第三方支付中未授权交易法律问题分析

陈俊铭

一、前言

根据2016 年7 月1 日实施的《非银行支付机构网络支付业务管理办法》（以下简称《管理办法》）第二条的界定，第三方支付业务是指收款方或者付款方通过电子设备向支付机构发起支付指令，由支付机构完成对对应付款方或者收款方的资金转移服务的业务，收付款方并没有产生设备交互。从业务类型看，其主要指客户利用手机以及其他可以支持支付机构支付交易的移动智能终端设备，以自我操作的方式完成对应支付交易。从支付流程来看，用户通过手机等智能终端设备并以互联网为传输媒介，向第三方支付机构或银行发送电子交易指令，完成支付机构对应的账户安全交易系统的用户认证后，支付机构的支付终端就依据支付指令完成与交易方的资金转移服务。因此，支付信息传递和用户身份识别构成了第三方支付流程的核心环节。

第三方支付业务属于金融科技创新的范畴，也是非金融机构提供的众多服务当中最为基础的一种。金融技术的创新为第三方支付服务者带来了交易便利，在享受着技术红利的同时，也面临着与传统交易大相径庭的新型交易风险、法律风险以及法律责任归属问题，这可进一步归结于涉及第三方支付安全交易系统下未经授权的交易风险以及损失应当由哪一方承当的问题。该法律问题产生的原因主要有两个方面：第一，由于第三方支付具有非面对面远程交易的特点，一旦出现因客户自己的原因泄露了能够引发交易的数据信息或该信息因恶意程序、网络黑客窃取等情形，第三方支付机构无法即时核实交易指令发送者的真实身份；第二，上述交易发生后，网络交易的复杂性、快捷性往往使得公安机关难以抓获实际侵权人，甚至面临着在犯罪嫌疑人归案后也难以获得有效赔偿的尴尬境地。此时，这一非授权交易损失应当由账户所有人还是第三方支付服务提供者承担，就成为此类案件的核心问题。

从第三方支付中未授权交易法律问题的研究现状来看，主要有以下观点：其一，应基于支付服务提供者与用户之间的平等法律主体地位，以委托关系为基础法律关系配置权利义务①李建星：《电子支付中的四方关系及其规范架构》，《浙江社会科学》2017 年第11 期。；其二，数字支付工具与传统支付工具并无实质性区别，应参照适用冒用信用卡等传统支付工具的规则分配未授权交易风险②钱叶六:《存款占有的归属与财产犯罪的界限》，《中国法学》2019 年第2 期。、③马路瑶：《法教义学视角下利用第三方支付非法取得他人财物行为的定性研究》，《法律适用》2020 年第9 期。、④李莉莎：《第三方电子支付风险的法律分析》，《暨南学报（哲学社会科学版）》2012 年第6 期。；其三，应当借鉴国外立法经验，以特别法律规范调整支付服务提供者与用户之间的权利义务关系以及其中未授权交易的责任分配。⑤黎四奇：《二维码扫码支付法律问题解构》，《中国法学》2018 年第3 期。、⑥刘颖：《支付命令与安全程序——美国〈统一商法典〉第4A 编的核心概念及对我国电子商务立法的启示》，《中国法学》2004 年第1 期。、⑦莫万友：《移动支付的法律问题及其解决办法》，《兰州学刊》2017 年第10 期。

虽然在第三方支付的研究中，中国已积累了丰富的前期成果，但是时下的研讨仍存在以下缺陷：一是基础概念问题还未达成共识。概念是认识与把握世界的工具，是研究的起点，然而对于什么是第三方支付语境下的未授权等概念的界定还颇具争议；二是互联网与第三方支付研究的相对分离。在技术上，第三方支付依附于互联网，而互联网技术对于法律等研究者而言是一个极大的挑战。然而，现有研究未能充分考虑到第三方支付具有的特殊性而引发的对于传统授权方式的改变，也未能在明晰支付基础法律关系的前提下去分配第三方支付机构的未授权责任，更没能充分考虑用户的有限理性在面对复杂的金融创新时呈现出的不足；三是现有的研究多注重于未授权交易点对点的风险控制，欠缺整体性。在第三方支付未授权的问题处理上，它不仅是一个未授权损失谁来承担的简单问题，而是直接涉及金融正义、金融民主、效益平衡等宏观风险问题与人文理念。

