无障碍浏览||返回首页
您当前的位置:首页 > 法院文化 > 法学探讨
线上非授权支付裁判规则研究
【发布时间:2018-08-28 15:07:45】 【稿件来源:广州中院金融庭】 【作者:黄雪梅、赵琦铭、张筱锴、周冠宇】 【关闭】

 

 
  摘要  线上支付作为支付结算方式的一种创新,正深刻改变着人们的消费文化和消费习惯,随着用户群的扩大以及涉诉案件的增长,其法律适用已成为社会关注度较高的司法热点。作为一种新类型纠纷,线上非授权支付尚无专门立法可循,导致相关案件的审理思路和裁判尺度存在较大差异。本文以广州市两级法院的审判实践出发,对不同类型的线上支付模式进行梳理研究,厘清交易主体之间的法律关系,探索举证责任分配规则,并根据不同交易模式提出有针对性的审理思路,以期规范实务操作,统一裁判尺度,引导线上支付业务良性发展。
  关键词  线上非授权支付   安全保障    举证责任   审理思路
 前言
本文所称线上非授权支付,是指未经持卡人授权的情况下,他人擅自使用银行卡信息,通过互联网渠道向资金存管机构发出支付指令,经由资金存管机构认证指令后划转资金,从而导致持卡人账户资金减少或信用透支额度增加的行为。随着互联网与银行支付结算业务的深度融合,由线上非授权支付产生的纠纷不断涌现,其法律适用问题已成为司法实务的热点。因相关法律及司法解释尚付阙如,不同经办法官受知识背景、个人经历的影响,对诉讼双方权利义务、举证责任分配乃至案件处理的价值取向等问题难免产生不同认识,导致审判实践中出现同案不同判的现象。有鉴于此,本报告对不同支付模式的流程进行梳理,结合民商事理论以及证据法原理,厘清涉诉主体法律关系、明确举证责任分配标准,继而根据不同支付模式提出有针对性的审理思路,以期统一裁判尺度,并希望通过司法的社会导向功能,规范线上支付业务运营,保障金融消费者的合法权益。
一、线上非授权支付纠纷审理情况
(一)案件审理情况

   1广州市两级法院近年线上非授权支付纠纷结案情况统计

 

年份
2014
2015
2016
2017(1-6月)
线上非授权支付纠纷结案数量
15   
50
76
24
占当年银行卡非授权纠纷结案的比例
3.39%
15.62%
20.48%
27.27%

        
线上非授权支付纠纷所涉案由分布情况
银行卡非授权交易通常是指在未经持卡人明示或者暗示授权的情况下,他人使用银行卡信息导致该持卡人账户内资金减少或者信用透支额度增加的交易。[2]其传统纠纷类型为他人伪造银行卡进行资金盗刷,相关案件在全国各地金融审判中均占有一定比重,而线上非授权支付纠纷作为该类纠纷的一种新形式,是与互联网支付业务的发展相伴而生的。
2014年1月1日至2017年6月30日,广州市两级法院共审结1221件银行卡非授权交易纠纷,其中,线上非授权支付纠纷案件共有165件,共涉及借记卡纠纷、储蓄存款合同纠纷、信用卡纠纷三种不同案由(如图1)。由表1可见,线上非授权支付纠纷的结案量近三年来增长趋势明显,占银行卡非授权交易案件的比重也逐年增大,反映出线上支付在为消费生活带来便利的同时也存在不可忽视的安全风险,相关主体责任亟待厘清。本文以上述165件线上非授权支付纠纷案作为研究样本,经分析发现该类型纠纷的审理情况呈现如下特点
1.从胜败诉情况来看,165件样本案件中,银行胜诉率(持卡人承担全责的案件比重)为53.90%,从2014年至2016年呈逐年下降趋势(如图2)。出现上述变化一方面与法院对线上支付及其所涉法律问题的认识发展有关,另一方面,银行作为专业的金融机构,未能为客户提供更安全的支付认证方式。亦未对其已履行的安全保障义务进行积极举证,导致败诉率增加。
  2  广州市两级法院近年线上非授权支付纠纷案责任承担趋势
2.从纠纷所涉的线上支付类型看,第三方支付占50.9%,网上银行占14.8%,银行系统快捷支付占22.2%(如图3)。其中,涉第三方支付案件的增长率最高 (如图4)。可见,虽然第三方支付因其便捷性更受用户青睐,但安全风险亦更高,故有必要发挥裁判的社会导向功能,提升持卡人的保密意识和风险防范意识,同时促进该种支付模式的安全性不断升级与完善。
 
 3    样本案件所涉线上支付模式比例图示
4  2014-2016年各种支付模式案件数量变化趋势
            
3. 从涉案主体来看,在165件样本案件中,发卡行全部作为被告参与诉讼,其中仅有5件案以收单行为共同被告,4件案以第三方支付机构为共同被告,1件案追加第三方支付平台作为第三人参与诉讼,其原因在于该类型案件中持卡人多以合同纠纷起诉,而在非授权交易中,第三方支付机构、收单行与持卡人之间并无直接的合同关系。
(二)涉案线上支付交易模式梳理
线上支付无需以银行卡作为交易介质,即交易过程中无需通过ATM、POS机等设备读取银行卡芯片或磁条信息。这是其与传统银行卡支付方式的最大区别。样本案件涉及的线上支付交易模式主要有以下几种类型:
1.网银支付。是指需要持卡人本人到柜台开通,交易时通常需要使用物理支付介质[3](如U盾、K宝等)到开卡行官网进行的一种在线支付方式,网银支付终端并不限于电脑,在手机上也可完成交易。以工商银行网银交易为例,其流程如下:第一步,用户持本人有效身份证、银行卡到银行柜台开通网上银行业务;第二步,取得网上银行支付介质(U盾、K宝等)并设置网银支付密码;第三步,成功开通后,在银行官网输入银行卡信息、网银登陆密码登陆网银账户,同时插入U盾或其他支付介质、输入网银支付密码即可完成支付。具体交易步骤如下:
5 网上银行交易流程图(以工商银行为例)
2. 银行系统快捷支付[4]。该类型支付方式一般需要先在银行官网开通,支付过程中并不需要相应的支付介质,仅需在银行官网输入相关的认证要素(银行卡号、手机号后4位、短信验证码等)即可开通并进行交易。但不同银行设定的认证要素不同,建行账号支付要求持卡人输入银行卡密码(取现密码)方可开通,而在此后的交易中,输入银行预留手机号后四位以及短信验证码即可完成。工行e支付要求持卡人登录网上银行进行开通,在交易过程中输入预留手机号、卡号、短信验证码即可完成以工行e支付为例,其流程如下:第一步,登录工行官网在线开通工行e支付;第二步,在B2C页面选择付款方式为工行e支付;第三步,输入手机号、账户名及短信验证码即可完成付款。
 
