电商平台对支付安全的保障义务与规范构造*

2022-03-01 03:51
关键词:服务提供者义务要素

陈 骞

(长沙理工大学 法学院,湖南 长沙 411000;中南财经政法大学 知识产权研究中心,湖北 武汉 430073)

近年来,电子支付连发盗刷事件,支付安全成为突出的社会问题。一方面,电子支付服务提供者竭力采取措施提高支付安全性,仍无法避免个人信息大规模泄露引发的支付安全困境;但另一方面电商平台使用习惯信息判断、阻断异常支付行为,一定程度上加强了支付安全,因其非法定义务而难以推广。因而,如何从法律层面回应电商平台私人创制,建立电商平台与电子支付服务提供者共同对支付安全的保障成为时下的焦点与难点。

特别是支付的电子化与数字人民币的发展,以及元宇宙环境下电子商务镜像支付等问题,将使得电子商务中的电子支付安全更具实践意义:一者,探究法律如何因应信息大规模泄露,直面支付安全的风险;二者,如何通过电子商务中支付安全责任的合理分配,形成支付安全的共赢局面。就该问题的研究中,有学者关注到电商平台信息泄露导致损害责任的研究[1]70-75,也有学者关注到电商平台安保义务规范的解读[2]195-205,或是支付服务提供者承担支付安全保障的具体规范[3]62-69。但是,上述研究对电商平台导致支付损失问题的研究有所缺憾。本文认为,静态信息的大规模泄露已经严重威胁支付安全,仅交给支付服务提供者保障支付安全显然不能满足当前实践。对此,将掌握交易信息的电商平台纳入支付安全保障之中是迫于实践的需要与大势所趋,但其纳入的正当性、采取的方式及责任的限制问题还有待进一步厘清。

一、信息大规模泄露下电商平台支付安全的危机

信息泄露是近年来对支付安全的最大挑战,支付安全所依赖的账号密码、生物识别等信息已多数泄露。因此,需要厘清信息泄露如何放大支付安全风险,现有规则在当下存在何种不足,分析解决支付安全问题的症结所在。

(一)大规模信息泄露放大了支付安全风险

电商平台与电子支付服务提供者在电子商务中履行各自职责,为支付便捷,近年来二者呈现融合的趋势。电商平台全称为电子商务平台经营者,是指在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务,供交易双方或者多方独立开展交易活动的法人或者非法人组织。电子支付服务提供者需根据《非金融机构支付服务管理办法》的规定,获得非银行支付的相关牌照后提供第三方支付服务。支付服务提供者在电子商务中主要提供第三方支付服务,第三方支付平台对价金进行托管和支付,在消费者取得购买的商品所有权或接受服务后,第三方支付平台向销售者或者服务者支付价金[4]103。近年来,为实现支付的便捷,电商平台与支付服务提供者合作,将第三方支付的接口插入交易中的支付环节,通过与用户签订三方的免密协议,或在电商中嵌入快捷支付模块实现了从电商平台直接支付,免去了跳转行为。但无论是跳转或免密、快捷支付行为,全过程中支付服务提供者均只对授权支付验证的要素进行核对,授权支付要素正确即可进行支付。

授权验证要素随着信息大规模泄露暴露于网络之中,并通过扫号、社工(1)扫号是指用户在别的网站账号密码丢失后,被用户登录支付平台。由于用户在不同网站使用的是同一套账号和密码,所以导致支付平台密码丢失。 社工是指假冒公检法、熟人好友等,通过短信、聊天工具,片区用户各类信息,然后盗取和改变用户密码。等方式用以窃取用户的财产,支付安全风险被成倍放大。据波而研究所《2022年数据泄露成本报告》统计,由于关键基础设施信息信任机制、云安全等原因造成了大量的信息泄露,信息泄露事件的平均成本创下435万美元的历史新高。(2)Ponemon Institute:《2021数据泄露成本拿报告》当前窃取的信息中,不仅包含账号、密码等信息,还包含不可变更的生理特征密钥,如AI换脸软件ZAO存在个人面部信息泄露的可能性,3米内拍摄“剪刀手”照片存在指纹信息泄露的可能性。账密泄露对日常中在不同电商平台、支付平台中采用同样的账号、密码设置的用户造成严重影响,导致扫号、社工事件频发。特别是指纹、面容等生理特征密钥具有不可变更的属性,更将支付安全问题进一步放大。2018年,苹果应用商店屡次遭遇扫号事件,第三人利用用户在应用商店中的余额、免密支付等进行不明消费,套取大量资金,支付机构以签订《免密支付协议》为由拒绝赔偿,苹果应用商店作为电商平台以其不参与支付行为为由也拒绝赔偿,用户哭诉无门。[5]可以说,信息泄露成倍地放大了支付安全问题,授权验证要素的泄露已经严重威胁支付安全,以至于影响到支付电子化的发展。