二、中国第三方支付未授权交易立法的现状及不足

（一）第三方支付未授权的概念缺位

在审理第三方支付未授权交易纠纷时，个案要件事实符合规范中法律概念的特征是引发特定法律后果的前提。那么，需首先厘清的是第三方支付语境下的未授权的概念及其外延是什么？该问题是否清楚明了对于损失责任的划分，及第三方支付行业的健康发展是至关重要的。

传统未授权的概念通常界定为账户持有人未能取得账户所有人书面同意的条件下发生的交易。具体而言，按照欧盟PSD2 的立场，未授权交易可解释为未经用户许可，他人以不当手段通过支付机构的安全认证，向他人发出支付指令，导致用户账户持有资金减少或者授信额度被占用的交易情形。结合民法语境看，用户以约定方式进行授权本质上是一种具有法律效力的意思表示行为，而该意思表示真实便是授权交易关系得以建立的当然起点。在传统表示类型划分方面，其具体包含行为、口头、书面三种形式。由于书面形式的意思表示相较另外两种意思表示，具备谨慎、利于举证等显著优势。各国立法基于确保交易资金安全性考虑以及交易自由的现实需要，均决定将书面形式的意思表示作为判断交易账户所有人是否对他人进行授权交易的基础性表示形式，并对书面形式的内容做出法定强制要求。

然而，大数据在支付结算领域的运用已改变人们惯性认知当中的货币，货币形态由纸质货币逐渐转化成数字货币，宣告了一个数据化时代的来临。在现实中，第三方支付交易所涉客体、行为及场所仅依靠信息数据交换便可完成，数据交换成为第三方支付中一般的、唯一的表意手段，其所涉交易时的具体意思表示拥有着数据化和无纸化的样态，支付机构按照用户通过智能电子设备来进行意思表示的发出与接收。在对第三方支付用户身份识别的操作中，因用户首次开通支付业务时需提供的本人真实姓名、身份证号、指纹与面部信息、银行预留手机号等数据信息，那么，一旦服务提供者对第三方支付账号持有人提供的能够引发交易的支付密码、指纹与面部等数据信息，与首次开通支付时留存数据经过支付机构安全程序核验后呈现出相同的结果，该交易性质应当认定为授权交易。其原因在于，涉及身份验证的电子数据信息是发动第三方交易的电子意思表示的载体，该数据信息因具有生物特征，因而具备秘密性、唯一性 (或者专有性) 和确认性特征，仅能由首次开户时的本人提供，足以确保电子意思表示的真实性。

综上所述，第三方支付中涉及的电子意思表示不再属于传统支付过程中的一般表意行为，其表示载体乃至于最终载体形式已经不再是纸质形式，只是流转于网络之间的电子信息数据，无纸化以及电子化的双重特征已然决定其已经不能被传统交易模式下的书面形式涵盖。但是，不论是新型支付模式还是传统支付模式，意思表示依旧是交易的基础。当意思表示状态发生根本性改变时，第三方支付中未授权的概念面临一个重新界定的问题。

（二）未授权责任分担体系构造的不合理

对于第三方支付中未授权交易造成的损失应当由谁承担的问题，中国现行的法律规定已经完成了责任初步导向。《电子商务法》第五十七条规定：“未经授权的支付造成的损失，由电子支付服务提供者承担；电子支付服务提供者能够证明未经授权的支付是因用户的过错造成的，不承担责任。”《管理办法》第十九条规定：“支付机构对不能有效证明因客户原因导致的资金损失及时先行全额赔付，保护客户合法权益。”从条文内容上看,上述法律规则具有维护消费者权益的导向思维，即通过未授权损害事实本身推定服务提供者有过错的方式来保障用户的利益，解决了未授权交易下的责任体系的构造问题。

