非授权交易中第三方支付机构的法律责任

罗培新 吴 韬

非授权交易中第三方支付机构的法律责任

罗培新 吴 韬*

目 次

一、第三方支付（以支付宝为例）的基础法律关系

二、我国关于非授权支付的立法现状及问题

三、安全程序规则及其借鉴意义

四、第三方支付立法、司法及监管完善的若干建议

我国关于第三方支付业务存在立法缺失或滞后，法院在审理相关案件时通常会沿袭审理银行卡支付案件的传统理路。建议借鉴美国《统一商法典》确立的安全程序规则，按支付流程来构造第三方支付的责任体系，妥善解决非授权交易中举证责任及后果的分配问题。

非授权支付 支付安全 支付效率 安全程序规则

一、第三方支付（以支付宝为例）的基础法律关系

第三方支付中存在两类法律关系：一类是私法上的关系，即第三方支付机构与其用户（包括电子商务交易的买家和卖家）之间的关系，以及第三方支付机构与银行之间的业务合作关系；第二类是公法上的关系，即政府监管部门依据法律法规及其他规范性文件对第三方支付机构的从业行为进行监管所形成的法律关系。本文仅讨论私法上的法律关系。

从法律上看，客户开立于第三方支付机构的账户，应被视为一份电子账簿，记载着客户与支付机构的资金保管及代收代付的服务合同法律关系。此类私法上的法律关系实为两种：其一为资金保管法律关系；其二为资金代收代付的服务合同法律关系。以支付宝为例，支付宝在提供电子支付账户服务时，其簿记信息的债权凭证具有独立性，与背后的基础交易关系脱离，用户凭借占有债权凭证（电子支付账户的簿记信息）即获得了对支付宝的债权请求权。此外， 《非金融机构支付服务管理办法》明确规定客户备付金不属于支付机构财产，其所有权属于客户所有，电子支付机构仅仅是受托保管。

第三方支付主要参与主体如下：交易主体双方，即包括在电子商务交易中支付资金的付款方（消费者）和接收资金的收款方（商户）；支付服务提供方是指在电子支付交易过程中提供资金收、付服务的机构，指支付宝第三方支付机构；清算服务提供方是在为跨行电子支付提供资金最终转移服务的清算机构，主要包括人民银行、商业银行及支付系统特许参与者；认证机构是承担网上安全电子交易认证服务，签发数字证书，并能确认用户身份的服务机构，如CA（Certifi cate Authority）认证中心等。

（一）客户与支付服务提供方之间的电子货币保管与委托收付款合同关系

第三方支付的服务协议中明确表示提供代为收取付款人支付的各类款项，将代收代管的客户款项支付给付款人指定的第三方的业务。付款人首先应向支付机构提供个人真实身份信息进行注册并开立账户，双方形成委托服务合同关系，在支付机构账户模式下〔1〕本文所谓“支付机构账户模式”指付款人直接向第三方支付机构提交支付指令，委托支付机构将备付金账户内对应的货币资金，转入收款人指定账户并同时记录相关收付款信息。，付款人可以将资金提前存入在支付机构开设的账户中，在支付环节不需要跳转其他页面就可完成支付。支付机构依照注册用户的指令在用户开立的账户中准确、及时完成相应的支付、充值等操作。

此外，在网络购物中，第三方支付机构还起到交易安全担保作用，但并非法律意义上的担保法律关系，其实质仍然是有条件的委托付款，即支付机构承诺当收款人履行特定义务后（按约交货），不可撤销地向付款人支付款项。尽管在学界， 对于支付机构账户模式下电子支付账户的标的物是银行存款货币还是支付机构私人信用支持的债权凭证存有争议，本文倾向于将客户与支付机构之间的关系参照《合同法》第 378 条的规定，〔2〕参见《合同法》（1999）第378条：“保管人保管货币的，可以返还相同种类、数量的货币。保管其他可替代物的，可以按照约定返还相同种类、 品质、数量的物品。”认定为支付机构与客户之间建立了电子货币保管合同法律关系。