(二)法治迭代仍难解支付安全危机

面对信息泄露问题,我国在支付安全领域的立法已有多年探索。电子支付技术成熟后我国就总结经验,针对支付问题确立了法律规范。2010年,中国人民银行发布《非金融机构支付服务管理办法》,对网络支付行为设定了行政许可事项,只有持牌机构被允许进行网络支付行为。2015年,人民银行先后发布《电子支付指令(第一号)》《非银行支付机构管理办法》,对非银行支付行为进行具体规范,其中涉支付安全问题。2018年,《电子商务法》明确支付服务提供者对支付安全的责任。此外,《民法典》侵权责任编中对支付行为导致的侵权行为也予以了规范,可作为损害时的请求权基础。

从具体的法律规范看,我国现有的要素验证模式在当下已遭遇严重挑战。从义务分配的角度看,《电子商务法》将支付安全保障义务分配给支付服务提供者,要求其对内承担支付安全管理义务(第五十四条),对外承担支付指令核对义务(第五十五条)、确认支付信息义务(第五十六条)、授权验证义务(第五十七条),对电子支付的责任进行划定。在支付授权规定中,中国人民银行出台部门规章、规范性文件对支付行为进行管理,除《非金融机构支付服务管理办法》规定的持牌机构外,《电子支付指令(第一号)》《非银行支付机构管理办法》对非银行支付行为进行规范,在《非银行支付机构网络支付业务管理办法》第二十二条对支付行为的验证要素进行规定,要求选择三类要素进行验证,具体包括静态要素、不可变更的生理特征要素以及动态要素。“静态要素是指仅客户本人知悉的要素(可反复使用),如静态密码等;动态要素是指仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如安全认证的数字证书、安全渠道生成的一次性密码等;不可变更的生理特征要素主要为指纹、面部特征、虹膜等不易变更的生理特征要素。”其第二十四条还规定,在实际支付中,根据所取得要素的不同可分别获得不同金额的授权,如采用其中两个验证要素,即可完成5000元以下的支付行为,该支付金额也是第三方支付中最为常见的支付类型。在5000元以上的电子支付中,必须采用动态要素进行验证,亦可通过生物特征要素完成授权支付行为,这主要兼顾资金额度较大时的验证风险。目前,支付授权验证中的生理特征要素、静态要素均出现不同程度的泄露,原有法律规范在信息大规模泄露中存在不足与挑战。

从司法实践角度观察,在授权验证要素丢失的背景下要求支付服务提供者承担责任并不现实。虽然法律规范要求支付服务提供者承担,但实践中用户却难以追究支付服务提供者的责任,其原因在于要素的丢失并非支付服务提供者的责任。如在上海技宇网络科技有限公司与支付宝(中国)网络技术有限公司服务合同纠纷一案(3)上海技宇网络科技有限公司与支付宝(中国)网络技术有限公司服务合同纠纷一审民事判决书,(2018)沪0115民初26533号。中,技宇公司主张支付宝对其大额支付行为未进行消息提醒和及时撤回,应当承担支付安全保障责任。法院虽然认为电子支付服务应尽到相应的风险防范和安全保障义务,但支付宝在签约时已进行风险揭示,并在使用阶段告知交易信息,基于原告具有专业技术和风险识别能力,因此判定技宇公司自行承担责任。这表明,在支付安全保障的司法实践中,支付服务提供者的责任限定为对授权支付要素的验证。侵权一方难以证明未进行授权支付,导致第三方支付案件撤诉率高[6]36,另一方面被侵权一方更难以证明信息泄露与授权支付的因果关系,主张难以成立。从另一个角度思考,要求支付服务提供者承担对验证要素提供者的真实性进行验证,显然过于严苛和不公平。总的看,由支付服务提供者承担支付安全保障义务已与法律最初之规定背离,无法解决支付安全问题。