然而，上述有关第三方支付中未授权的责任体系构造，未能以明晰支付基础法律关系为前提，这将在实践中极大地增加第三方支付机构的诉讼负担。在现实支付操作中，用户可通过多种支付流程来完成第三方支付交易。一般来说，最普遍的是通过支付平台账户发起的即时转账模式，即收付款双方依托支付平台，以双方所持有的支付账户，完成双方账户之间的货币金额转移的交易模式。在上述交易流程中，对于用户身份识别的验证以及交易指令的发出均由支付机构独自完成，银行与具体交易过程无关。那么，一旦发生未授权交易纠纷时，其所涉法律关系主体仅为用户与第三方支付机构，对于未授权交易责任分担也应当落在支付机构与用户之间。值得注意的是，除上述支付流程以外，还存在着通过银行账户借助第三方支付通道发起的支付模式。①杨利华：《第三方支付行业竞争的反垄断法规制》，《法商研究》2019 年第6 期。该交易是用户凭借银行账户发起的交易，由银行方独立完成身份识别验证指令地发出及验证，通过借助第三方机构提供的支付通道，最终由银行完成转账交易。②张雪楳：《银行卡网上盗刷的责任认定》，《法律适用》2017 年第18 期。可以肯定的是，在上述交易流程中，第三方支付机构仅负责对于交易指令内容的传递。当未授权交易发生时，第三方支付机构除非对交易指令审查存在重大过失，即证明对交易指令的审查符合一般性规定审查即可，未授权交易责任应当在用户与银行两者间进行分配。

遗憾的是，从《电子商务法》第五十七条的“电子支付服务提供者”以及《管理办法》第十九条“支付机构”的表述看，一方面，对未授权交易的责任分配未能对上述不同的支付流程进行区分，而是采用“一刀切”的分配方式，将未授权的责任全部落在第三方支付机构身上。另一方面，《管理办法》第十九条“支付机构对不能有效证明因客户原因导致的资金损失”便意味着，在银行账户借助第三方支付通道发起的支付模式中，即便只负责交易指令传递的第三方支付机构，其能够举证证明未授权的发生是由银行未能有效进行身份识别引起的结果，却依旧需要承担对用户进行先行赔付的责任。即使支付机构在先行赔付后可通过另行起诉讼的方式，对存在过错的银行进行相应追偿。③任超：《网上支付金融消费者权益保护制度的完善》，《法学》2015 年第5 期。然而，上述未授权交易责任的分担未能区分不同支付流程的安排，极大增加了第三方支付机构的诉讼负担。

（三）未能区分用户的一般过失与重大过失

《电子商务法》五十七条规定：“服务提供者若能够证明未授权交易是由用户者本人的过错所导致，未授权交易损失应由用户本人承担。从法理上看，“过错”涵摄的具体行为包含“故意”及“过失”两种情形，而对“过失”进一步划分，其本身还蕴含着“一般过失”与“重大过失”两种内涵。简言之，服务提供者只要证明用户对未授权结果的发生存在“故意”“重大过失”或“一般过失”的情形，便可免除自己的责任。”①米健：《意思表示分析》，《法学研究》2004 年第1 期。就现实司法裁判以及商业惯例来看，判定用户对未授权交易结果存在“故意”“重大过失”及“一般过失”的具体认定标准，分别对应着用户是否存在“主动”“无意”及“被动”泄露支付账户信息与密码的行为。

由于第三方支付已在生活中广泛运用，未对用户过错进行区分的机制安排对用户非常不公平。同时，从社会整体看，在第三方支付行业已形成微信、支付宝两家独大的垄断格局下，这一机制安排也不利于支付机构在完善支付系统的安全方面尽职尽责。②唐琼琼：《第三方支付中的消费者权益保护问题研究》，《河北法学》2015 年第4 期。原因在于，在现代社会，第三方支付利用生物识别的身份验证方式，已有别于传统支付下的单一数字密码验证。在安全性方面，生物识别身份验证相对具备秘密性、唯一性（或者专有性）和确认性特征，其本身几乎不存在被破译的可能。基于此，服务提供者依靠其技术及数据信息上的优势去证明用户“主动”“无意”及“被动”泄露第三方支付账户信息与密码的行为则相对容易。③孙学致、孙博亚：《反思与创新:电子意思表示的应然法定形式》，《学习与探索》2019 年12 期。

