威尼斯赌场,威尼斯赌场官网

威尼斯赌场

当前位置: 网站首页 > 投资者教育

非授权支付下第三方支付机构责任承担问题分析

发布日期:2018年07月03日 17:31:14 访问人数:1444

第三方支付业务迅猛发展,已逐渐成为消费者和商户最主要的支付方式之一。然而,涉及第三方支付的纠纷也是越来越多,其中以非授权支付纠纷为主。所谓非授权支付,是指未经客户授权的情况下,他人擅自使用银行卡信息,通过互联网渠道向资金存管机构发出支付指令,经由资金存管机构认证指令后划转资金,从而导致客户账户资金减少或信用透支额度增加的行为。非授权支付包括多种形式,如盗刷银行卡、盗取支付账户、钓鱼案件等。在非授权支付纠纷中,第三方支付机构是否需要承担责任,这是一个关乎支付服务消费者权益和第三方支付机构发展的关键问题。在此,本文尝试从案例入手,专门对非授权支付情形下第三方支付机构的责任承担问题进行探讨。

u=1034876324,39247902&fm=27&gp=0.jpg

一、案例一

1.案例来源:陈某与兴业银行股份有限公司成都某支行借记卡纠纷、金融借款合同纠纷案(成都市中级人民法院[2016]川01民终991号)。

2.案情简介:

2012年3月28日,陈某在兴业银行办理借记卡开户,卡号为:62×××18,绑定手机号为:158××××08。

2014年3月22日,陈某在支付宝公司进行实名注册,卡号为20×××59,账户类型为支付账户,卡别名(绑定手机号码)为158××××08。后陈某支付宝账户绑定兴业银行的涉案借记卡。

2014年4月14日,陈某申请开通短信口令、网上支付、网上银行以及手机银行转账汇款等功能。绑定手机号码为158××××08。

2015年6月6日,陈某的兴业银行账户向某工商银行账户完成多笔转账,合计金额55015元。

2015年6月6日,陈某的手机、涉案借记卡以及身份证都由其掌控。陈某称2015年6月6日未操作过余额宝提现、银行卡网上支付以及转账。陈某认为,其与兴业银行之间系储蓄合同关系,其与支付宝公司系理财合同关系,基于此合同关系,兴业银行与支付宝公司未尽到安全注意义务,提供的证据均系单方制作,且无任何其他客观证据予以佐证,要求兴业银行与支付宝公司承担违约责任,全额返还资金本息。

3.裁判结果及其理由

法院判决,陈某请求兴业银行与支付宝公司给付55015元及利息的诉讼请求无事实及法律依据,不予支持。

法院认为,持卡人陈某所持卡为借记卡,通过填写《开立个人银行账户申请表》,与发卡行兴业银行构成储蓄合同关系。陈某与支付宝公司通过网上订立《支付宝服务协议》,构成网络服务合同关系。上述合同均系当事人真实意思表示,合法有效,对各方均具有约束力。

从余额宝的提现流程,涉案款项5万元从余额宝提现到陈某的兴业银行借记卡,需输入登录密码,登录支付宝账户,支付时还需输入支付密码。支付宝的账户名、登录密码、以及支付密码由陈某设置并保管,支付宝公司按照协议约定在接受指令后完成向陈某绑定的银行卡支付。陈某未提交证据证明支付宝公司在此过程中违反合同约定或法定义务。故陈某请求支付宝公司给付55015元及利息的诉讼请求无事实及法律依据,不予支持。

陈某在兴业银行处申请开通短信口令,精灵信使,网上支付(每日累计支付不得超过1万元),网上银行以及手机银行转账汇款(均为任意转账,每日累计金额不超过10万元)功能。从兴业银行的网上支付以及转账支付的流程来看,手机银行的首次登录、网上支付时均需要银行卡号、取款密码。转账支付时,需要输入正确的转账账户名、转账银行卡号码、支付密码以及短信验证码,陈某保管身份证、银行卡、身份证以及取款密码,且案发时均由其实际掌控,兴业银行根据银行卡信息、取款密码等指令完成网上支付4700元、5300元,转账汇款汇出4.5万元并向预留手机发送短信。陈某未提交证据证明兴业银行在此过程中违反合同约定或法定义务,故对陈某请求兴业银行支付55015元及利息的诉讼请求不予支持。