在实践中的另一种做法,用户以电商平台未尽安全保障或合同附随义务,要求电商平台承担支付中的相应责任。虽然立法上将责任划归支付服务提供者,但司法裁判中需要考虑司法裁判的“社会效果”[7]168,将责任重新分配。在广州华多网络科技有限公司、俞彬华网络服务合同纠纷一案,案情主要涉及俞彬华在华多公司的电商平台中开设账户,并进行了充值,而后账户、密码被窃取。一、二审法院认为,原告俞彬华未能选用更高的安全保障方案,对妥善保管账号密码承担主要责任,被告华多网络科技有限公司未能在技术上和服务上更周密地防范和补救承担次要责任,判定俞彬华自负60%,华多负担40%的责任,判决书中指明,平台经营者从技术和服务上有增强防盗措施的义务。(4)广州华多网络科技有限公司、俞彬华网络服务合同纠纷二审民事判决书,(2019)粤01民终24469号。虽然本案并非直接的支付行为,而是对电商平台掌握的虚拟等价物的责任问题,但其表明在司法实践中电商平台对支付的安全负有不可推卸的责任。除本案外,在司法实践中还存在法官以电商平台未能履行合同中的技术保障措施,要求其承担合同附随义务,从而承担相应责任的情况。上述观点并未成为主流,原因在于在现有支付服务提供者独自承担责任的模式下,并不能将支付安全保障义务交给电商平台,如果需要电商平台承担责任,还需进一步分析其是不是解决危机的关键所在。

(三)电商平台纳入支付安全是解决危机的关键症结

法治迭代无法解决支付安全,急需找到支付安全的症结所在,提出对应的规范构建。由上文可见,授权支付验证机制在信息大规模泄露的背景下效果不佳的主要原因:一是在信息大规模泄露背景下,电子支付服务提供者进行的授权验证要素保护方式不佳。在电子商务活动中,第三方支付机构在最后付款时才介入交易过程,承担核对交易金额、确保交易准确以及对支付授权进行验证的义务,难有在确认账密一致性外的其他核验手段,因而信息泄露导致支付服务提供者无法保障支付安全。二是免密支付和电商平台等价物的交易方式,对电商平台与支付服务提供者承担义务的公平性提出挑战。电商平台、电子支付服务提供者和用户之间通过三方合同,形成了免密支付、快捷支付等新的支付方式,事实上重构了电商平台与用户之间的支付行为保障,电子支付服务提供者的保障功能逐步被电商平台所取代,而电商平台却无需承担支付安全责任。总的来说,支付服务提供者尽其努力而无法验证授权的真实性,电商平台介入支付而无需担责。

针对症结所在,在实践中其实已有较为成熟的私人创制。法律规范存在不足,电商平台就支付安全问题进行了私人创制的尝试,取得较好的实践效果。我国主要的支付企业往往是由电商平台所创建,因其存在股权上的交叉,形成了技术上的共享与交融。电商平台和支付服务提供者为减少因支付带来的纠纷,开展一系列尝试。一是支付服务提供者给用户主动购买账号盗窃保险,如“账号安全险”,但这一模式已由赠送的常态变化为需要购买保险的转变,因为保险赔付的模式需要高昂的成本,且往往不能成为常态。二是电商平台与支付服务提供者联合,通过用户的常用收件地址和历史行为记录判断是否为本人操作。比如京东早在2017年就建立“天盾账户安全与反欺诈系统”,该系统基于账户历史行为模式、当前操作行为和设备环境,采用指纹技术,对白条账户实现账户安全等级、环境安全等级、行为安全等级的评价,防范账户被盗、撞库、恶意攻击等风险。以笔者为例,2022年,笔者在京东购买的大金额物品,使用了非常用地址收货,在支付授权后接到京东客服的验证电话,再次确认交易的真实性。这一机制正是通过对电子商务交易信息核对中发现习惯异常,再增加动态验证要素以核对真实性。