然而，在实践中，用户在提高谨慎能力方面存在合理的界限，面对复杂的金融科技创新，不可能无限提高防范第三方支付账户信息与密码泄露的注意水平。例如，用户在不知悉前提下扫读了事先被编入恶意指令的二维码，又或者不法分子利用实时拦截支付双方信息生成的二维码，通过修改交易金额、收款对象等信息带来的未授权交易风险。可以肯定的是，上述行为普遍具备“被动”泄露第三方支付账户信息与密码的特征。而作为一般用户来讲，无论如何也难以预防上述未授权损失的发生。因此，若将服务提供者对用户“一般过失”的证明涵盖于“过错”的内涵当中，则用户者本人因“一般过失”导致的未授权交易损失都由其自担赔偿责任，实际操作中反而会削减第三方支付机构应当承担的责任与机构监管审查义务，极易引发支付提供者方的道德风险。

三、第三方支付中未授权交易的完善路径

（一）对第三方支付中未授权概念的重新界定

从用户使用第三方支付时所遭遇未授权事件的频率及审判机关对该事件引发纠纷的裁定判断，第三方支付语境下的未授权应该是一个已成为具有普遍性共识的概念。在纠纷发生时，什么是第三方支付中未授权交易——这既是用户维护自己的合法权益，更是审判机关进行法益考量的逻辑起点。在法官禁止拒绝裁判以及严禁造法的前提下，当下实体规则缺少第三方支付中何为未授权这一表述，或者说，即便在实务界已达成普遍共识，但仍缺乏明确释义，则无论监管当局如何强调预防未授权交易的重要性，以及无论学界如何宣扬需重视支付用户的权益保护，旨在未授权交易纠纷能够顺利解决的目标只能是水月镜花。

因此，对于未授权交易的损失责任该如何承担问题的讨论，首先应从什么是第三方支付中未授权交易这一常识性概念入手。第三方支付在金融技术化的条件下改变了传统支付体系，无论是对用户，还是对服务提供者而言，如果概念的内涵过于宽泛，如把传统未授权交易的情形都纳入第三方语境下未授权交易的范畴，义务的无界将阻碍第三方支付行业的发展；如果过于狭窄，则势必会侵害第三方支付用户的合法权益。因此，客观、求实的折中与平衡是对第三方支付中未授权概念界定的基础及条件。在这一点上，美国制定的《统一商法典》中的安全程序规则，对何为未授权进行判定的方法可提供借鉴。

《统一商法典》第A4 编规定，安全程序规则指支付服务提供者与用户事先对身份识别方式进行约定，当电子支付指令信息在传送及执行时若能通过安全程序的核证，则该指令将被视为支付用户本人或授权他人发出。安全程序规则作为认证支付授权的重要手段，必须满足以下四个条件：第一，用户与服务提供者事先对身份识别方式达成协议；第二，该安全程序必须具备商业上的合理性和技术上的可靠性，“商业上的合理性”指在目前的科学技术下，服务提供者通过对身份识别技术方面进行提升，且提升所需费用尚未明显增加经营成本，相反因技术提升能够为企业效益带来扩张；④周俊文、党建伟、高明：《第三方支付监管的目标与制度安排——国际比较与政策建议》，《金融监管研究》2019 年第3 期。第三，支付服务提供者能够确保接收到用户发出的支付指令，且安全程序能够对该指令予以核证并执行；第四，当支付用户拒绝接受支付机构提供的安全程序而自行选择另一种安全程序时，若支付机构以书面方式表示同意，双方将一概受到相应的约束。①罗培新、吴韬：《非授权交易中第三方支付机构的法律责任》，《华东政法大学学报》2017 年第3 期。简单地讲，安全程序规则事先对用户与支付服务提供者在身份识别方式上达成了协议，同时，该服务提供者负有对其提供或接受的安全程序能够对支付指令起到准确识别的义务。