（二）合作银行与第三方支付机构之间的多重竞合法律关系

以支付机构账户模式为例，其基本流程为付款人的资金从其银行账户转入到支付机构的备付金账户中，之后再转入收款人的账户中。在此过程中，与支付机构发生法律关系的银行有付款人支付发起银行、支付机构备付金托管银行以及收款人的接收银行。

从法律角度看，第三方支付机构就备付金与其托管或者合作银行形成一种委托法律关系， 第三方支付机构作为委托人，将接收的客户备付金全额缴存至备付金托管银行，受托银行对客户备付金的收付进行管理，并有权对第三方支付机构的备付金使用进行监督。在付款人通过电商平台发出确认收货并支付货款的指令后；或根据交易规则付款人超过一定期限不确认收货也没有申请退款，即默认交易成功，支付机构就会通知备付金托管银行将存放在其备付金账户中的货款划拨至收款人账户中。在此阶段，接收银行的主要义务是及时通过同行系统或跨行清算系统接收资金。

（三）支付机构或银行与清算机构之间的委托清算合同关系

电子支付在交易主体发起支付指令并由支付服务提供方完成资金结算后，支付服务提供方还需在往来轧差后完成机构之间的资金清算。在清算环节，商业银行本身即是清算机构，可以直接完成清算。支付机构与清算机构之间形成委托清算服务合同法律关系。

（四）认证机构与其他电子支付主体之间的交易鉴证法律关系

认证机构是电子支付中支付服务提供方和交易主体真实身份的鉴定人。〔3〕参见《电子支付指引（第一号）》（2005）第 34 条规定：“银行采用数字证书或电子签名方式进行客户身份认证和交易授权的，提倡由合法的第三方认证机构提供认证服务。如客户因信赖该认证服务而进行交易遭受的损失，认证服务机构在不能证明自己无过错的情况下应依法承担相应责任。”在电子支付过程中，支付服务提供方和交易主体都是认证用户，认证机构与认证用户之间建立的是服务合同关系。

二、我国关于非授权支付的立法现状及问题

非授权支付是指，非经付款人授权使用商业银行账户或者支付机构账户，发起支付指令在收付款人之间实现资金转移的行为，其交易情形主要为支付宝密码丢失导致的非授权交易，包括扫号〔4〕本文所谓“扫号”指用户在别的网站账号密码丢失后，被用来登录支付宝。由于用户在不同网站使用的是同一套账号和密码，所以导致支付宝密码丢失。、社工〔5〕本文所谓“社工”，指假冒公检法、熟人好友、假客服等，通过短信、聊天工具，骗走各类用户信息，然后盗取或更改用户密码。钓鱼和木马也有一定比例，钓鱼就是建设假网站，比如网址是tiaobao.com，使用户误以为是淘宝，蒙骗用户输入账号、密码；而木马就是中毒。、手机丢失等，及银行端预留他人手机号导致的非授权交易。同时值得注意的是，非授权交易在某些情形下也构成表见代理，即付款人出于交易便利，一般会授权他人为了特定目的而使用其支付账户、密码、手机验证码等物品和信息，代其发出电子支付指令，要求银行或者支付机构按照合同约定进行支付。如果这些获得授权的人越权或者在授权终止后进行支付或者取现，则该交易由本人承担法律后果或依据电子支付的特别法律规定处理。还需注意对于非授权支付与错误支付的概念的区分。错误支付是指，付款人通过网络发起支付指令，但是因差错或者错误而未按照付款人的意图转移资金。 错误支付实际上是合同的不适当履行，应由过错方承担责任。

首先，目前我国对非授权支付的立法主要是针对商业银行等金融机构提供的支付业务，采用过错责任的原则〔6〕参见周忠海等：《网络银行法律问题研究》，知识产权出版社2008年版，第173-177页。，即银行对于非授权支付造成的损失有过错才承担责任。

