陈述
本文发表于《互联网金融法评论》第九期。
为了方便网上发布,只摘录了部分章节,删除了原来的评论。
目录
一、互联网第三方支付的范围和商业模式
(一)互联网第三方支付范围界定
(二)互联网第三方支付商业模式
2. 互联网环境下未经授权支付的演变
(一)从复制物理载体到复制电子信息
(2)从单通道复制到多链路控制
(3)从支付交易链接到支付激活链接
3. 未经授权的付款纠纷下的合同义务审查
(一)传统银行卡被盗纠纷中担保义务的认定
(二)互联网环境对传统卡支付模式中安全义务确定的影响
(三)从安全保障义务回归附带义务
四、互联网第三方支付下未经授权支付具体情形的责任认定
(一)银行与第三方支付机构的责任认定
(二)擅自开通支付业务的责任认定
(三)技术升级风险溢出责任认定
【摘要】互联网第三方支付是由第三方支付机构主导或参与,基于公网或专网实施的一种新型支付方式。 在司法实践中,这种新型支付方式引发的未经授权的支付纠纷不能遵循传统银行卡诈骗案件的处理规则。 从合同关系的角度来看,此类纠纷的处理不仅应以条款明确约定为基础,还应重点关注具体商业模式下当事人的附带义务。 在此基础上,各方应综合考虑和决定。 当事人对未经授权的付款的责任。
[关键词]:互联网第三方支付 未经授权的支付 伴随义务
2013年,“余额保鲶鱼危机”掀起了互联网金融的大浪潮。 余额宝模式通过第三方支付机构实现了资本增值与资本消费的无缝衔接,开创了互联网+思维模式下的新型电子商务。 商业格式。 正当所有人的目光都聚焦在这个互联网金融的杰作时,以第三方支付机构为首的互联网第三方支付业务也在悄然改变传统支付生态。 一场由互联网思维引发的支付领域革命也正在发生。 并到达了。 互联网第三方支付改变了传统支付理念,创造了多样化、便捷的支付体验。 但与此同时,支付领域始终坚持效率与安全的内在守恒。 互联网第三方支付的高便利性带来的安全风险同样存在于司法系统。 该领域正在逐渐兴起,尤其是该业务下的未经授权支付案件突然增多,传统银行卡诈骗案件的处理规则似乎并不完全适用于这种新型未经授权支付纠纷。 因此,如何合法衔接传统银行卡诈骗与新型非授权支付案件的处理规则,如何看待互联网第三方支付业务下各方的责任和义务,是司法领域亟待做出的问题。这场支付革命的面貌。 回复。
一、互联网第三方支付的范围和商业模式
(一)互联网第三方支付范围界定
互联网第三方支付从不同的角度有不同的名称,对其含义的理解也存在一定的差异。 本文从商业模式入手,探讨其含义和范围。 首先,互联网第三方支付是通过网上指令完成的电子支付。 根据中国人民银行2005年10月发布的《电子支付指引(第1号)》,电子支付被定义为“单位或者个人通过电子终端直接发出支付指令或者授权他人发出支付指令的行为”。实现货币支付和资金转移。” 根据这个定义,凡是通过电子指令完成的支付行为都可以纳入电子支付范畴,而互联网第三方支付是指通过在线互联网指令完成的支付行为,隶属于电子支付范畴,但不包括通过电话、销售点终端(POS机)、自动柜员交易终端(ATM机)等线下指令完成的支付。其次,互联网第三方支付是第三方参与的互联网支付。 ——第三方支付机构。 互联网支付是指以计算机、互联网等互联网络为手段,以承载特定信息的电子数据进行资金流程,替代传统支付工具,具有实时支付效力的支付方式。 与一般网上银行支付方式不同,互联网第三方支付不仅以互联网作为支付媒介,而且支付过程由非金融机构第三方支付平台以不同身份参与甚至主导完成。 支付机构扮演的不同角色构成了互联网第三方支付的多种业务模式。 第三,互联网第三方支付是脱离实体载体的第三方支付形式。 互联网第三方支付的交易过程不依赖有形的物理载体。 支付指令的发出和接收是通过信息交互进行和完成的。 因此,传统POS机收单机构以及其他需要借助实体载体完成交易的第三方支付不在此列。 列表。 综上所述,本文所指的互联网第三方支付是指涉及第三方支付机构,依托公共或专用网络,通过电子指令的发出和接收完成资金划转的行为。