第三方支付具有非面对面的特点，导致不能继续站在传统角度以账户持有人未能取得账户所有人书面意思表示为判断条件，对未授权进行严格解释，否则将导致第三方支付机构因过重的法律成本而无法继续开展该业务。在实践中，对第三方支付中未授权进行解释时，应采用宽严相济的原则。在支付机构与用户达成以某种方式进行身份验证的书面协议下，只要支付机构对身份识别验证环节不存在故意及过失，系统接收的交易指令都应默认为是由账户当事人发出的。一言以蔽之，第三方支付中的未授权是指服务提供者与用户事先约定，以用户名义签发的支付指令须经双方事先协议中的安全程序核证，支付机构在接受及执行支付指令过程中，因故意和过失导致未能鉴别出该指令是通过非事先约定识别方式所签发的，最终导致用户账户内资金减少的交易。②刘丹：《个人信息网络侵权的认定及其司法救济》，《学习与实践》2020 年第1 期。对照中国当下实体规则对第三方支付中未授权概念缺乏有效界定的事实，美国《统一商法典》第A4 编对第三方支付中未授权交易谨慎规范的理念与界定的方式是值得借鉴的。

（二）按照不同支付流程确认未授权交易的责任分配

从支付流程来看，交易指令传递和支付身份识别构成了第三方支付整个流程的核心环节，也是区别于传统面对面支付模式的主要特征。应当以交易指令传递和支付身份识别为落脚点，并按照不同支付流程来区分及确定第三方支付机构、银行与用户间的未授权交易责任分担。

一般而言，按照目前第三方支付流程分类来看，大致存在着三种支付类型：第一，若收付款双方均借助支付平台所提供的虚拟账户进行交易，且所涉交易资金均为支付账户内的预付价值余额。支付信息传递和支付身份识别均发生在用户与第三方支付机构之间，未授权交易损失的责任分担只存在于支付机构与用户之间，与银行无关。③杨志琼：《利用第三方支付非法取财的刑法规制误区及其匡正》，《政治与法律》2018 年第12 期。

第二，若收付款双方均借助支付平台所提供的虚拟账户进行交易，但所涉交易资金为虚拟账户进行关联银行卡中的余额。交易指令的传递是由支付机构负责传达至银行，再由支付机构或银行负责对该指令进行身份核验。在该交易流程中，首先，支付机构应当围绕交易指令内容是否准确、及时、完整的传递进行证明。其次，需进一步确定身份验证指令的发出者是支付机构还是银行。若身份验证指令是由支付机构发出而出现的未授权交易，未授权交易责任应当在用户与支付机构间进行分配；若身份验证指令是由银行发出而出现的未授权交易，支付机构仅需证明其本身对于交易指令内容的传递不具备瑕疵即可，未授权交易责任应当在用户与银行两者间进行分配。

第三，交易双方一方使用交易平台账户，一方使用银行账户。在这一交易情形下，辨别对象不外乎有以下两种：一是交易指令发出账户所属平台。交易指令到底是交易平台账户发出，还是银行账户发出，从而辨明对应的法律关系主体；二是验证交易指令环节。验证交易指令环节决定了法律关系主体的法律责任承担程度，对于该环节的辨别同样至关重要。这一双层辨明结构契合未授权交易的责任归属判断逻辑，避免采用“一刀切”的责任承担方式，将未授权的责任全部落在第三方支付机构身上，从而减轻支付机构的负担以及减少其卷入不必要的涉诉风险之中。

