第三方支付需建立安全程序规则

未央网

今年的“双十一”,仅仅12分钟,天猫交易额即突破100亿元(人民币,下同),当天交易额超过900亿元,堪称惊人。与电商迅猛发展如影随形的是,我国第三方支付如火如荼,对电子交易起到了极大的支撑作用。以支付宝为例,截至2014年年底,支付宝平台的实名用户已经超过4亿。超过200家金融机构与支付宝合作开展网络支付业务,超过700万中小商户选择支付宝作为自己的网络支付服务提供商,2014年支付宝交易笔数达253亿笔。

当然,事物的发展并非总是一帆风顺。近年来,以支付宝为被告的诉讼呈增多趋势,2012年为14起,2013年为23起,2014年则为28起(当然,考虑到当年交易笔数为253亿笔,涉诉比例微乎其微),其中既有诈骗分子骗走用户信息,然后盗取或更改用户密码,从而进行非授权交易,也有用户谎称遭盗刷要求赔付等道德风险。在此类案件中,确定支付者的身份、支付意思表示是否真实以及区分第三方支付机构与银行的责任,往往成为争议的焦点。毕竟,在互联网时代我们很难确定,在电脑或手机的另一端,触动键盘的是一个人,还是一条狗。

市场需求推动技术变革。支付宝历经多年研发了CTU风控手段,根据支付设备、位置、行为、习惯、偏好等细分为1万多条风险策略,来判断该支付指令是否由本人发出。以此为基础,支付宝在其“安全保障规则”中规定,“经调查或经支付宝合理判断认为是因您的故意行为、重大过失或违法行为造成您自身资金损失的;是因他人的欺诈、胁迫等行为造成您资金损失的”,凡此种种,支付宝概不承担责任。另外,支付宝还与用户约定,当发现异常交易或合理怀疑交易有疑义或有违反法律规定或本协议约定的情形时,支付宝有权单方面采取限制支付服务功能、暂停支付等措施。事实证明,CTU风控手段的运用,的确大幅降低了支付宝的支付风险,其支付差错率低至1/10万,大大低于VISA和PayPal的差错率。

概括来说,支付宝通过合同约定,解决了一定条件下对于非授权交易不予赔付以及限制甚至暂停支付的问题。尽管支付宝在绝大多数案件中都赢得了诉讼,但仍有法院判定,支付宝单方面免除了其安全保障义务,此种格式条款无效。尽管支付宝技术一流,但在法律上无法推断绝少发生的非授权支付一定归咎于消费者。

如何将技术判断转化为法律判断,国外好的做法可供借鉴。

美国《统一商法典》第4A编是世界上第一部专门调整大额电子资金划拨的法律。该编在美国影响深远。为了平衡支付安全与支付效率,该篇提出了“安全程序原则”,即要求接收银行与其客户签订协议,明确支付命令的安全验证程序和内容。根据该规定,原则上对未经授权的支付命令所导致的客户损失应由银行承担;但如果接收指令的银行与客户约定,以客户名义签发给接收银行的支付命令须经双方事先约定的安全程序核证,而银行在接受支付命令时尽了合理的注意义务,并且遵循了安全程序,则应由客户承担损失。

这里所谓安全程序,是指客户与银行约定的密码或其他有效的身份认证手段。如果电子支付指令的发送、接收和执行符合安全程序,则视作该电子支付指令为客户本人或者授权他人发出。安全程序规则必须满足以下四个条件:1、银行或支付机构与其客户达成协议,约定客户输入电子支付指令必须经特定安全程序确认;2、该安全程序必须具备商业上的合理性和技术上的可靠性;3、银行或支付机构出于诚实及善意接受该电子支付指令;4、银行或支付机构按照安全程序对电子支付指令予以审核并执行。

以“经支付宝合理判断”行文,缺乏一个用户自认的安全程序,极易给人以单方面免责或加重对方责任的观感,与国外通行的安全程序规则的表述格格不入。安全程序规则的要义是,建立在支付机构完整披露基础之上的用户自认,也就是说,支付宝应当披露从发起一项支付指令到完成该项支付,在哪些环节如何完成了验证,并把验证规则披露给消费者,只有在这种情况下消费者认可了该规则,使用支付服务所产生的风险才由其自行承担。

就构造该规则时,必须注意的是,从支付流程来看,一个完整的支付法律关系应当区分为支付信息传递与支付授权识别(客户身份识别)两个环节,具体说来,应当以支付指令传送与支付指令验证为焦点,根据具体流程来确定第三方支付机构、银行与用户的责任。

其一,如果收付款双方均使用支付机构的支付账户内的预付价值余额,并且支付指令信息均是使用借贷簿记方式,而且都体现在收付款双方的支付账户内,此时真实的货币资金仍然停留在支付机构开设在备付金存管银行的备付金账户中,并未发生转移。在此情况下,支付指令与验证指令均由支付机构发出,法律纠纷发生在收付款人与支付机构之间,与银行无关。

其二,收付款双方均使用支付机构提供的账户,但是并未使用支付账户内的预付价值余额。在此情况下,首先,支付信息是通过支付机构传送,因此对支付机构的法律责任审核范围,应围绕其是否按照约定和监管要求,及时、准确、完整地传递客户支付指令而展开。其次,需要考察的是,验证指令是关联账户的银行发出还是支付机构发出,如果验证指令是由银行发出,发生非授权支付时,如果第三方支付机构已经及时、准确、完整地传递了客户支付指令,则应由银行向客户承担法律责任。如果验证指令是由支付机构发送给客户,发生非授权支付时,应由支付机构向客户承担法律责任。例如,在快捷支付模式下,首次验证是通过银行发送验证指令,此后交易均由支付机构发送验证指令,在不同的情形下,法律关系的主体存在差异。

其三,收付款双方一方使用支付机构账户,一方使用银行账户。首先,需要辨别支付指令是由支付机构账户方还是银行账户方发出,以此判断法律关系主体。同理,在验证指令环节需要进行同样的识别与判断,以厘定不同的法律关系和责任承担。

上述分析有助于识别支付纠纷下的责任主体和诉由,判断责任承担与归责方式。而支付机构或银行向客户承担责任后,可以根据支付机构与银行之间的业务合同约定明确各自责任的分担比例和方式。