(二)互联网第三方支付商业模式
根据第三方支付机构扮演的角色不同,互联网第三方支付主要呈现三种业务模式。 一是网关渠道模型。 第三方支付与各大银行签约,集成统一的银行支付网关,提供统一、便捷的支付接口,买家和卖家可以通过支付网关和网上银行完成网上支付。 在这种模式下,第三方支付机构仅向客户提供银行网关,不参与资金的结算和划转。 客户仅以第三方支付机构为“通道”,进入银行网银支付页面。 二是封闭环境下的支付服务。 提供此类服务的第三方支付机构往往依赖其背后庞大的电商平台。 在这个平台环境中,按照自治规则,完成电子商务所需的支付活动。 该模式下,第三方支付机构通过设立虚拟账户,实现虚拟账户之间的资金转移,实质上承担了特定封闭环境下虚拟资金的结算和清算功能。 三是相关支付服务。 通过将用户的银行卡账户与特定第三方支付机构的虚拟账户进行绑定,通过第三方支付机构渠道进行因素验证,完成支付的结算服务,典型的如快捷支付。 在此模式下,用户无需提前开通网上银行功能。 银行通过双(多)因素验证用户身份,并将账户与合作第三方支付关联,共享相关信息。 验证通过后,用户只需使用第三方支付机构发送的动态密码或第三方支付密码即可直接从关联银行卡转账。
2. 互联网环境下未经授权支付的演变
(一)从复制物理载体到复制电子信息
传统的非授权支付,俗称银行卡诈骗,是通过从银行卡物理载体获取信息,复制信息载体形成“假卡”,同时获取银行卡密码,利用POS机器和 ATM 等物理终端可实现未经授权的支付。 互联网支付的特点是无需借助物理载体即可完成交易过程。 因此,要完成非授权支付,不再需要复制实体载体,而只需获取持卡人的相关支付信息即可。 例如,最初的互联网非授权支付主要发生在网关通道模式。 用户的支付应用程序链接到一个与网上银行支付页面非常相似的钓鱼网站。 用户在钓鱼网站输入的卡号、密码等信息被他人复制,导致未经授权的支付。 支付。
(2)从单通道复制到多链路控制
随着欺诈现象日益严重,银行和第三方支付机构一直致力于通过技术手段提高支付安全,特别是在身份验证过程中,通过密码认证、电子签名认证、生物认证等方法提高交易安全性。 安全。 在安全防护措施不断完善的同时,信息窃取手段也变得复杂化、多样化。 未经授权的互联网支付不再局限于窃取用户的单一密码,而是以多渠道的信息复制和窃取为特征。 未经授权的支付者通过在用户终端设备中直接植入病毒程序或通过非法渠道购买用户信息等方式获取用户所有相关支付信息。 同时,他们利用信息拦截技术屏蔽来自用户终端设备的交易短信,防止用户及时发现。 未经授权的支付行为无法及时采取补救措施。 由此,互联网环境下的未授权支付不再是简单的窃取用户信息,而是对用户进行多环节的支付控制。
(3)从支付交易链接到支付激活链接
快捷支付等新型支付方式的发展,极大提高了交易便利性,但也进一步加剧了支付安全风险。 与其他互联网支付相比,快捷支付不仅在支付过程中不需要任何实体运营商的协助,而且还需要激活服务。 此步骤也可以通过在线申请来完成,无需完全脱离物理载体。 然而,即使是技术相对成熟的网上银行服务,银行通常也会要求用户携带银行卡和身份证件前往银行网点,当面接受银行工作人员的身份验证和审核后才能办理。打开。 相比之下,对于快捷支付等新型支付方式来说,交易和激活环节已经逐渐变得模糊,首次支付的验证和服务激活往往是同时完成的。 因此,对于这种新型支付业务,不存在授权支付的情况,不再局限于交易阶段,甚至构成支付业务开通过程中执行未授权指令的情况。
3. 未经授权的付款纠纷下的合同义务审查
(一)传统银行卡被盗纠纷中担保义务的认定