（三）设立用户在未授权交易中的有限责任制度

相较于传统POS 刷卡支付，第三方支付机构虽然也对其支付系统设置了密钥功能，但不同的是，第三方支付涉及的交易智能系统及终端具有一定开放性。一方面，这种开放性是其具备支付高效与便捷的前提，而该特性也存在着系统被木马病毒感染以及终端被ROOT 的风险，增加了支付信息数据外泄甚至被拦截的可能。因此，若将用户“被动”泄露第三方支付账户信息与密码等“一般过失”行为归类于用户的过错之中，作为支付机构对未授权交易损失承担责任的例外，进而要求用户全额为损失买单，其公正性值得怀疑；另一方面，防范未授权的发生并非是第三方支付机构的“独舞”，除了其未能确保身份识别技术与科技发展齐平以外，用户对金融知识的了解和掌握也是防范未授权交易的有效手段。①郭琼艳：《第三方支付机构非授权支付的责任承担机制研究》，《金融法苑》2017 年第1 期。在数字化社会，第三方支付用户应主动凭借自身条件去获取资金交易安全所需的信息技术知识，对其采取的放任态度也有欠公允。

从第三方支付中未授权交易产生的上述原因看，若要最大限度地消除未授权交易风险，需实现交易各主体间的全体协作。因此，服务提供者若能够证明未授权交易是由用户者本人一般过失所导致，支付机构只需对未授权交易损失承担部分责任。用户承担未授权交易损失除包含欺诈、故意以及重大过失三种情形以外，对于其自身的一般过失行为，需对未授权受损承担有限责任。②彭冰：《银行卡非授权交易中的损失分担机制》，《社会科学》2013 年第11 期。例如，用户对因自己的一般过失而“被动”泄露交易信息或密码的行为而造成的未授权交易，需对损失承担5%至15%的比例。

设立用户有限责任制度的正义性基础在于，一方面，就支付机构预防未授权能力而言，即便其能够证明未授权交易损失是因用户“被动”泄露密码所致，还需承担责任的要求将迫使其发挥最大能力，研发出更加可靠的身份识别技术，例如虹膜技术、面部识别以及指纹技术等。③于海防：《论数据电文意思表示形式问题的体系化解决》，《法学》2014 年第11 期。从更广泛的意义上看，也可对支付机构在推广无密码支付等新型结算业务时，起到示范性的警示作用，从而促使其以主动提高支付安全技术等方式对未授权交易进行防控；另一方面，金融知识的普及与提升是控制风险不可或缺的环节，对未授权损失将承担有限责任的结果，必将迫使用户主动获取与交易安全所需的信息技术知识。此外，有限责任的设置也是与国际相接轨的实践。如欧盟《支付服务指令》规定，无论未授权交易损失金额多少，除了用户具有欺诈、故意以及重大过失的情形之外，由服务提供者承担。对于用户存在一般过失的，原则上最多对总损失金额分担不超过150 欧元。

四、余言——当下法律需符合金融科技化时代的要求

当今，大数据、区块链、云计算等科技已运用于金融业务当中。从某些方面来讲，是以自然科学的进步推动进了整个人文制度的改变。金融法与传统部门法的不同之处在于，其围绕的商业逻辑不是“零和博弈”，凭借公平的直观感受进行的立法却很容易错过一个原本可以促成双赢的恰当激励。当下金融业更加注重对效率及效益的追求。有了规则后却有法难依，问题便在于立法预设规则与现实需要间无法形成有效的融通。传统立法采取自上而下的立法模式，将金融稳定视为唯一或首要的立法任务。同时，金融业的发展也有赖于法律的指引功能。然而，实践中能够观察到的是，当下金融业受现存规则调整时呈现出方枘圆凿的局面。自上而下的立法模式使立法者忽略了金融科技化对金融业带来的现实影响及追求目标的转变。

金融科技化时代背景下，立法应重点关注社会控制和时代发展间的互动关系，紧跟科技时代发展的现实需求制定法律规则。立法进度需要与金融业务模式互相紧密结合，以新型业务模式主导法律规则具体内容的制定。法律必须服从时代进步所提出的正当性要求。形成自下而上的法律规则的预设，构建以重内容而轻形式的立法模式。金融科技化的到来使得当下世界更为复杂，如果把法律仅仅视为是一种永恒不变的工具，那么它就不可能有效地发挥作用。一言以蔽之，当下的法律内容的制定，必须巧妙地将过去与现在勾连起来，同时又不能忽视未来对金融科技化的迫切要求。