上述的习惯验证义务的基础是电商平台补充了支付服务提供者不掌握电商信息的缺陷,形成了电商平台与支付服务提供者共同承担支付安全保障的较优实践,且已在主流平台中取得较好的实践效果。但是,这一补充支付安全保障义务并非法定义务,也非常态,电商平台与电子支付服务提供者在电子商务中各行其是,各负其责仍是主流。因而,需要找到电商平台承担支付安全的正当性。

二、电商平台承担支付安全保障义务的权源与理据

信息泄露对电商平台中的支付安全构成挑战,支付服务提供者独立承担保障义务面临困境,私人创制取得效果但仍需进一步证成。因而,需对理论层面展开研究,分析电商平台承担支付安全保障义务的权源理据。

(一)安全保障义务的本质使然

立法要求电商平台承担支付安全保障义务远非个别企业实践或个别司法判决所指向的简单,需要从本质上思考电商平台是否有承担支付安全保障的义务。电商平台对支付的保障,实际上是一种对电子商务场所内的安全保障。该义务最初是德国法官造法的“交往安全义务”的发展,并不限于现实空间。安全保障义务的概念本位是德国法院从判例中发展而来,其表述为“开启或持续特定危险的人所应承担的、根据具体情况采取必要的、具期待可能性的防范措施,以保护第三人免受损害的义务”。(5)BGH NJW 1975,108.此义务不是《德国民法典》明文规定的义务,而是借助法院的判例形成的,其中最具有代表性的案例就是1902年的“枯树案”、1903年的“道路撒盐案”、1921年的“兽医案”。安全保障义务主要解决不作为侵权的状态。德国法中的安全保障义务不限于人身和有形财产之保护,在适用介质上不限于物理空间,德国联邦最高法院的数个案例(6)RGZ 52,379;RGZ52,53;RGZ102,372.认为安全保障义务着眼于“开启、参与社会交往”及“给他人权益带来危险”两项事实。德国安全保障义务在确立之初并不存在网络空间,自然也不存在相关问题的探讨,但该义务的论述中强调的主体性与带来危险的事实与网络空间中的形态一致的,特别是在网络空间中对财产的保护,自然从防止财产损失到支付安全之中。因此,安全保障义务的主体既可以是物理空间,也可以是网络空间。

我国在安全保障义务引入前,义务模式主要有“法律规定、合同约定和先行行为”[8]30。但在实践中,缺乏不作为侵权的义务导致赔偿责任难以落实,如客户在餐馆就餐因地面湿滑导致客户坠楼死亡的案例,表明在缺乏法定不作为义务的情形下难以使公共场所的管理者承担相应责任。[9]49因而,我国在制定《侵权责任法》时规定了不作为侵权的安全保障义务,以解决在公共场所管理者对客户的保护。《民法典》延续了原有法律的规定,在第一千一百九十八条中规定安全保障义务,但根据其表述应限于经营场所、公共场所等实体空间之中。随着物的表现形式发生了根本变化,物体由看得见、摸得着的实体物表现为以信息形态存在的各种拟物化信息,因此其安全形态不应限于对实体空间的保护,而变为对信息安全的保障。