根据合同法的规定,违约责任的归属原则是严格责任原则。 不考虑违约方的过错,仅需具备一项违约要素即可构成。 在传统的银行卡诈骗案件中,此类纠纷中的违约通常是指银行违反安全义务,导致未经用户授权而实际为他人操作交易。 因此,安全保护义务的认定是该类案件中违约行为是否构成违约以及最终责任分配的关键。 人们普遍认为,银行作为发卡机构,其安全义务源于其向用户提供的服务,包括确保银行卡持卡人资金、卡号、密码等重要个人信息的安全以及能够正确识别身份的能力等。银行卡支付交易。 银行卡和密码。 具体来说,首先,银行卡的技术标准应满足卡内存储的信息不能被他人未经授权复制或读取的标准,这就要求银行及时更新卡的安全性能; 其次,即使他人通过读取卡内信息制作假卡,银行也应通过身份验证正确识别假卡,防止卡内资金被盗。 第三,银行应确保交易环境的安全,即确保银行营业场所及其延伸区域的交易设备和设施的安全,例如对自动柜员交易终端(ATM)进行必要的检查和维护。他们的管辖权,以确保通过该设施进行交易的安全。
(二)互联网环境对传统卡支付模式中安全义务确定的影响
互联网环境下的交易方式与传统卡交易有显着不同。 支付环境与银行卡物理载体分离。 与传统支付方式相比,互联网支付下的安全义务内容需要重新审视和考虑。 首先,传统银行卡诈骗的关键在于银行卡的复制。 虽然原卡和复制卡存储的信息相同,但真伪之间仍然存在物理区别,识别原卡和复制卡仍然存在挑战。 可以遵循证据。 但互联网支付的完成并不依赖于实体载体,非授权支付不再以复制实体载体为前提。 支付过程完全是通过信息交互完成的,信息不存在真实性,即使没有授权支付,银行或第三方支付机构(以下统称“支付服务商”) ")收到的仍然是真实的账号、密码、验证码。 因此,支付服务提供商客观上不具备传统支付环境下的交易识别能力。 由于不具备真实性的物理条件,因此很难对支付服务提供商施加严格的识别所谓“虚假信息”的义务。 其次,就交易环境而言,在传统的卡交易中,由于支付设备的终端由银行等支付机构提供,因此它们对交易环境具有更大的控制力和主导权。 他们可以通过检测、调试、监控、更新等措施确保交易环境的安全。 然而,在互联网环境下,交易指令是由用户终端发起的。 这个终端设备不受支付服务提供商的控制,但它是整个交易环境的重要组成部分。 支付服务提供商无法维护传统的物理终端。 为了保证用户控制的终端的安全,实际上,大部分交易信息的泄露正是因为用户终端被植入了恶意程序。 此时,支付服务提供商需要承担与传统支付方式下相同的责任。 安全和安保义务似乎也不公平。 正是基于互联网支付的这些特点,大多数支付服务提供商在与用户的合同中约定了保密交易条款,即支付服务提供商仅负责验证交易信息是否与用户保留的信息一致。客户。 ,只要密码等交易信息通过验证,就认为该交易是由用户本人授权的。 因此,支付服务提供商不会将未经用户授权而使用正确的用户交易信息完成的交易视为未经授权的支付,这通过合同条款的设置在一定程度上影响了其自身的安全义务。 尽管支付服务商的此类条款涉嫌利用格式条款免除或减少自身义务,但不可否认的是,由于互联网支付的特点,传统银行卡刷卡交易中的安全义务与安全保障很难结合起来。以此为基础的义务。 由此产生的违约判定规则适用于互联网支付环境。
(三)从安全保障义务回归附带义务
原安全保证义务是合同附带义务中保护义务的派生。 由于基于附带义务的安全保障仅限于为订立合同关系的当事人提供保护,其保护对象和损失补偿都比较有限。 此外,安全保障责任与侵权保护生命安全的责任在法律上并无区别。 安全保护义务逐渐成为合同当事人普遍遵守的义务,并最终成为侵权责任制度下的法律义务。 我国《商业银行法》和《消费者权益保护法》均明确规定相关服务提供者负有担保义务。 因此,在传统的银行卡盗窃案件中,无论合同如何,都会引用安全义务来确定责任。 无论从法律角度还是侵权法角度都有详细、充分的法律依据,成为该类案件审判逻辑的主旋律。 但正如前文分析的,在互联网环境下,基于支付形式的变化,这种审判逻辑受到了担保义务文本含义的限制。 单纯依靠保护理论似乎很难明确各方的义务和责任。 实践中,由于用户与银行或第三方支付机构之间存在明确的合同关系,且合同法遵循严格责任原则,大多数未经授权支付案件的原告都会选择以违约为由提起诉讼来主张自己的利益。权利。 因此,原来基于安全义务的审判逻辑在互联网支付环境中遇到了应用瓶颈。