      6 银行系统快捷支付交易流程图(以工行e支付为例)
3.第三方支付。该支付方式为无介质支付,需要注册第三方支付平台并绑定银行卡才能进行交易。基本操作步骤如下:第一步,持卡人注册第三方支付平台账户;第二步,将银行卡与第三方支付平台绑定,绑定过程中,持卡人须先输入身份信息、银行卡号以及该银行卡在银行预留的手机号后银行向持卡人在银行的预留手机号发送短信验证码。在持卡人身份信息、银行卡号、手机号码以及短信验证码等相关信息经验证一致后完成绑定,并由持卡人自行设置交易密码;第三步,具体交易发生时,持卡人需登陆第三方支付平台账户,凭事先设定的交易密码进行交易。以支付宝为例,具体流程如下:
           7  第三方支付交易流程图(以支付宝为例)
 
(三)线上非授权支付纠纷关联事实分析
   线上非授权支付因具有虚拟性与隐蔽性,在相关刑事案件被侦破前,交易细节难以彻底查清。但从样本案件查明的事实来看,持卡人存款被盗往往与以下情况存在关联:
一是持卡人受电信诈骗或登录钓鱼网站导致信息泄漏。主要包括:一是不法分子窃取持卡人身份信息以及银行卡信息后进行网上消费,在需输入短信验证码时,冒充银行客户经理致电持卡人,诱骗持卡人告知其手机所获取的短信验证码[5];二是不法分子用短信发送器冒充10086或银行客服电话向持卡人发送链接,告知其登录链接网站可以获取优惠券或积分,持卡人点击链接后,按网站指示输入本人身份信息、银行卡号、短信验证码等资料,卡内的资金即被盗取[6];三是持卡人接受电脑远程服务,在此过程中插入网银介质,输入交易密码而导致信息泄露[7]
二是持卡人在银行的预留手机号被修改导致资金失窃。持卡人在将第三方支付平台与银行卡绑定时,必须输入正确的短信验证码,而持卡人于发卡行处预留的手机号是其接收上述验证码的唯一载体。在开通账户余额变动提醒功能的情况下,账户余额变动信息也是直接发送至持卡人的预留手机号。因此,一旦预留手机号被他人修改,则银行在线上支付中据以验证持卡人身份的短信验证码亦被他人所获取,持卡人账户资金即处于随时可被他人支配和处分的境地,持卡人甚至无从获知资金被划转的信息。不法分子修改持卡人预留手机号的手法主要有如下两种:一是持卡人身份证被盗或丢失后为不法分子所获,不法分子持该身份证到同一银行系统开立新卡并预留其自己的手机号,由于同一储户在同一银行系统的预留手机号往往具有唯一性,持卡人之前在该行开设其他账户时预留的手机号随之亦被修改,不法分子再通过线上支付的方式盗取资金[8];二是不法分子以提高信用卡额度为由,诱导持卡人将银行卡的预留手机号码修改为不法分子的手机号或其掌握的号码,进而通过网上银行或第三方支付平台将持卡人卡内资金转走[9]
三是持卡人的手机于账户异动期间出现异常。手机作为广泛使用的支付终端,其系统的稳定与安全直接关乎持卡人的资金安全。部分案件中,持卡人的手机于涉案交易发生期间出现异常甚至无法使用,随后卡内资金便通过第三方支付平台被转走。例如,持卡人的手机在交易发生前后频繁对外发出短信,而对于银行向持卡人发出的短信验证码或余额变动提醒信息却无法正常接收,导致持卡人未能及时获悉交易相关情况。[10]
从上述情况来看,持卡人泄露密码信息[11]的行为与线上非授权支付发生之间往往存在密切关联。在样本案件审理过程中,虽然部分银行未能对其如何履行安全保障义务进行充分举证,但就现有证据查明的事实而言,也未发现银行在验证、执行支付指令的过程中存在错误的情况,这在一定程度上反映了持卡人泄露密码信息是造成其资金损失的主要原因。
(四)线上非授权支付裁判结果分析
按涉诉双方承担责任的情况来看,主要表现为三种裁判结果:
1. 银行承担全部责任。法院判决银行承担全责的依据往往是银行在支付过程中未尽安全保障义务,也有部分案件中银行由于对支付方式、资金流向等未尽举证责任而败诉。一般有如下理由:一是银行未能提供证据证明其于涉案交易发生前时已采取合理方式验证交易者身份,故判决银行承担全责[12];二是在涉第三支付平台交易中,银行未能提供持卡人开通并使用第三方支付的证据,法院认定银行应承担举证不能的不利后果[13];三是不法分子拾获持卡人身份证后,冒用持卡人名义到银行柜台以开办新卡的方式修改持卡人的预留手机号,法院认为银行没有尽到核查的义务,故判决银行承担全部责任[14]
 2. 持卡人承担全部责任。该类案件中,法院往往通过支付过程中需要认证的要素以及支付结果去推定持卡人存在泄密行为,至于银行为何免责,有的案件认为银行已尽到安全保障义务而免责,有的案件认为持卡人未能举证证明银行存在过错而应承担举证不能的不利后果。具体理由包括:一是涉案交易过程中银行已通过短信验证码等信息验证操作者身份,在交易发生后亦向持卡人发出余额变动提醒短信,法院认为银行在涉案交易中并无过错[15];二是在线上过程中所需的密码信息只有持卡人本人掌握,法院认为持卡人的泄密行为是造成错误给付的原因[16];三是持卡人开通网上银行且涉案交易是通过网上银行发生,网银交易所需密码信息和支付介质由持卡人保管,法院认为持卡人未能举证证明银行在支付过程中存在过错,应自行承担相应损失[17]
 3. 持卡人和银行按过错程度分别承担责任。当资金损失是由于持卡人与银行双方的过错所造成,法院往往根据银行与持卡人的过错程度分别确定其应承担的损失责任,主要有如下理由:一是持卡人虽然有泄露密码信息的行为,但银行的支付系统也存在较大的安全隐患,如涉案交易额超过该种支付方式所允许的限额、在无介质的情况下发生网银转账等;二是根据交易流程所需认证的信息由持卡人掌握的事实,推定是持卡人泄露了交易相关信息,而银行亦未能提供证据证明其在涉案交易过程中尽到了身份验证和通知提醒义务;三是持卡人对身份信息、密码信息保管不善承担主要责任,而银行采取的认证要素相对简单,不足以充分保护持卡人的交易安全,也应承担相应的赔偿责任[18]
(五)审判实践中存在的问题
一是未能脱离传统银行卡非授权支付案件的处理思路。传统的银行卡非授权支付案件通常是不法分子复制银行卡,然后利用伪卡到ATM机取款而造成持卡人损失,其裁判思路如下:首先判断涉案交易是否持卡人本人所为,若非持卡人本人所为,再根据持卡人与银行各自的过错分别确定其责任。在样本案件中,有41件案也是遵循上述思路进行处理。由于线上支付并非通过实体银行卡、持卡人签名等物理信息发生,交易终端可以是任何一台电脑或移动设备,法院难以根据交易行为地与持卡人处所的距离,交易卡样式、交易时间和报案时间等推断涉案交易是否持卡人本人所为。从持卡人的角度而言,则很难提供确切证据证明涉案交易并非其本人或其授权的第三人所为,如按照盖然性的标准去判断涉案交易是否为非授权支付,再进行持卡人与银行间的责任分配认定,则会加重持卡人的证明责任负担,容易导致其在交易事实未查清的情况下,承担举证不能的败诉风险。
二是混淆线上支付的交易流程。互联网的发展催生了多元化的支付方式,不同类型的支付方式、不同银行提供的同类支付方式在支付介质、认证因素要求方面均有所不同,而部分办案法官在案件审理过程中未加以注意,未能根据具体支付方式的特点对涉诉主体的违约或侵权情况予以审查,导致交易流程查明错误,也造成举证责任分配及赔偿责任认定方面的失衡。例如,从目前掌握的情况来看,第三方支付平台支付的开通及交易过程不需要进行银行卡密码认证,有判决认为,持卡人对银行卡密码保管不善,应自行对其损失承担责任,[19]显然未将第三方支付流程与银行卡实体交易流程进行区分。再如,第三方支付平台无需通过登陆网上银行进行开通,仅在支付平台账户与银行卡进行首次关联时,由银行对操作者的身份进行验证,有判决认为,银行未能提交持卡人未开通网上银行的证据,由此产生的资金损失不应由持卡人承担,实质混淆了第三方支付与网银支付的流程。
三是证据规则适用标准不统一。由于现行法律以及司法解释未对涉网络纠纷案件的证据规则作出具体规定,不同法官受价值取向以及对网络交易本身的认识不同所影响,在分配举证责任时难免有不同认识,在样本案件中,我们发现举证责任分配结果迥异的情况比比皆是,例如,对于密码信息的泄露行为,有16份判决明确将持卡人泄露密码信息的举证责任分配给银行,有40份判决指出应由持卡人举证证明银行具有泄露上述密码信息的过错,否则将承担举证不能的不利后果,另有部分判决未明确举证责任如何分配。例如,对于银行是否尽到身份验证义务的证明责任,有的判决认为银行系统向持卡人预留手机号发出短信验证码,即已尽到身份验证义务,不问持卡人是否实际收到上述信息,有的判决认为,银行未能证明其短信验证码、余额变动提醒短信已向持卡人送达,应认为其未尽身份验证义务。
四是裁判尺度不一致。由于规范线上支付业务的部门规章处于较低的法律位阶,对解决该类型案件的权利义务认定、责任分配等问题未能提供确切的法律适用指引,审判实践中同案不同判的现象时有发生。例如,在查明持卡人存在密码信息泄露行为,而银行在交易过程中并无明显过错时,有的判决认为银行无需承担法律责任,有的判决根据公平原则判决银行承担一定比例的赔偿责任,还有判决认为银行在为持卡人开通相关支付方式时,未明确提示交易风险,因而对持卡人损失承担次要责任。例如,对于银行是否尽到安全保障义务,有的判决认为银行在交易前采取合理方式验证操作者身份,即已尽到安全保障义务,有的判决认为银行需同时做到在交易前验证操作者身份、在交易后对持卡人进行通知提醒两方面义务,才不构成违约
   