《民法典》虽未规定网络空间的安全保障义务,但《电子商务法》中所列举的安全保障义务可以作为支付安全保障的理论基础。我国电商平台的安全保障规定于《电子商务法》第三十条、第三十八条,其要求电商平台承担交易中的各项安全责任。在电子商务中,电商平台是“开启、参与社会交往”的主体。鉴于开启和维持的风险对社会的影响程度,社会轻视和普遍的公正观念、安保义务的性质,共同影响其责任的认定。因而,用户通过点击电商平台开启电商服务,支付作为电商服务的最后一个环节,应当获得电商平台的保护。文义解释下,《电子商务法》第三十条要求电商平台采取技术措施和其他必要措施保证其网络安全、稳定运行和防范网络违法犯罪活动之意,显然将包含对电子商务行为中的支付行为的保障。虽然释义中立法者对该条的解释主要要求电商平台制定内部安全管理制度和操作规程,采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施、监控、记录网络运行状况等的网络日志、信息分类加密等、按照国家标准提供产品或服务。但是从规范出台的背景看,2014年的京东商城撞库事件和个人信息被公开售卖的事件是第三十条的立法背景之一。[10]158因而,立法者有理由推动电商平台承担其相适应的义务,而并非文义解释中仅要求其承担安全管理的要求。特别是在当前个人信息泄露严重的背景下,如果电商平台尽到注意义务就可以回避支付安全问题,显示并不合理。因此,电商平台基于安全保障义务的理论,提供对支付安全的保障,乃是应有之义。

(二)公平视角下平台的获利责任

电商平台与支付服务提供者在电子商务中获取利益,适度分配应有之责任才更为公平。电商平台的崛起与电子支付的发展息息相关,在电子商务交易中,电商平台与电子支付均分享了发展的红利。而电商平台承担的责任中多为知识产权的注意义务等,现有立法中过多注意平台发展而忽视了平台对支付等行为的注意义务,进而导致获利收入与责任分配的不均衡。通常,注意成本应该分配给危险的制造者和保有者以及因特定危险而获得利益者,这一原则不仅仅出于利益平衡等道义上的考虑,也着眼于使社会付出的总成本更小。因为电商平台在电子商务经营中获益最大,从危险控制和收益与风险一致的角度看,其对用户财产的保护具有合理性。

电商平台在获利的同时,其形成的安全隐患是其承担获利责任的另一缘由。从危险中获取各种利益者理应被视为制止危险义务的人,只要服务平台存在安全隐患并从中获取了利益,就应承担相应地排除危险的义务。[11]28-31电商平台在获益的同时,成为支付安全隐患的制造者之一,更应当负担起排除对财产威胁的风险,如在苹果应用商店撞库事件中,应用商店是危险的获利者,也是安全隐患的源头,其理应负担制止危险的义务。诚然,有人质疑在欧美国家的银行支付和电子支付中,并未要求电商平台承担支付安全保障义务。这是由于欧美电子支付发展较慢,且普遍采用责任限制原则,使银行成为安全责任的主体。美国《电子转移法》规定,如果消费者在得知自己的资金在未经授权的情况下划拨的2个工作日内进行报告,那么其承担的责任限制为50美元,如果在2到60工作日报告,其承担的责任最大为500美元(7)15 U.S.C.§1693g(a);12C.F.R.§205.6(B)(1)(2).;欧盟则在2016年颁布的《支付服务指令》(PSD2)规定消费者的责任限制,在履行通知义务后,支付机构应当将款项退还消费者,由支付提供者承担未授权支付的责任。因此,欧美暂无对电商平台施加支付安全保障义务的客观诉求。

上述可见,电商平台作为危险的发起者、获利者的角度,都理应承担安全保障义务,肩负支付安全保障。因此,在支付服务提供者保障之外,要求电商平台在电子商务中承担相应责任具有法理基础。

三、电商平台支付安全保障义务的规范构造

电商平台未参与支付的最终环节,其承担支付安全保障义务的内容有别于支付服务提供者,需要从实际情况出发,重点考虑电商平台的能力与责任分配的公平性,确立安全保障义务的具体内容及其类型化。

(一)支付安全保障义务实现的方式

电商平台采用前述私人创制中的习惯要素验证,可以保障支付安全。电商平台对支付安全所采取的私人创制取得较好效果的根本原因在于利用个人信息中的特定要素,判断授权支付的异常情况。电商平台在提供服务的过程中,能够收集用户的交易内容、交易地址、联系方式等个人信息,并掌握用户使用设备、所在网络地址等设备信息。在实践中,电商平台已在运用该信息验证账号主体是否为本人在授权操作,从而提供支付安全保障。如淘宝网对更换账号的异常登录行为,要求用户验证过往的购物记录,以判断是否为本人操作。当信息的类型越多、匹配度越高,用户账号为本人的可能性就越大,从而避免了仅验证一般静态要素和生物识别要素的不足,可以应对信息泄露的风险。

