表
最新评论
快来抢沙发吧~ 加载更多… 已显示全部内容
上海辟谣平台
上海市政府服务企业官方平台
上海对口援疆20年
上海品牌之都建设推广服务平台
举报中心
网上有害信息举报专区
关注我们
客户端下载