、线上非授权支付纠纷涉诉法律关系分析
从样本案件的审理情况来看,线上非授权支付纠纷通常涉及持卡人与发卡行两方法律主体,部分案件涉及第三方支付平台。下文从民商法的基本理论出发,对涉案各主体之间的法律关系进行梳理。
1.从存款的法律属性看涉诉请求权性质
持卡人、发卡行、第三方支付机构因资金交易而发生纠纷的,持卡人可对另两方主体行使何种请求权,与存款的法律属性密切相关。
关于存款的法律属性,理论界存在不同观点。一种意见认为,存款人对银行账户资金享有所有权,存款人将货币交予银行,作为价值形态存在的所有权并未发生转移,存款人仍然可以直接支配作为价值形态存在的银行资金[20]。《中华人民共和国物权法》第二篇所有权第六十五条也规定:“私人合法的储蓄、投资及其收益受法律保护。” 另一种意见认为,持卡人对其存款的权利实质系持卡人对银行的债权,由于货币“占有与所有”相统一的原则,持卡人将存款存入借记卡,该款项的所有权即归属于银行,发卡行并非依据侵权行为法或合同法上的安全保障义务对持卡人承担责任,而是因违反银行卡合同主给付义务而对持卡人承担违约责任,[21]故伪卡交易损害的是发卡行的财产。
我们认为,存款在法律上应视为兼具物权性质和债权性质的财产权益。理由如下:首先,如若将存款单纯视为一种债权性质的财产,根据合同法的基本理论,债权不得作为侵权的客体[22],因第三方原因导致违约的,债权人仍只能请求债务人承担违约责任,这与银行卡非授权交易纠纷的实务做法并不一致[23]。由于给付错误可能是由收单行或第三方支付机构的原因造成,持卡人无从起诉上述机构将导致其权利得不到有效的救济。其次,现代社会的物权制度,是以财产的价值性为支点[24],于货币而言,经济学意义上的货币反映的是市场购买力,并不等同于货币实体,货币本身之用益价值极微,其主要价值在于交换价值。因此,货币转移占有并未使持卡人实际丧失对货币的收益和处分权,持卡人仍然可以自由决定账户资金进出、以账户资金进行交易和结算,银行对持卡人的义务亦不限于债之清偿,更多的是一种保管、支付、结算的综合性金融服务。再次,银行实行按户管理制度,使得存款在一定程度上特定化。借记卡的余额、信用卡的消费额度均与个人实名挂钩,实质属于个人名下的一种财产性权益,其额度变动意味着所有者可支配财产的减少。第四,与普通债权不同,持卡人对银行的本息支付请求权不仅不受时效限制,[25]也可以向与其并无合同关系的其他银行主张。同时,认可存款的物权性质并不妨碍持卡人与发卡行之间成立合同关系,并享有合同项下的储户权益,从而全面维护存款安全。
因此,在线上非授权支付纠纷中,持卡人因存款被盗,既可以以违约关系起诉发卡行,也可以以侵权关系起诉发卡行以及收单行、第三方支付机构等。
2.线上非授权支付纠纷的涉诉主体梳理
多数线上非授权支付纠纷案中,持卡人是以合同关系进行起诉,故当事人通常只涉及持卡人与发卡行两方主体。相较于银行卡盗刷纠纷,线上非授权支付纠纷中当事人极少以侵权关系起诉发卡行,理由在于侵权责任以过错责任为归责原则,而支付指令相关电子数据往往储存于银行的内部系统,持卡人要证明银行在支付过程中存在过错往往比较困难。在持卡人以侵权关系起诉的案件中,有少部分案件将第三方支付平台,收单行列为共同被告。
实践中,争议较大的是在涉及第三方支付的案件中,若持卡人仅以合同关系起诉发卡行,应否追加第三方支付平台参与诉讼?虽然基于合同的相对性原则,第三方支付平台并非违约责任主体,不属于适格被告。但对于是否需要追加第三方支付平台作为第三人参与诉讼,以便查明案件事实,实践中存在不同见解。有观点认为,将第三方支付平台追加为第三人,有利于查明持卡人在第三方支付平台的注册信息、查明款项的支付途径以及身份验证的过程。我们认为,追加第三方支付平台参与诉讼就目前而言必要性不是很大。理由如下:首先,部分案件中,持卡人的交易涉及多个不同的第三方支付平台,若一一追加为第三人,则导致案件当事人众多,为送达、庭审工作带来困难,影响案件的审理效率。其次,因线上支付多数属于网关支付,即第三方支付平台所收集的网上支付电子信息必须通过互联网公共网络和银行内部的专用网络之间的网关安全接口进行传递[26],银行有义务采取技术措施保障来自第三方支付机构的传输数据和操作指令的完整性、一致性和不可抵赖性,其是否违约不一定要通过第三方支付机构的支付行为来判断。再次,在第三方支付平台未参加诉讼的情况下,可以通过合理分配举证责任来完成相关事实的审查。例如,可将交易相关数据的举证责任分配给发卡行,再由发卡行依据其与第三方支付平台之间的协议,向第三方支付平台取证。
3.持卡人义务分析
各大银行制定的银行卡领用合约、个人客户服务协议以及银行卡章程等均明确了持卡人的义务,总体而言,持卡人在使用银行卡过程中负有如下义务:
(1)妥善保管身份信息、密码信息的义务。各大银行的银行卡领用合约普遍规定:凡使用密码进行的交易,发卡机构均视为持卡人本人所为。凡依据密码等电子信息办理的各类交易所产生的电子信息记录均为该项交易的有效证明;凡未用密码进行的交易,则有持卡人签名的交易凭证,或依据不同的安全要素组合办理的各类交易所产生的电子信息交易记录为该项交易的有效证明。该规定有以下含义:
一是“密码交易”推定为本人交易,银行卡交易过程中,“密码”是交易者身份识别的关键因素。银行卡密码由持卡人设定,并通过加密保存和传输。即使是银行也无法掌握,持卡人作为密码的唯一掌握者,自然有保管密码不被他人获取的义务
二是密码交易产生的电子信息可以作为交易有效的凭证,无需另以持卡人签名的交易凭证证明其交易意思表示。因此,只要银行正确地执行了密码等电子信息所形成的支付指令,即应认为是按照持卡人的意思履行给付义务,实践中,有观点认为银行向他人支付持卡人存款的,应当有双方的合同约定和签购单等消费事实,'实质是对线上支付的交易规则理解不透。
三是交易者身份认证要素并不限于银行卡密码,也包括其他能够识别持卡人身份并表明持卡人认可交易内容的安全要素。电子支付的发展催生了多元化的交易方式,交易者身份认证要素已扩大至信用卡电话服务密码、短信验证码等个人隐私数据。《中华人民共和国电子签名法》第二条规定:“电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。”根据上述规定,由于信用卡电话密码、短信验证码等数据由持卡人掌握,具有高度隐私性,其经输入认证后产生的交易指令可表明持卡人知道并认可交易相关内容,故上述数据具有电子签名效力。因此,持卡人的密码保管义务应扩大至上述身份认证要素。在持卡人本人开通了网银支付、第三方支付等功能时,依据相应的服务协议,持卡人也应对U盾、K宝等支付介质以及账户密码、交易密码等密码信息负有妥善保管义务。