二、案例二

1.案例来源

人人贷商务顾问(北京)有限公司、林世忠借记卡纠纷二审民事判决书【珠海市中级人民法院(2017)粤04民终1912号】

2.案情简介

1.2014年2月19日,林某向农行某支行申请办理了IC借记卡(普通卡),同时开通了电子银行业务。之后该卡发生过多笔交易,包括支付宝和网银等方式的款项支付。

2.2015年7月18日,林某以个人身份向某第三方支付机构注册了账户。

3.2015年7月24日,邮储银行办理了一个开户业务,申请人以“林某”之名。

4.2015年8月6日20时28分24秒,林某农行卡存款23426元被转出至某第三方支付机构。

5. 2015年8月6日20时28分40秒,林某在某第三方支付机构注册账户充值23426元。

6.2015年8月7日,户名为“林某”的邮储账户入账23426元。

7.后林某向公安机关报案,且向法院起诉要求农行某支行、邮储银行、某第三方支付机构承担赔偿责任。一审法院判决农行某支行、邮储银行、某第三方支付机构三方均承担责任。

8.某第三方支付机构不服上诉,二审法院改判某第三方支付机构不承担责任。

3.裁判结果及其理由

原审判决威尼斯赌场:林某在农行某支行账户内的款项被他人转至某第三方支付机构的账户,并从某第三方支付机构转至邮储银行的账户,最终被他人取走,造成林某23426元本金及利息损失的分析认定,证据确实充分,评析符合情理,本院予以确认。鉴于原审被告农行某支行和邮储银行对原审判决确定的清偿责任和连带责任未上诉,视为其认可原审判决结果,本院不再评述。

上诉人某第三方支付机构在申请人以“林某”的名义注册昵称为“××”的账户过程中,通过填写的手机号进行了短信验证;账户完成注册后,对开立账户的申请人进行了真实身份证号码安全验证,申请人提交的身份证号码与被上诉人林某的身份证号码相同。因此,上诉人在“林某”注册账户的过程中已经尽到了合理的注意义务,其审核过程的安全措施符合一般的行业要求,没有过失。“林某”充值和转款,必须通过其在相关其他商业银行开立的同名账户进行,并应填写在该银行账户开户时预留的手机号码进行短信验证,转出款项的银行在核对手机短信验证号码准确后,才会将款项转入或转出某第三方支付机构的账户。回到本案的实际情况中,如果农行某支行履行了自己的安全保障义务,向上诉人预留的手机号码发送了手机短信验证码,那么可以避免案涉款项的错误转出;如果邮储银行尽到了基本的注意义务,那么持有与公安机关发放的真实身份证的有效期限不一致的那位“林某”,是不可能申领邮政储蓄银行卡成功,也可以避免案涉款项的错误领取。因此,造成被上诉人案涉款项的损失,过错在原审被告农行某支行和邮储银行。原审判决要求两原审被告承担相应的赔偿责任和连带责任正确,应予维持。

综上,上诉人某第三方支付机构在被上诉人款项被他人领取的过程中,没有过错,不需要承担上诉人款项损失的连带赔偿责任。上诉人的上诉理由成立,本院予以采纳。原审判决认定事实清楚、但对上诉人在本案中的责任认定错误,本院予以纠正。

三、案例评析

(一)第三方支付的基本方式与流程

第三方支付主要有两种方式:一是信用担保;二是代收代付。在信用担保方式下,先由付款人把应支付的交易资金存入第三方支付机构账户并向第三方支付机构提交支付指令,第三方支付机构随后冻结交易款项,待到付款人确认收货并通知第三方支付机构后,第三方支付机构才把交易款项汇入收款人所开设的支付机构账户。而在代收代付方式下,第三方支付机构只要根据付款人发送的支付指令,把通过充值预存的资金转移到收款人账户即可,第三方支付机构将付款金额以借记方式记录在付款人的支付机构账户信息中。

以支付宝的第三方支付为例,一般需要注册第三方支付机构并绑定银行卡才能进行交易。其支付的基本流程如下:

1.客户注册第三方支付机构账户。具体如下:第一,进入支付宝登录页面。点击页面下方“注册”;第二,要求用户填写昵称、手机号码、登录密码相关信息,其中登录密码要求字母、数字或符号组合才可;第三,要求同意《支付宝服务协议》。用户填写完毕信息后,点击“注册”;第四,要求用户设置6位支付宝支付密码;第五,设置成功后,进入支付宝主页面;

2.将银行卡与第三方支付机构绑定。在绑定过程中,客户须先输入身份信息、银行卡号以及该银行卡在银行预留的手机号,后银行向持卡人在银行的预留手机号发送短信验证码。在客户身份信息、银行卡号、手机号码以及短信验证码等相关信息经验证一致后完成绑定,并由客户自行设置交易密码;

3.具体交易发生时,客户需登录第三方支付机构账户,凭事先设定的交易密码进行交易。以余额宝提现为例,其操作步骤如下:打开并登录支付宝钱包,点击余额宝,后点击转出,进入添加银行卡页面,将自己的银行账户信息填写完整,点击保存账户,若之前已设置好提现银行卡,直接填写需要提现的金额,输入支付密码后,点击确认,申请成功。后支付宝公司接收指令后,完成支付。

(二)第三方支付机构是否为诉讼当事人

在司法实践中,客户以合同关系起诉发卡行,一般都会追加第三方支付机构作为第三方参与诉讼。虽然基于合同的相对性原则,第三方支付机构大部分情况下不是违约责任主体,因而也不属于适格被告,但对于是否需要追加第三方支付机构作为第三人参与诉讼,以便查明案件事实,实践中存在不同见解。

有法院认为,将第三方支付机构追加为第三人,有利于查明客户在第三方支付机构的注册信息、查明款项的支付途径以及身份验证的过程。

也有法院认为,无需追加第三方支付机构参与诉讼,理由主要在于:一是客户的交易涉及多个不同的第三方支付机构,将导致案件当事人众多,影响审理效率。二是第三方支付机构所收集的网上支付电子信息必须通过互联网公共网络和银行内部的专用网络之间的网关安全接口进行传递,银行有义务采取技术措施保障来自第三方支付机构的传输数据和操作指令的完整性、一致性和不可抵赖性,其是否违约不一定要通过第三方支付机构的支付行为来判断。

当然,如果客户直接以违约或侵权责任起诉第三方支付机构,则必须审查其是否应当承担责任。正如上述案例所示。

(三)第三方支付机构的注意义务

客户将款项划至第三方支付机构的中间账户,第三方支付机构只是代为保管该备付金,待第三方支付机构将代收的款项付给客户所指令给付的一方后,从而履行了代收与代付的服务合同义务。因此,客户与第三方支付机构的法律关系为:一是资金保管法律关系;二是资金代收代付的服务合同法律关系。案例一种,法院认为陈某与支付宝公司通过网上订立《支付宝服务协议》,构成网络服务合同关系。

在资金保管法律关系和资金代收代付的服务合同法律关系中,第三方支付机构主要存在以下几个义务:

一是对客户信息的安全保障义务。在互联网支付服务中,用于客户身份识别代码的账户登录名、密码以及其他预留信息,主要包括交易密码、银行卡取现密码、信用卡电话密码、交短信验证码等在内的所有具备私密性、唯一性和专有性的信息,是客户的重要信息,直接关系到客户资金的安全。对于这些客户信息,应当保障其安全而不被盗取。在客户发出支付密码的设置、重置等时,第三方支付机构应当进行严格、谨慎的审查,以便确定客户的真实身份以及是否为客户的真实意思表示。实践中,第三方支付机构会通过合同与客户约定其具体的对客户信息的安全保障义务。例如,支付宝通过《支付宝付款协议》与客户约定:“……(三)账户安全您将对适用支付宝账户或密码、校验码进行的一切操作及言论负完全责任,您同意:1.除相关产品另有规则外,本公司可以通过您的支付宝登录名和密码或扫描二维码、声波支付、条码支付或识别您的生物特征或者本公司认可的其他方式识别您的身份,您应当对该等支付宝登录名、密码、校验码、身份识别信息等泄露所致的损失由您自行承担。您保证不向其他任何人泄露您的支付宝登录名、密码、校验码以及身份信息等,亦不使用其他任何人的支付宝登录名、密码、校验码、身份识别信息等。本公司亦可能通过本服务应用您使用的其他产品或设备识别您的指示,您应当妥善保管处于您或应当处于您掌控下的这些产品或设备,对于这些产品或设备因非您本人使用或遗失所致的任何损失,由您自行承担。……3.您同意,(a)如您发现有他人冒用或盗用您的支付宝登录名及密码或任何其他未经合法授权之情形,或发生与您的支付宝账户关联的手机或其他设备遗失或其他可能危及到您的支付宝账户内财产权益安全情形时,您应立即以有效方式通知本公司,向本公司申请暂停相关支付宝服务……”

二是对客户资金安全的保障义务。第三方支付机构应当设置足够的安全机制,采取足够的风控手段,防范客户资金被盗取。例如,支付宝研发的CTU风控手段(“风控大脑”),就是根据支付设备、位置、行为、习惯、偏好等细分为1万多条风险策略,以此来判断该支付指令是否由客户本人发出。只要不是主人操作,哪怕是掌握密码也不行。比如每个人触控手机屏幕的方式不同,借助手机上的传感器,通过指压、接触面积、连续间隔时间等,来判断是否是主人操作。事实证明,CTU风控手段的运用,的确大幅降低了支付宝的支付风险,其支付差错率低至1/10万,大大低于VISA和PayPal的差错率。当然,第三方支付机构也会通过合同约定其对资金的安全保障义务。当支付宝发现异常交易或合理怀疑交易有疑义或有违反法律规定或本协议约定的情形时,支付宝有权单方面采取限制支付服务功能、暂停支付等措施。

(四)第三方支付机构的责任认定

虽然第三方支付机构负有对客户信息和资金一定的安全保障义务,且这种义务因为信息不对称导致经济实力、权利分配和行使存在巨大差异,第三方支付机构掌握更多的优势,理应承担更多的责任,但实际上,我国司法部门目前对于第三方支付机构的责任认定还是依循以下主要规则:

一是根据当事人之间的合同来判断。法院在确定当事人间的权利义务时更多是根据客户与第三方支付机构之间订立的合同来确定。然而,按照合同约定,第三方支付机构早已将自己的义务大部分豁免了。例如,支付宝在其《安全保障规则》中规定,“经调查或经支付宝合理判断认为是因您的故意行为、重大过失或违法行为造成您自身资金损失的;是因他人的欺诈、胁迫等行为造成您资金损失的”,支付宝概不承担责任。支付宝还通过《支付宝付款协议》与客户约定:“……(二)本公司通过以下方式接受来自您的指令:A、您在本网站或其他可使用本服务的网站或软件上通过以您的支付宝登录名及密码或数字证书等安全产品登录支付宝账户并依照本服务预设流程所修改或确认的交易状态或指令;B、您通过您注册时作为该账户名称或者与该账户绑定的手机或其他专属于您的通讯工具(以下合称该手机)号码向本公司发送的信息(短信或电话等)回复;C、您通过您注册时作为该账户名等有形体或无形体向本公司发送的信息硬件……无论您通过以上何种方式向本公司发出指令,都不可撤回或撤销,且成为本公司代理您支付或收取款项或进行其他操作的唯一指令,视为您本人的指令,您应当对自己对本公司忠实执行上述指令产生的任何结果承担责任……”这样,客户要举证证明第三方支付机构存在违约行为或存在过错的情况下,才可以要求第三方支付机构承担责任。

二是依照“谁主张谁举证”的举证规则。第三方支付都是在互联网上进行,客观事实难以查明,举证责任的分配就显得尤为重要。实践中,法院在分配第三方支付纠纷举证责任时,大都将其分配给了主张者,其实就是客户。然而,由处于信息和技术劣势的客户证明争议交易为非授权交易近乎不可能,因而导致实践中绝大部分案件都判决客户败诉。在上述案例中,客户无法证明在密码指令支付的过程中,银行和第三方支付机构存在过错,这是其主张不被支持的重要原因。

三是第三方支付机构的安全机制运作情况。第三方支付机构所有的支付流程完全符合合同约定和安全规则,即视为第三方支付机构的安全机制运作良好。例如,第三方支付机构在检测到客户的支付账户登录异常后需要及时采取发送风险提示邮件、临时关闭支付账户、手机校验及电话核实个人信息等措施,还可根据客户要求进行扫描二维码、声波支付等身份识别方式。如果第三方支付机构在非授权交易情形下实施了上述行为,即可免责。

案例一,法院认为,从《支付宝付款协议》的约定来看,涉案款项从余额宝提现到案涉借记卡,需输入登录密码、登录支付宝账户、支付时还需输入支付密码,陈某设置相关密码并应妥善保管。支付宝公司按照协议约定在密码正确的情况下接受指令后完成向陈某绑定的银行卡支付,支付宝账户与银行账户系陈某本人相同户名,均在陈某名下,不会造成损失,支付宝公司的行为并无不当,故其主张支付宝公司基于违约承担责任的上诉理由不成立。可见,仍然是主要基于:一是根据当事人双方签订的合同来看,第三方支付机构已经履行了其义务;二是客户并未举证证明第三方支付机构存在过错;三是第三方支付机构的安全机制并无问题。因此,只要第三方支付机构已尽到了警示义务,系统没有漏洞,整个支付过程完整,且完全按照客户的指令进行,第三方支付机构就无需承担责任。

来源:威尼斯赌场法律服务中心 奚桢、谭洁(原创)