从信息处理合法性的角度分析,电商平台运用其掌握的信息验证授权的真实性,需从知情同意或例外条款获得信息处理合法性。《个人信息保护法》对个人信息的合法性基础做了严格限定,该法第十三条对个人信息处理合法性做了规定,告知用户信息处理并取得同意是最普遍的获取处理合法性的情形。从其他合法性基础看,电商平台很难从履行合同必要、法定职责等处理个人信息,该信息也并非公开的个人信息。此外,如法律、行政法规确立电商平台义务后,可依据第七款中法律、行政法规规定的其他情形而直接适用。因而,电商平台可以在与用户的《隐私政策》约定对安全内容的获取,具有信息利用的基础及处理合法性,可确立支付安全保障义务内容的基本构造,以获取利用用户信息的授权,在法律、行政法规规定后,可直接适用第七款规定获得用户信息的权利,验证是否为本人授权。总体看,采用个人信息,验证操作的习惯判断授权的真实性具有可操作性,是电商平台提供支付安全保障义务的可行方案。

(二)支付安全保障义务的具体内容

电商平台对支付安全的保障是电商平台对账号安全保障的扩张,即检测到支付环境时,电商平台应提升对账号安全的保障要求,从而实现电商平台对支付安全的保障。但是,考虑到支付授权验证为支付服务提供者的责任,将其义务扩张到电商平台后,不能要求电商平台对任何支付行为承担安全保障义务,较为现实的做法应是选取确定的习惯个人信息进行验证,在电商平台对账号安全保障中加入对支付行为异常的再次验证,当出现违背交易习惯、行为习惯的支付行为,电商平台应尽到再次审查交易真实性的义务,并对由此导致的用户损失与支付服务提供者共同承担责任。具而言之,可将其分为:

第一,对交易习惯出现异常账号的审查。交易习惯的信息是指用户交易过程中的交易方姓名、联系方式、交易地址等用户较少变动的信息。用户在使用时会登记上述信息,但通常该类信息不会经常变动,因而在该类信息出现变动的情况下,在发生支付交易时,电商平台应尽到审查义务。在审查后该变动可将新的交易习惯信息列入习惯之中,不再进行二次审查。

第二,对行为习惯出现异常账号的审查。除交易习惯外,用户通常还会使用固定的设备、网络,并在固定的区域范围使用设备,行为习惯并非一成不变,但与交易习惯具有不会经常变化的特征,因而可作为异常的信号。当用户的区域地址、网络发生异动(如在短时间内发生跨区域的登录),或是当用户的常用设备发生变化时,可判断用户的行为习惯出现异常,此时对用户的行为进行审查。

第三,对用户习惯的其他异常的审查。当前,一些电商平台已经构筑“用户画像”(8)用户画像是指在大数据时代背景下,用户信息充斥在网络中,将用户的每个具体信息抽象成标签,利用这些标签将用户形象具体化,从而为用户提供有针对性的服务。,电商平台利用画像判断用户的行为,在交易习惯与行为习惯之外,可通过私人创制的方式验证其他异常,并进行审查,但由于画像的精准性、算法的准确问题均难以判断,不宜作为强制审查的类型。

行为习惯与交易习惯出现异常后,对其审查的方式可采用动态验证、人脸验证等难以被伪造的验证方式。动态验证一般只由用户掌握,通常情况下不会被窃取;人脸等生物识别信息存在被破解的风险,但风险显著少于静态信息的验证,随着人脸识别等验证方式的技术愈发成熟,将是较好的验证方式。需要强调的是,习惯异常的审查,并不意味着电商平台要对任何的异常登录行为开展审查,而是在电商平台发起支付行为时,审查习惯是否异常,在异常状况下开启审查。如阿里巴巴CTU(counter terrorist unit)风险大脑为例,其作为风险判定工具,借助大数据平台的检测分析,从偏好、账户、身份、交易、设备、位置、关系、行为8个维度进行风险判定,对用户所在关系网络中的每个人进行信用判定,一旦与危险账户发生资金关系,立刻进行警示[12]86。如未通过验证,则电商平台能够直接拒绝用户发起的免密支付、快捷支付等支付行为。