(2)及时采取措施防止损失扩大的义务。《中华人民共和国合同法》第一百一十九条规定:“当事人一方违约后,对方应当采取积极的措施防止损失的扩大;没有采取适当措施致使损失扩大的,不得就扩大的损失要求赔偿。当事人因防止损失的扩大而支出的合理费用,由违约方承担。”在银行已经通知或持卡人已通过其他方式获知非授权交易发生时,持卡人应及时挂失银行卡。否则对于扩大的损失部分,不得要求银行赔偿。
4. 发卡行的义务分析
(1)发卡行义务来源的法理基础
现代合同法形成了以缔约人约定,诚实信用原则、法律规定等为基础产生的合同义务群。[28]实践中,银行卡领用合约往往未能详尽银行义务,甚至未明确银行义务的履行标准和程度,对银行义务应结合银行法律法规以及银监局、人民银行所颁布的规章进行综合认定。
案件审理过程中,不少持卡人提出银行作为存款的管理机构,有更强的能力防范风险,故其安全保障义务是绝对的,一旦发生存款被盗,银行即应承担相应的赔偿责任,而银行往往主张其业务操作规程并没有违反相关法律法规以及监管部门的规定。那么,银行对持卡人的安全保障程度,是否应以法律法规以及监管部门要求的方式和标准为限?就司法的社会导向而言,风险分配规则应该促使风险防范成本最低的当事人采取积极的措施去防范风险。[29]然而,具体到线上非授权支付纠纷,虽然银行的经济优势地位、信息掌控能力使其具有更强的风险防范能力以及交易的主动权,但交易的效率与安全从来是一对需要不断调和的矛盾,从商事交易的未来发展来看,数据化、网络化、虚拟化势必成为趋势,若将银行的安全保障义务绝对化,则无疑对银行要求过苛,这样既有违公平,也不符合前述风险分配规则,不利于线上支付业务的良性发展,甚至极端化可能导致每次交易时,银行都采取物理认证方式(如网点柜面认证、物理交易介质认证等)对持卡人进行身份认证,大大降低交易效率,相应产生的交易成本最终亦是由金融消费者承担。因此,银行在支付过程中有无违反安全保障义务,应根据其支付操作过程是否符合法律法规以及监管部门要求的方式和标准来判断。
(2)发卡行的具体义务要求
《商业银行法》第6条规定:“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。”上述规定中的安全保障义务应包括静态的安全保障义务以及动态的安全保障义务。从静态角度来讲,银行有义务保障支付系统的安全性,并对客户信息履行保密义务。例如银行的支付系统采取安全、无漏洞的支付认证方式,在存在支付介质的情况下,要求支付介质作为识别持卡人身份的必备要素。从动态的角度来讲,银行应在交易过程中尽到如下义务:
一是客户身份认证义务,即在线上支付过程中,银行必须采取合理的措施验证操作者身份,确保交易的发起是持卡人本人所为或得到持卡人的授权而为。这往往通过设置支付验证要素如支付密码、短信验证码、银行卡信息等来实现。对于第三方支付交易,由于第三方支付平台与银行之间是“一次签约、多次支付”的业务合作关系,故与其他支付方式不同,在银行卡与第三方支付平台实现关联后,每次支付过程中的验证义务由第三方支付机构完成。而银行的验证义务来源于《中国银监会中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》(银监发[2014]10号)第三条的规定,即首次建立业务关联时,必须通过第三方支付机构和银行的双重身份鉴别,而账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份。
二是通知、提醒义务。通知、提醒义务源自合同法的诚实信用原则。包括两方面:一是如果持卡人开通了手机短信提醒功能,银行应在交易发生后及时通过短信方式向持卡人提示账户余额变动情况;二是即使持卡人没有开通短信提醒功能,当客户账户发生大额、频繁的异常变动时,从保护金融消费者权益的角度出发,银行也有义务对持卡人进行必要的通知、提醒。
审判实践中,还需要协调安全保障义务与给付义务的关系,给付义务仍是储蓄存款合同的主要义务,银行执行了正确的支付指令,即应视为其依约向持卡人本人或其授权的第三人履行了合同义务。即使资金的操作主体另有他人,出于“密码交易”的有效性,应视为实际操作人具有经授权操作的外观,根据表见代理的理论,应认为银行的履行行为有效,不能认定其违反了安全保障义务。
三、线上非授权支付纠纷裁判规则构建
(一)举证责任分配规则探索
由于缺乏上位法规定,法官在审理线上非授权支付纠纷案件时,对举证责任的分配具有较大裁量空间,为避免同案不同判,有必要从该类型案件的证据特点出发,建立多层次的举证责任分配规则,对法官的裁量权予以适当的引导与限制。
1. 线上非授权交易案件证据特点及审查困境
线上支付具有虚拟性、隐蔽性,其交易操作所涉证据多表现为具有易损性、专业性和可复制性的电子数据,难以采集和固定,也难以在法庭上清晰展示,导致相关案件直接证据偏少。持卡人往往只能提供银行卡流水、报警记录证明其损失情况,而难以确切证明其账户资金是在非本人授权的情况下被转走。银行虽然掌握着支付数据,但其支付过程并非面对面交易,难以通过支付指令去获取交易发起人的身份信息,要求其证明交易发起人为持卡人本人亦有困难。同时,银行并非交易相关密码信息的掌握者,若将持卡人违约的证明责任一刀切地分配给银行亦有失公平。考虑上述情况,法官在分配举证责任时应避免单边化、机械化,而应引导双方积极举证,从而在尽可能获取完整信息的基础上作出裁判,避免法律事实过度偏离客观真实。
2. 举证责任分配的层次内涵
《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》(下称《民诉法解释》)第90条规定:“当事人对自己提出的诉讼请求所依据的事实或者反驳对方诉讼请求所依据的事实,应当提供证据加以证明,但法律另有规定的除外。在作出判决前,当事人未能提供证据或者证据不足以证明其事实主张的,由负有举证证明责任的当事人承担不利的后果。”由此可见,举证责任具有双重含义:一是主观证明责任,即当事人在诉讼中对所主张事实进行举证的责任;二是客观证明责任,即要件事实真伪不明时败诉风险的负担责任。