其次，对第三方支付机构非授权支付目前并无直接立法规定。《中华人民共和国电子商务法》（草案）尚在审议，且尚嫌粗疏。在实践中，交易参与人间的权利义务更多是根据付款人与支付机构之间订立的合同来确定。纠纷发生时，法院只能适用一般的合同法或者侵权法原理予以处理。而按合同规定，在非授权支付情形下，客户只有举证第三方支付机构的过错，才能部分免责，而实践中不掌握技术信息的客户承担该举证责任十分困难。另外，客户在使用支付机构电子支付服务过程中，若出现差错、错误等错误交易情形的，则根据过错原则各自担责。对非因双方的过错造成的损失，双方对各自的损失自行承担责任，并互相协助向有过错的第三方（包括但不限于银行、电信、电力等）请求赔偿。此种法理固然明晰，但由于在移动互联网时代，身份确认及意思表示是否出自本人意愿，均难以举证。在此种情况下，建立一套各方都能够接受的安全程序规则，以合理区分各方责任，就显得格外重要。

三、安全程序规则及其借鉴意义

（一）安全程序规则的概念与分析

在解决资金划拨过程中出现风险时产生的损失与责任分配问题上，美国《统一商法典》第4A编所提出的安全程序规则是目前公认的权威法则。

根据美国《统一商法典》第4A编，所谓安全程序是指客户与银行约定使用的密码或其他有效的身份认证手段，如果电子支付指令的发送、接收和执行符合安全程序，则视作该电子支付指令为客户本人或者授权他人发出。在一般情况下，客户只对经过其授权的电子支付指令负责。

为了平衡支付安全与支付效率，美国《统一商法典》第 4A编还提出了“安全程序例外原则”，即如果接收银行与客户约定，以客户名义签发给接收银行的支付命令须经双方事先协议约定的安全程序核证，而银行在接受支付命令时尽了合理的注意义务，并且遵循了安全程序，则应由客户承担损失并就未授权的支付命令向接收银行付款。

安全程序规则必须满足以下四个条件。其一，银行或支付机构与其客户达成协议，约定客户输入电子支付指令必须经特定安全程序确认。其二，该安全程序必须具备商业上的合理性和技术上的可靠性，即所采用之安全程序，必须具有商业上合理性。所谓“商业上之合理性”系一个不确定的法律概念，美国《统一商法典》第 4A 编对判断标准提出建议，如客户之要求、银行对客户状况之了解、付款指示之种类、金额、频率、比较其他种类的安全程序、类似状况下通常采用的安全程序等。此外，还规定了视为具有商业上合理性之条件，即银行已提供具备商业合理性的安全程序，然而客户却加以拒绝，而自行选用另一种安全程序，且以书面明示同意，只要以其名义发出之付款指示，不论是否经过授权，一旦收受指示的银行遵守其所选用之安全程序，加以承诺者，客户一概受其拘束。符合上述两条件之安全程序，即视为具有商业上之合理性。其三，银行或支付机构出于诚实及善意接受该电子支付指令。其四，银行或支付机构按照安全程序对电子支付指令予以审核并执行。

（二）未授权支付（以支付宝为例）现存的问题与域外经验参考

支付宝以CTU（Counter Terrorist Unit）风控大脑作为风险判定工具，借助大数据平台的监测分析，可以对用户所在关系网络中的每个人进行信用判定，一旦与危险账户发生资金关系，立刻进行警示。但安全风险并未消弭。借鉴安全程序规则及其他域外经验，尚须处理以下三个问题。

其一，安全程序规则不够齐备。《支付宝认证服务协议》规定较为笼统，而且对于支付机构有所偏倚，例如协议中约定“基于计算机端、手机端以及使用其他电子设备的用户使用习惯，我们可能在您使用具体产品时设置不同的账户登录模式及采取不同的措施识别您的身份。”但对具体的识别程序和详尽程度却约定不明。支付机构应该注意加强以下要点：（1）在协议中将电子支付所依据的安全程序明确予以规定，例如对于账户所有人身份确认的具体识别程序和详尽程度，特别是第三方支付机构与银行之间的验证分工；（2）通过技术手段将遵守安全程序之作业流程，以及遵守用户所发出的其他指示或书面限制约定等审慎、明晰地记录存档；（3）依据安全程序进行确认支付时，如遇特殊情况，例如无法确认是否为账户所有人发出的支付指令时，支付机构须及时与用户进行确认，以降低支付风险。

其二，未区分一般过失与重大过失，也未区分挂失前后的损失分担。通过关于非授权交易的国际比较研究表明，一般而言，对于非授权交易，用户只有在存在欺诈、故意或者重大过失的情况下，才须承担责任；而且，对于挂失后的损失，用户不承担责任。例如，欧盟《支付服务指令》规定，就通知送达前所发生的未经授权交易，用户除非有故意诈骗或重大过失，否则无论损失金额多少，用户至多承担150欧元。英国和卢森堡也有类似规定。〔7〕英国《支付服务条例》规定，如果消费者在得知发生未经授权交易后及时报告支付机构，消费者不承担任何损失。如果消费者没有及时报告，消费者最多承担50英镑的损失，除非支付人存在欺诈，或者存在故意或重大过失行为。卢森堡的规定是，由于用户的原因造成支付工具丢失、失窃或者如果用户滥用支付工具疏于保持支付工具的安全，对于任何未经授权的支付交易的损失，用户最多承担150欧元。通过法律层面加重支付机构的法律责任，可以让第三方支付机构在开展业务中更加尽职尽责，及时更新和完善支付系统，采取更为严密的信息安全技术，尽力防范未经授权支付交易的发生，从而更好地维护消费者的合法权益。当然，鉴于目前国内诚信体系欠缺，如做此类规定有可能导致较大道德风险。从实际操作层面来说，要支付机构去证明用户“存在欺诈、故意或重大过失”也有很大难度，如果无法证明就要对超过限额的用户损失都承担赔付责任，将会极大增加支付机构的负担。我国银行业发展历史悠久，也未采取此种限额责任，可为借鉴。

支付宝在《支付宝服务协议》中，将密码、身份信息、校验码泄露以及设备遗失等作为免责事由，由此产生的损失一概由用户承担。这里存在三个问题。第一，未区分重大过失与一般过失。即使排除用户欺诈或者故意为之，只有在用户存在重大过失的情形下，支付机构的免责才是合理的。第二，未区分挂失前与挂失后的损失。第三，关于举证责任问题。如果用户认可了安全程序规则，而且某项支付指令通过了安全程序的验证，则即便事后用户指称非其本人所为，则应合理推定，即便用户不存在道德风险行为，也应被推定泄露了身份信息、密码、校验码等相关信息，从而存在重大过失。总之，安全程序规则强调以用户自认的方式，完成了举证责任的分配。

其三，将技术判断等同于法律判断的倾向明显。无庸讳言，CTU风控手段的运用，大幅降低了支付宝的支付风险，其支付差错率大大低于VISA和PayPal的差错率。然而，支付差错概率低下，在法律上并不等同于绝少发生的错误支付行为一定可以归咎于用户自身，支付宝无须承担任何责任，除非通过立法或者具有法律效力的约定，明确该责任由用户自行承担。然而，支付宝在“安全保障规则”中，将以下情形列为除外条款：（1）经调查或经支付宝合理判断认为是因您的故意行为、重大过失或违法行为造成您自身资金损失的；（2）经调查或经支付宝合理判断认为是因他人的欺诈、胁迫等行为造成您资金损失的……凡此种种，支付宝均免予赔付。以“经支付宝合理判断”作为免责的依据，从直观上看，有将技术判断等同于法律判断的嫌疑，极易给人以单方面免责或加重对方责任的观感，有悖于我国《合同法》相关规定。〔8〕我国《合同法》（1999）第39条规定，“采用格式条款订立合同的，提供格式条款的一方……应当采取合理的方式提请对方注意免除或者限制其责任的条款，按照对方的要求，对该条款予以说明。”另外，该法第40条规定，提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的，该条款无效。按照安全程序规则，须穷尽提示风险判断标准，在格式协议中将风险判定的具体依据和事由都详加规定并提请用户特别注意，方能摆脱格式条款无效的陷阱。

四、第三方支付立法、司法及监管完善的若干建议

基于前述分析，本文针对第三方支付的立法、监管与司法，提出建议如下。

（一）以安全程序规则合理界定用户与第三方支付机构的责任承担

安全程序规则的要义是，建立在向用户全面信息披露之上的用户自认。但由于消费者在信息与技术上处于相对弱势地位，针对第三方支付机构提供的安全程序规则，须注意三点。第一，区分法定程序规则与约定程序规则。监管部门可以考虑在第三方支付机构提供的安全程序规则中引入法定标准，即要求支付机构承担身份识别和反洗钱义务等。同时，对约定的安全程序规则进行格式条款实质审查。第二，在约定程序中区分重大过失与一般过失。在约定的安全程序规则中，必须区分重大过失与一般过失的情形，用户只在存在欺诈、故意或者重大过失的情况下才承担责任，不得将用户一般过失行为而导致的损失由其承担。第三，在约定程序中区分挂失前与挂失后的损失。对于挂失后的损失，用户不承担责任，对于挂失前的损失，除非存在用户欺诈、故意或者重大过失行为，用户只承担限额责任。

（二）保证第三方支付的最低安全标准和底线安全

第三方支付带来快速便捷支付体验的同时也潜藏着大量风险，支付安全是第三方支付行业发展的前提性价值目标。从安全威胁的来源看，主要有三个方面：一是来源于银行或支付机构内部，例如管理制度松懈以及网络系统的安全防御度较差；二是来源于消费者本身，例如未按要求使用电子支付或者过失泄露电子支付账户的认证信息或密码；三是来源于网络第三方。例如利用相似网页或者域名实施网络钓鱼、发送木马程序等黑客攻击手段，这些风险事件严重影响了消费者使用电子支付的信心，威胁着资金安全。监管部门有必要从行业发展的角度，对 第三方支付设置最低安全标准并建立行业安全事件信息共享机制，同时鼓励银行或者支付机构主动提高支付安全水平，通过第三方认证并向社会公众披露的方式树立消费者信心，发挥市场选择机制的作用。

（三）厘定和明晰基础法律关系及关键法律问题

在进行第三方支付的相关立法时，为正确处理其中的非授权交易问题，必须正确厘定基础法律关系，并明晰以下法律问题。其一，第三方支付机构与用户之间建立的是电子货币保管法律关系、资金代收代付的服务合同法律关系；银行与第三方支付机构建立的是关于支付服务的合作关系。其二，支付行为的独立性。第三方支付机构不负责审查支付行为背后的基础交易是否真实有效，不负责处理由于基础交易而引发的纠纷。第三方支付机构提供的“担保交易”服务，并非担保基础交易真实有效的意思。以支付宝为例，支付宝的担保交易功能，并不是担保法意义上的担保，其主要是指支付宝为淘宝网等电子商务平台上的交易双方乃至线下交易者提供代收代付的中介服务，类似于债务清偿的提存效果。支付宝公司并无对交易详情进行实质审核、担保交易安全的义务，其只有对交易进行形式审查、确保支付安全的义务。其三，明确备用金所有权归属用户，第三方支付机构受托保管，但用户完全承担使用支付服务期间由第三方支付机构代为保管或代收代付款项可能承担的贬值风险及可能的孳息损失，第三方支付机构没有义务向用户返还孳息。

在构造第三方支付的责任体系时，必须注意的是，从支付流程来看，一个完整的支付法律关系应当区分为支付信息传递与支付授权识别（客户身份识别）两个环节，具体说来，应当以支付指令传送与支付指令验证为焦点，根据具体流程来确定第三方支付机构、银行与用户的责任。〔9〕2015年12月10日，华东政法大学召开“非授权支付中第三方机构的法律责任”研讨会，虞磊珉博士在会议中发表了相关观点，本部分的建议参考了其见解。

第一，如果收付款双方均使用支付机构的支付账户内的预付价值余额，并且支付指令信息均是使用借贷簿记方式，而且都体现在收付款双方的支付账户内，此时真实的货币资金仍然停留在支付机构开设在备付金存管银行的备付金账户中，并未发生转移。在此情况下，支付指令与验证指令均由支付机构发出，法律纠纷发生在收付款人与支付机构之间，与银行无关。第二，收付款双方均使用支付机构提供的账户，但是并未使用支付账户内的预付价值余额。在此情况下，首先，支付信息是通过支付机构传送，因此对支付机构的法律责任审核范围，应围绕其是否按照约定和监管要求，及时、准确、完整地传递客户支付指令而展开。其次，需要考察的是，验证指令是关联账户的银行发出还是支付机构发出，如果验证指令是由银行发出，发生非授权支付时，如果第三方支付机构已经及时、准确、完整地传递了客户支付指令，则应由银行向客户承担法律责任。如果验证指令是由支付机构发送给客户，发生非授权支付时，应由支付机构向客户承担法律责任。例如，在快捷支付模式下，首次验证是通过银行发送验证指令，此后交易均由支付机构发送验证指令，在不同的情形下，法律关系的主体存在差异。第三，收付款双方一方使用支付机构账户，一方使用银行账户。首先，需要辨别支付指令是由支付机构账户方还是银行账户方发出，以此判断法律关系主体。同理，在验证指令环节需要进行同样的识别与判断，以厘定不同的法律关系和责任承担。前述安排有助于识别支付纠纷下的责任主体和诉由，判断责任承担与归责方式。而支付机构或银行向客户承担责任后，可以根据支付机构与银行之间的业务合同约定明确各自责任的分担比例和方式。

（四）涉第三方支付诉讼的案由设定和举证责任分配

根据目前的实证分析，法院对涉第三方支付的案件设置的案由各不相同，有侵权、违约甚至不当得利。在违约关系上，有概括性合同纠纷、网络服务合同纠纷、借记卡纠纷、储蓄存款合同纠纷等。不一致的案由对适用的法律依据、法官的审理思路和案件的后续结果都会产生一定的影响，有必要对此类案件统一设定案由。鉴于涉第三方支付机构的诉讼具有特殊性，其司法价值取向与传统的支付方式存在一定的差异，建议对该类案件统一设定案由。

另外，法官在裁判涉第三方支付案件时，应根据交易流程（委托关系、支付阶段、验证阶段）来分配举证责任，而不统一适用谁主张、谁举证的原则，也不适用举证责任倒置的原则。具体而言，实践中涉第三方支付案件的审理较为困难，主要源于事实难以查明。正是由于客观事实难以查明，举证责任的分配就显得尤为重要。如果严格依照“谁主张谁举证”的规则，由处于信息和技术劣势的客户证明争议交易为非授权交易近乎不可能，若完全基于金融消费者权益保护的立场，要求第三方支付机构证明争议交易系客户本人所为，又极易产生滥诉的道德风险。因此，为兼顾各方利益、确保交易安全计，建议做到以下两点。（1）于交易全程引入安全程序规则来明确举证责任的承担。首先，第三方支付机构与客户建立委托代收付关系时就可以参照美国安全程序规则，对于指令发送以及验证过程、风险防控的措施与功能进行明确披露和客户自认。如果客户接受该事先约定，就意味着愿意承担由此产生的风险，支付机构只需证明自己履行了合同约定义务便可免予承担举证责任。但是尚须注意：于客户而言，因其订立合同时不具备谈判权、磋商权，当支付机构提供免除自身责任又不加以说明的格式条款的前提下，客户唯有存在重大过失才需承担主要责任，一般过失情形下客户只需承担次要责任，至于次要责任份额的大小以及一般过失与重大过失的界定，可以参照前文所述域外关于限额责任的规定以及过失划分的论述，此处不赘。于支付机构而言，应明确尽职免责原则，即支付机构提供委托关系开展前关于规则说明以及客户自认的记录即可免予承担具体交易过程中（交易履行程序以及指令发送、验证程序）的举证责任。若支付机构不能证明事前关于指令发送、验证程序的充分披露与客户自认，或者双方之间的约定不明确，则支付机构应对交易过程中指令发送与验证的操作是否符合具体规定承担举证责任。（2）非授权支付举证责任的分担应该区分不同的支付模式，银行和第三方支付机构无需捆绑在一起共同担责。在网银模式下，验证指令由银行发出，支付机构仅仅提供支付的通道。在此种模式下产生非授权支付时，第三方支付机构只需证明指令的传递不存在瑕疵即可，具体举证责任的分配应该是在客户与银行之间。而在即时到账以及担保交易模式下，验证指令由支付机构发出，具体收付款过程与银行无关，因此该模式的举证责任分配应该在客户与支付机构之间。

（责任编辑：马长山 ）

* 罗培新，上海市人民政府法制办公室副主任，教授、博士生导师，法学博士；吴韬，华东政法大学经济法专业博士研究生。