四、电商平台未尽支付安全保障的责任及其类型化

(一)适用过错推定原则与补充责任

电商平台未尽支付安全保障义务是一种不作为侵权,电商平台对此的责任应适用过错推定原则。电商平台作为义务人负有防止或制止第三人对他人实施侵权行为的安全保障义务。基于客观事实依据、特殊侵权责任和保护被侵权人利益的原因,违反安全保障义务侵权责任的过错认定应采用过错推定原则[13]209。这一观点既是对电子商务下过错证明责任的合理分配,也符合保护用户权益的要求。在过错推定原则下,第三人试图通过扫号、社工等方式进入用户账号进行违法支付,电商平台应当尽到前述的支付安全保障义务,运用用户个人信息等方式进行再次核验。对于未尽到安全保障义务而造成用户损失,义务人属于不作为侵权。此时,应推定电商平台对侵权行为有过错,用户应证明损害行为、损害结果及因果关系。

依据公平原则及电商平台在支付中的地位,该责任为补充责任较宜。《民法典》第一千一百九十八条规定经营者、管理者或者组织者未尽到安全保障义务,在第三人承担侵权责任的基础上承担相应的补充责任。从立法看,上述的内容虽属于实体空间中未尽到安全保障义务的规范,但可以借鉴到虚拟空间中。《电子商务法》第五十七条规定“未经授权支付损害赔偿责任和发现未经授权或者收到未经授权通知却未及时采取措施的,对扩大部分承担责任”,这一责任中对未经授权可理解为两种情形:一是用户确实未授权;二是用户本人未授权,但他人掌握了用户的安全工具或者取得了用户的手机、电脑等,假冒用户进行授权。在后一种情形下,如果电子支付服务提供者应当识别而未识别的,也是未经授权。[14]53电商平台在责任的确定上,可参照于电子支付服务提供者的责任形态,即在未尽到再次动态验证时与支付服务提供者共同承担相应的补充责任。

(二)具体责任类型划分

依据电商平台发起的支付行为的不同,在适用支付安全保障义务时,可依据电商平台对支付行为的掌控能力,划定不同责任,具而言之:

一是电商平台内余额或等价物的支付保障及其责任。电商平台直接掌握的虚拟类货币或与现金等价物,这是基于电商平台所开展的等价物行为,具有和现金等价的价值,属于支付安全保障的范围,同时该支付行为与支付服务提供者并无关系,故而该类支付中支付服务提供者不承担任何责任。如实践中电商平台账户余额、可直接抵现的红包、等价虚拟币等。该类型应直接适用电商平台对其账号信息的安全保障义务。

二是电商平台发起的快捷支付或免密支付行为。该行为基于用户、电商平台与支付服务提供者签订的支付合同,由用户直接在电商平台中操作即可完成支付,并不需要跳转到支付服务界面进行支付行为,因而在该类支付中虽由电商平台与支付服务提供者承担责任,但基于权利义务相对等原则,此时电商平台对支付安全保障的义务更重。

三是电商平台发起并跳转到支付服务界面或数字人民币支付界面进行的支付行为。该类支付行为中电商平台尽到支付安全保障的审查,但由于支付服务提供者未满足授权支付的相关规定,则应由支付服务提供者承担责任。电商平台未尽到支付安全保障的审查义务,则由二者内承担连带责任更为适宜。需要指出的是,上述保障的对象可涵盖从电商平台进行的电子支付行为,对于虚拟财产的给付行为由于不属于电子支付行为,因而不应属于保障的对象。

猜你喜欢
服务提供者义务要素
幸福的人,有一项独特的义务
网络服务提供者的侵权责任研究
网络服务提供者的侵权责任研究
掌握这6点要素,让肥水更高效
论网络服务提供者连带责任的理论困境
三十载义务普法情
观赏植物的色彩要素在家居设计中的应用
论美术中“七大要素”的辩证关系
跟踪导练(一)(4)
论网络服务提供者的侵权责任