在客观证明责任方面,我国的审判实践深受规范要件说影响。该学说认为,法官可在实体法规范体系内,寻找证明责任分配的依据。此观点在《民诉法解释》第91条得以阐明,即主张法律关系存在的当事人,应当对产生该法律关系的基本事实承担举证证明责任;主张法律关系变更、消灭或者权利受到妨害的当事人,应当对该法律关系变更、消灭或者权利受到妨害的基本事实承担举证证明责任。虽然对于线上支付纠纷目前尚无明确的实体法依据,但从权利请求以及抗辩的一般要件来看,持卡人以合同关系起诉发卡行的,需举证证明涉案交易造成其损失以及银行存在违约行为。而银行也需根据其抗辩主张就以下事实进行举证:一是银行已依法依约审核支付指令,履行给付义务;二是持卡人存在违约行为,如持卡人泄露密码信息,在发现交易异常后未能及时挂失止损等。然而,如果仅凭规范要件分配举证责任,未能针对线上非授权支付案件的证据特点,将当事人的举证能力、与证据之间的距离等作为举证责任分配的考量因素,难免造成证明举证责任分配的单边化,既不利于查清交易事实,也将导致持卡人与银行之间的利益保护失衡。
从举证责任分配的价值取向来看,《最高人民法院关于民事诉讼证据的若干规定》第7条规定,在法律、司法解释没有明文具体规定的情况下,人民法院可以根据公平原则和诚实信用原则,综合当事人举证能力等因素确定举证责任的承担。这就对法官在分配举证责任时提出了三个价值取向方面的要求,即公平、诚实信用、契合当事人的举证能力。
我们认为,为使裁判认定的事实接近客观真实,并公平分配双方当事人的败诉风险,应从以下两方面去建构证明责任的层次:一是从请求权或抗辩的基础要件出发,结合当事人举证能力决定客观证明责任的分配;二是从事实判断出发,根据公平、诚实信用的原则,去实现主观证明责任的动态调整。
3. 多层次举证责任分配规则的思维路径
一是从请求权或抗辩的基础要件出发,综合考虑双方当事人的举证能力分配客观证明责任。持卡人作为权利的主张方,有义务根据法院的要求提供以下证据:(1)资金流水清单、报警回执等,证明其损失情况;(2)网银支付介质、手机等,证明其对交易工具尽到基本的保管义务;(3)手机短信清单,证明其手机正常使用以及相关短信接收情况。银行则作为账户的管理主体以及交易数据的掌握者,具有较强的技术能力和信息优势,应提供以下证据:(1)资金的流向信息,证明涉案交易是通过何种支付方式进行、所涉资金进入何人账户;(2)交易流程相关证据,证明涉案交易相关操作指令的认证方式以及认证要素;(3)持卡人开通线上支付功能的记录,证明是持卡人自愿选择开通相关支付功能,并接受服务协议条款;(4)相关支付业务的服务协议,证明持卡人以及银行的行为是否符合协议的约定、银行对持卡人有无进行风险提示;(5)有关银行履行安全保障义务的证据,例如,在为持卡人开通相关支付业务、进行线上交易时,银行已采取短信验证码或其他方式验证操作者的身份,并依照服务协议对持卡人进行通知、提醒。客观证明责任分配决定了诉讼活动开始阶段举证责任的分担,责任承担主体只有在对待证事实承担基本举证责任后,才发生举证责任的转移问题。
二是运用经验法则进行必要的事实推定,合理免除事实主张方相应的举证责任。由于举证责任分担实质上是在双方当事人之间分配事实无法证明时所产生的不利诉讼结果,为了使裁判总体上符合真实,证明责任的分担就必须同概率分析显示的结果,同日常生活经验中得出的结论相一致。[30]故在分配举证责任时,可根据日常生活经验分析待证事实的出现概率,若待证事实出现概率极高,在无相反证据予以推翻的情况下,应免除当事人关于该事实主张的举证责任。例如,对于交易相关密码信息被他人盗取而发生支付的,应推定持卡人存在泄漏密码信息的违约行为。对于支付系统的安全性,由于各大银行的在线支付系统均需经过多次的评估与测试并经验收合格方可投入运营,除非持卡人有证据证明该系统存在漏洞,否则不宜轻易否定银行支付系统本身的安全性。
三是根据双方的举证程度和取证条件,进行主观证明责任的适时转移。证明责任转移是指将本该由一方当事人承担的举证责任,转移由另一方当事人承担,其目的在于鼓励双方举证,以使裁判认定的事实尽可能接近客观真实。这主要基于以下两方面考虑:一是公平原则。双方当事人对某一待证事实的证明条件、证明能力往往是不平等的,可能存在一方当事人占有或接近证据材料,有条件、有能力收集并提供证据,而另一方当事人远离证据材料且缺乏必要的取证途径的情况。只有将证明责任适时转换给有条件、有能力证明争议事实的一方当事人,才符合证明责任分配的公平性要求。但证明责任转移的前提仍要求主张该事实的一方当事人提供关于待证事实存在的初步证据,只是其证据证明度无需达到盖然性的要求。二是诚实信用原则。法律虽然将举证责任加于某一方当事人,但如果对方当事人违反诚信原则,实施妨害举证或违反禁反言行为时,举证责任应转由对方当事人负担。
例如,对于银行已履行通知、提醒义务的证明责任,实践中存在较大争议。此类争议中,银行往往通过系统打印的短信发送记录证明其向持卡人的银行预留手机号发送了交易提醒短信,而持卡人则抗辩没有实际收到银行发送的短信,在此情况下,银行是否已完成关于通知提醒义务的举证责任?否定性观点认为,在合同法中,无论何种通知,均在到达且仅在到达被通知人时方可发生法律效力,有鉴于此,银行的举证并不足以证明相关信息已经到达持卡人的手机号码,仍应承担举证不能的不利后果。[31]肯定性观点认为,银行向持卡人发出短信验证码,即已完成相应的验证义务,持卡人因自身手机系统问题未能实际收到的,不能归咎于银行。我们认为,虽然银行对外发出的短信不能完全排除被拦截的风险,但根据经验法则,若非持卡人的手机功能异常,银行发出的短信按照通常情形应能及时到达持卡人的手机。故此,若银行已举证证明其系统向持卡人发出了短信验证码,应认为其已就身份验证义务承担了基本的举证责任,可将相关短信接收情况的证明责任转移给持卡人,即要求持卡人提供相应的手机通信记录供法院核对,若无短信接收记录,可审查持卡人手机收发短信的功能有无异常、在涉案交易前后是否曾被植入木马病毒等情况。因持卡人手机的原因导致其未能正常接收相关交易短信的,亦不能归责于银行。
 
(二)线上非授权支付纠纷审理路径
     1. 线上非授权支付纠纷审理的基本思路
在传统的银行卡非授权交易案件中,由于银行卡是必不可少的交易介质,银行卡可复制即意味着银行存在过错,故涉案交易是否持卡人本人所为是首要待证事实。只有在确定涉案交易并非持卡人所为的情况下,才去讨论持卡人和银行的责任分担问题。但线上支付属无卡支付,且交易指令是通过密码等电子数据产生,故银行的违约仅在于其在验证操作者身份、审核支付指令的过程中存在过错,至于交易实际上是否持卡人本人或授权的第三人所为并非其违约责任的判断依据。因此,在线上支付发生,且持卡人事后采取报警、挂失等措施否认交易是其本人所为或其授权的第三人所为时,法官即可形成涉案交易为非授权交易的心证基础。之后的审理可考虑按如下思路进行:首先,查明涉案交易的支付模式以及流程;其次,根据支付流程,判断持卡人和银行是否尽到各自的义务;再次,根据涉诉当事人的违约或侵权行为,确定其应承担的法律责任。
在确定责任比例时,应考量两方面原则:一是风险与收益相匹配的原则。经济活动中,理性消费者所为之行为应是权衡风险与收益基础上的理性选择,其风险偏好亦应与其风险承受能力相匹配。诚然,银行作为支付系统的开发者与维护者,有更强的技术能力去控制支付风险。但就个案而言,其并非密码信息的掌管者,未必比持卡人更能防范风险。持卡人开通线上支付方式,表明其愿意承受相应的支付风险,也享受着支付方式的快捷便利以及低手续费成本所带来的利益。若不加区分地让银行承担责任,将出现风险与收益不匹配的情形。故在相关支付方式由持卡人个人自愿开通的情况下,资金损失的风险应由持卡人个人承担,除非有证据证明银行在审核、执行交易指令的过程中存在违约或者过错。二是考虑行为与结果之间的关联性。这种关联性体现为概率上的相关关系,从支付流程来看,交易密码或短信验证码是支付过程中必不可少的认证要素,故信息泄露是给付错误产生的主要原因。根据过错与责任相适应的原则,在产生损失结果时,应考虑交易过程中认证信息本身的私密性、专有性与唯一性,结合持卡人的用卡习惯、支付终端设备的使用情况以及持卡人报警陈述、挂失银行卡时的电话录音等证据,综合判断持卡人有无泄漏密码信息的行为或其行为是否产生泄露密码信息的风险,并根据该风险的大小确定持卡人的责任分担比例。
 
2. 不同类型支付方式纠纷的裁判路径
(1) 对于网银支付,从流程来看,网银支付是安全性相对较高的支付模式。首先,网银账户需由持卡人本人持身份证到柜台实名开通,其登录密码也是由持卡人本人设定,具有高度私密性、专属性以及唯一性。其次,网银支付过程中通常需要使用物理支付介质(如U盾、K宝)进行安全认证,上述介质由持卡人保管。由于交易所需密钥存储于上述介质的内部芯片中,即使他人获得网银登录密码以及支付密码,只要无支付介质在手,仍无法自行转走资金。因此,在网银账户是由持卡人本人开通的情况下,网银交易应推定为持卡人本人所为,由持卡人对其损失承担责任。若持卡人主张其未开通网银账户,由于网银开通需本人持身份证、银行卡到银行柜台办理,银行主张其已尽审核义务的,应提供网银账户开通信息、持卡人签名的开户资料、开户身份证读证信息等证据予以证明。如网银账户并非持卡人本人开通,银行应就其未尽身份审核义务对涉案交易承担全部责任。
值得注意的是,在持卡人提供的证据足以证明交易并非其本人或其授权第三人所为时,例如交易发生时其持有U盾,而交易终端IP所在地与其本人所在地不一致,应认定银行的支付系统存在安全漏洞。理由在于U盾是发生支付所必须的介质,即使持卡人存在密码信息泄露行为,银行亦有义务保障在无介质的环境下不能发生支付,故银行需对持卡人的损失承担主要的赔偿责任,持卡人未尽密码信息保管义务的,也应承担相应责任。
         图8 涉网上银行支付纠纷裁判思路
(2)对于第三方支付,首先应审查第三方支付平台支付是否持卡人本人开通,由于第三方支付账户只能关联本人名下银行卡,在持卡人本人开通第三方支付账户的情况下,因账户登录密码、交易密码是持卡人本人所设定,故通过第三方支付所进行的银行卡绑定以及支付行为推定为持卡人本人或其授权的人员所为。
在持卡人否认第三方支付平台账户系其本人开通的情况下,即使第三方支付平台并非由持卡人实际开通,但在第三方支付平台与持卡人名下银行卡发生首次关联时,应输入身份信息、银行卡号、短信验证码等信息,持卡人未妥善保管上述信息导致银行卡被他人绑定、利用,其行为已构成违约,应对其自身的损失承担责任。同时,在银行卡被关联的过程中,银行亦有义务采取适当方式对操作主体的身份进行认证,在交易发生时,也需要对持卡人进行必要的通知、提醒,银行未尽上述义务的,应承担相应的违约责任。
从样本案件的情况来看,有41件案中银行未举证证明其尽到上述义务,在此情况下,虑及信息泄露是给付错误产生的主要原因,应根据信息泄露与持卡人行为的相关程度来确定持卡人、银行之间的责任比例:
   一是有证据表明持卡人直接泄露了密码信息的,可推定银行在身份审核过程中并无过错,应由持卡人本人对交易损失承担全部责任。例如,持卡人在登陆钓鱼网站时直接输入上述信息、持卡人将收到的短信验证码转发给他人等。
   二是持卡人的行为增加密码信息泄露风险的,即使无直接证据证明其行为与密码信息泄露之间存在直接的因果关系,也宜判决持卡人承担50%以上的责任。例如,持卡人与他人共用其名下第三方支付账户、在涉案交易发生过程中其将交易终端设备交由他人使用等。
三是无证据证明或根据现有证据不能推定持卡人存在密码信息泄露行为的,鉴于银行亦未能提供证据证明其尽到身份验证和通知提醒义务,持卡人承担责任的比例不宜超过50%
四是持卡人预留手机号码被他人更改导致持卡人无法接收交易相关信息的,由于预留手机号的更改需持本人有效身份证到柜台办理,故更改的银行未尽身份审核义务是导致持卡人预留手机号被他人更改的主要原因,由此产生的密码信息泄露行为与持卡人并无关联,相关银行应就其过错对涉案交易损失承担全部的赔偿责任。
 
 
 
 
图9  涉第三方支付纠纷裁判思路

文本框: 有举证

无 举 证

(3) 对于银行系统快捷支付,各大银行系统的快捷支付认证方式、认证要素有所不同,但从支付流程来看,银行的身份认证义务包括两个环节:一是支付模式开通时的身份认证;二是交易发生时的身份认证。审理时应重点把握银行在为持卡人开通支付模式以及执行支付指令时是否采取了合理的方式对交易者的身份进行认证。
在支付模式开通环节,一方面,应要求银行提供关于涉案账户快捷支付模式的注册信息,审查上述信息是否与持卡人本人身份证号、手机号等信息一致,另一方面,要审查该支付模式开通所采取的认证要素是否具备唯一性、专有性和私密性,从而判断该支付方式是否由持卡人本人或其授权的人员开通,以及银行在此过程中是否尽到审慎审核义务。
在支付环节,考虑到信息传输过程可能产生被他人拦截的风险,持卡人自行设定的密码私密性显然高于银行发送的短信验证码。在以持卡人自设密码作为交易认证要素的情况下,如发生支付行为,应推定为持卡人本人或其授权的第三人所为,无需银行另行就其对交易指令的审查情况进行举证,但在交易后银行未根据短信服务协议履行通知、提醒义务的,仍应承担一定程度的赔偿责任;在仅以短信验证码作为交易认证要素的情况下,如发生支付行为,银行仍应就其向持卡人发出短信验证码的行为进行举证,可参照第三方支付纠纷的处理思路分配损失责任。
 
图10   涉银行系统快捷支付纠纷裁判思路

私密、专有、唯一

结语
司法裁判是风险社会的保护屏障,也是经济发展的坚实后盾。面对数据化、无纸化的线上支付案件,法官思维应该紧随技术步伐,通过公平灵活的举证责任分配规则,鼓励双方举证,积极查明不同支付模式下的交易流程,在此基础上明辨交易主体之间的权利义务,同时根据风险与收益的匹配性,行为与结果的关联性建立责任分配规则,以期在鼓励金融创新和消费者权益保护之间张弛有度,在个案救济和社会导向之间合理平衡。
 
        
 


[1] 课题组成员:黄雪梅、赵琦铭、张筱锴、周冠宇、谢春晖、柳亚洲。
[2] 彭冰:《银行卡非授权交易中的损失分担机制》,载于《社会科学》2013年第11期。
[3] 有银行(如华夏银行)将网上银行支付方式分为签约版和证书版,两者相同点在于都需要持个人身份证到银行柜台开通,区别在于证书版的数字证书内置于物理支付介质,需使用支付介质方可进行支付,签约版无需使用支付介质,仅需登录网银账户输入身份证号、短信验证码等即可发生支付,但签约版只能适用于小额转账和消费。因签约版使用率不高,且无涉诉案件,本文不做详细介绍。
[4] 该类型支付是指银行自行开发的快捷支付系统,包括工行e支付、建行账号支付等。
[5] (2015)穗越法金民初字第4760号案。
[6]  (2016) 粤01民终14829号案。
[7] (2016)粤01民终148号案。
[8] (2016)粤01民终189号案。
[9]  (2015)穗中法金民终字第574号案。
[10] 如(2016)粤01民终11515号、(2016)粤0111民初2873号案。
[11] 下文所称密码信息,若无特别说明,是指包括交易密码、银行卡取现密码、信用卡电话密码、交易账户登录密码、短信验证码等在内的所有具备私密性、唯一性和专有性的信息。
[12]  (2014)穗海法民二初字第3820号案。
[13] (2015)穗荔法民二初字第613号、(2015)穗荔法民二初字第870号案。
[14] (2016)粤01民终189号案。
[15] (2015)穗越法金民初字第1720号案。
[16] (2016)粤0104民初6059号案。
[17] (2014)穗越法民二初字第317号案。
[18] (2016)粤0104民初2460号案。
[19] (2015)穗天法金民初字第1251号案。
[20]张里安、李前伦:《论银行账户资金的权利属性——横向公司诉冶金公司、汉口支行案之理论分析》,载于《法学论坛》2007年第5期。
[21]北京市第二中级人民法院课题组:《银行卡盗刷案件审判思路探析——以相关主体间的法律关系分析为重点》,《法律适用》2017年第3期。
[22] 王汉斌:《中华人民共和国合同法释论》,中国法制出版社1999年版,第385页。
[23]多数地区法院在审理银行卡纠纷时,均允许持卡人以侵权关系起诉。如广东省高级人民法院《关于审理伪卡交易民事案件工作座谈会纪要》第三条第(四)项规定:持卡人以发卡行、特约商户、收单机构未尽安全保障义务构成侵权为由请求其承担相应责任的,人民法院应予受理。”
[24] 孟勤国:《物权二元结构论——中国物权制度的理论重构》,人民法院出版社2002年版,第42页。
[25] 《最高人民法院关于审理民事案件适用诉讼时效若干问题的规定》第一条规定:“当事人可以对债权请求权提出诉讼时效抗辩,但对下列债权请求权提出诉讼时效抗辩的,人民法院不予支持:(一)支付存款本金及利息请求权;……”该规定实质上也认可了存款的债权属性。
[26] 任超:《网上支付金融消费者权益保护制度的完善》,载于《法学》2015年第五期。
' (2015)穗越法金民初字第1861号案。
[28]管洪彦:《论合同义务来源多元化》,山东理工大学学报,2006年第6期。
[29] See Francis J.Facciolo, Unauthorized Payment Transactions and Who Should Bear the Losses,Chi.-Kent L.Rev.605,2008,p.607.
 
[30] 李浩:《民事诉讼证明责任研究》,法律出版社2003年版,第128页。
[31]如 (2014)穗海法民二初字第3001号案的裁判意见。
【打印】 【关闭】


网站管理 | 网站声明 | 联系方式 | 加入收藏 | 设为首页

 粤公网安备 44010402000243号  粤ICP备05092498号  @copyright2016 广州市中级人民法院110网上报警

技术支持电话:020-32620626