事实上,安全保证义务源于附带义务,但并不全是附带义务。 由于在互联网支付环境中,用户与银行或第三方支付机构之间的合同关系清晰明确,如何划分未经授权的支付责任不仅会考虑服务提供商的安全义务,而且还将考虑各方合同义务的充分履行情况,包括是否履行了各自的附带义务。 关于附带义务,我国合同法第六十条做了笼统规定,即“当事人应当按照约定充分履行通知、协助、保密等义务”。 王泽健先生认为:“从属义务是指在合同发展过程中,为履行支付义务或者保护当事人人身、财产利益而产生的义务。” 施尚宽先生认为:“根据诚实信用原则,债务人应当对合同和法律规定的义务负责。 除内容外,还有附带义务。”韩士元教授将附带义务概括为“当事人在订立合同前的接触、准备或谈判过程中所承担的解释、通知、保密、保护等义务”。 ; 履行支付结果准备过程中的通知、协助、保密等义务; 以及合同签订后的通知、协助、保密等义务,以便在支付结果达成后维持支付结果。 可见,附带义务从根本上源于诚实信用原则,因为无论法律规定或当事人之间的约定多么周全,都无法预见履行过程中可能发生的所有情况。合同。 因此,不可能就各方必须承担的所有义务作出详尽的约定。 然而,法律没有对此作出规定,合同也没有这样做。 根据诚实信用原则,各方仍需遵守约定的义务,于是形成了各种附带义务。 因此,附带义务实际上存在不确定性。 “此类义务不像付款义务那样是自动的。” 它只是一开始就确定的,但随着债权关系的发展,某些情况下需要一方做某事或不做某事,以维护对方的利益。 这种情况可能发生在任何债务关系中,尤其是合同关系中。 “具体在互联网第三方支付环境中,我们认为支付服务提供者和用户应分别承担以下附带义务:
1.支付服务提供商的伴随义务。 首先,在支付激活阶段,支付服务提供商应确保服务的激活是用户意图的真实表达。 具体来说,一是要充分说明具体业务。 在互联网支付环境中,基于不同的交易结构,不同支付方式下支付服务提供商和用户的权利和义务也不同。 因此,支付服务提供商在与用户签订合同之前,必须在特定的业务模式和运营方式上对待用户。 他们有义务解释。 特别是银行和第三方支付机构应向用户解释其在特定业务模式下的角色和责任,以便用户充分了解其使用的服务以及相关服务提供商。 二是如实告知支付风险。 互联网环境下的支付不同于传统的线下支付。 尤其是交易过程中无需依赖物理载体的特性,不仅提高了交易效率,也放大了交易风险。 支付服务提供商在开通服务时应明确披露相关风险。 告知用户。 其次,在支付交易阶段,支付服务提供商应提供必要的安全保护。 该义务是互联网环境下传统卡支付安全保障义务的衍生。 首先是保护互联网环境下交易环境的安全,包括进行必要的系统维护、技术更新、为用户提供相应的安全支付插件、设置安全支付等。 限制、协助用户止付、挂失等。二是及时通知的义务。 支付服务提供商应尽快通知用户实时支付信息,同时对发现的异常用户支付情况(如短时间内多次交易、异常交易IP地址、 MAC地址等)及时告知用户,防止进一步损失。
2、用户的伴随义务。 首先,用户有义务谨慎保存交易信息。 在互联网支付环境中,身份验证仅用于验证支付信息。 因此,用户对交易信息的保管就显得更加重要。 基于诚实信用原则,用户有责任妥善保管。 ,防止信息泄露的义务。 其次,我们有义务及时通知任何差异。 如果用户发现收到的支付信息与实际情况不符,应立即致电支付服务提供商,并及时对相关银行卡采取停止支付、挂失等安全措施,避免造成进一步损失。
(略,全文参见《互联网金融法律评论》实体刊(第九辑,法律出版社)。
购买《互联网金融法评》各系列实体书,请至“当当网”搜索关键词“互联网金融法评”或复制打开“法制出版社官方旗舰店”链接:
点击查看互联网金融法评热点文章: