第五十七条 【未授权支付】
用户应当妥善保管交易密码、电子签名数据等安全工具。用户发现安全工具遗失、被盗用或者未经授权的支付的,应当及时通知电子支付服务提供者。
未经授权的支付造成的损失,由电子支付服务提供者承担;电子支付服务提供者能够证明未经授权的支付是因用户的过错造成的,不承担责任。
电子支付服务提供者发现支付指令未经授权,或者收到用户支付指令未经授权的通知时,应当立即采取措施防止损失扩大。电子支付服务提供者未及时采取措施导致损失扩大的,对损失扩大部分承担责任。
【条文研析】
近年来,随着电子支付的日渐普及,电子支付中未授权支付发生的比重日益增加,用户权益受到损害的情况屡有发生。用户一旦声称发生未授权支付,非银行支付机构与用户、非银行支付机构与银行等之间责任承担不甚明细,极易产生纠纷,可能产生用户权益被侵害而救助无门、小额纠纷极多浪费司法资源、用户恶意欺诈电子支付服务提供者等多种负面情况,这些问题影响了电子支付市场,进而也阻碍了电子商务的健康发展。
同时,因为既有规范性文件多为部门规章,法律适用指引不明确,在司法适用上存在问题。对于银行的未授权交易,2005年以来,《最高人民法院公报》连续公布了几个处理银行卡非授权交易损失分担的案例,确立了以过错责任为基础的损失分担机制。审判实践中存在的问题包括:(1)未能脱离传统线下非授权支付案件的处理思路,即根据有限证据判断交易是否为有权当事人本人所为,若非有权当事人本人所为,再根据有权当事人与支付服务提供者各自的过错分别确定其责任。但一方面,在电子支付中法院判断是否是有权当事人本人所为存在难度,另一方面,基于“谁主张谁举证”的大原则,加重用户举证责任,会导致用户容易承担举证不能的败诉风险;(2)举证责任规则不统一。因之前无专门立法,不同法官在进行举证责任分配时可能有不一致之处;(3)裁判尺度不一致。因为电子支付的部门规章处于较低的法律位阶,对权利义务认定、责任分配等未能给予明确的适用指引,裁判尺度不一致的现象时有发生。
在司法实践中,涉及银行卡的未授权电子支付一般都会将银行列为被告,涉及的非银行支付机构可能作为共同被告,这更加加深了未授权电子支付司法处理的复杂程度。因此有必要对未授权支付加以具体规定。
一、未授权支付界定
未授权支付,也称非授权支付,是指在未经用户以约定的方式授权的情况下,用户以外的他人发出支付指令,导致用户账户资金减少或授信额度被占用的情况。亦可参照欧盟PSD2规定:“仅在付款用户同意执行付款交易时才认为付款交易是经授权的。如果付款用户和支付服务提供者之间达成协议之后,在执行付款交易之前、之后的同意也可以被认为是授权。同意执行支付交易或一系列支付交易应以付款用户和支付服务提供者之间约定的形式给出。也可以通过收款用户或支付启动服务提供者给予同意执行支付交易。在未经同意的情况下,支付交易应被视为未经授权。”总体而言,授权支付的核心是支付指令的发出及其内容需要获得付款用户的符合约定方式的同意,否则视为未经授权的支付。
二、用户妥善保管电子支付安全工具与风险通知义务
本条第一款规定用户有妥善保管电子支付安全工具及遗失及时告知的义务。
电子支付中用户也应当承担相应义务,如妥善保管包括密码、个人信息在内的安全工具,并在安全工具遗失、被盗或者发现未经授权的电子支付时及时通知电子支付服务提供者,诚实善意地使用电子支付服务。如果出现明显因用户原因导致安全工具、授权验证凭证泄露或者用户恶意与他人串通等情况,用户应当承担相应的法律责任。敦促用户妥善保存安全工具,并及时告知风险事件,有利于加强对消费者的教育与保护,减少未授权支付中用户欺诈的道德风险,维护电子支付行业稳定,保障金融安全,促进电子商务健康发展。
电子支付安全工具包括交易密码、电子签名数据等对支付指令的发出起到决定性作用的工具。在电子支付过程中,对用户资金安全的保护,不仅依赖于电子支付服务提供者安全保障义务的履行,还依赖于用户对电子支付安全工具的妥善保管和及时风险通知。可以说,在支付指令发出之后,用户的资金安全主要依赖于支付服务本身的安全性;在支付指令发出之前,要求用户妥善保管电子支付安全工具,是保障用户资金安全的重要措施,用户对于风险事件的及时通知也有利于维护用户资金安全,降低资金风险。
本款规定用户对电子支付安全工具的妥善保管义务,以及发现安全工具遗失、被盗用或出现未授权交易时的及时通知义务,正是为了提醒用户,促使其对自己的资金安全负责,而不仅仅依赖支付服务提供者的保护。一般而言,凭安全工具交易可推定为本人交易,根据电子签名法第二条第一款规定:“本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。”一部分安全工具具有电子签名效力,是电子支付服务提供者识别交易者身份的主要依据,要求电子支付服务提供者在安全工具之外进一步识别交易者身份需要额外的成本。基于公平原则,用户应尽到一定的注意义务和通知义务,这也是对用户权益进行进一步保护的必要前提。
同时,因为用户原因导致安全工具遗失、泄露、盗用、挪用等会造成未授权支付的发生,所以督促用户妥善保管安全工具,及时通知电子支付服务提供者相关风险事件,有利于从源头上减少未授权支付的发生,继而减少因为未授权支付而产生的资金追回成本和纠纷解决成本,节省电子支付服务提供者经营成本和社会公共资源。
三、未授权支付的责任承担与举证责任分配
未经授权发出指令者构成了侵权,应对用户的损失承担赔偿责任。但直接侵权者往往难以寻找,或者找到后因种种原因无法承担责任,此时就存在未授权支付的责任在用户和电子支付服务提供者之间如何分担的问题。
考虑到公平问题与举证难度,本条第二款规定电子支付服务提供者承担严格责任,即未经授权的支付造成的损失,原则上由电子支付服务提供者承担;电子支付服务提供者只有在能够证明未经授权的支付是因用户的过错造成的场合,才不承担责任。需要指出的是,“用户的过错”应当理解为“故意或者重大过失”。在用户与电子支付服务提供者都有过错的情况下,由于电子支付服务提供者处于支付安全的最后一道防线,电子支付服务提供者较之用户处于最佳防控支付风险的位置,因此在用户与电子支付服务提供者均存在过错的场合,未经授权的支付造成的损失由电子支付服务提供者承担。
前述规定考虑到了电子支付服务提供者的举证优势和用户的举证困难。举证责任的分配应当充分考虑证据的远近距离、依照事实性质所决定的举证难易程度、关于事实的存在或不存在的盖然性等。
本条规定主要基于保护用户的立法价值取向,充分考虑未授权支付中过错证明难度和损失承担能力,采取严格责任的归责原则。本条的规定也希望促进支付服务提供者不断创新和采纳最新支付技术及安全技术,完善合规操作和强化风险管理,推动更安全的支付服务发展,切实从源头减少未授权支付的发生,促进电子支付行业整体健康可持续发展。
通常情况下,相较于电子支付服务提供者,用户在数据、法律资源方面处于弱势,因而本法将严格责任的免责事由的举证责任分配给电子支付服务提供者,但并非所有的举证责任都作如此分配。一般而言,侵权责任中“侵权行为存在”也需要被举证。在未授权交易举证责任分配中,原则上未授权交易的存在仍需要用户证明,即用户需要初步证明未授权支付事实的存在。电子支付服务提供者主张争议交易为电子支付服务接受者本人交易或者电子支付服务接受者授权交易的,应承担举证证明责任。即在用户证明未授权支付的事实存在之后,发生未授权交易的证明责任转移到电子支付服务者一方。电子支付服务提供者应提交由其持有的争议交易行为发生时的电子交易记录等证据,无合理理由拒不提供的,应承担举证不能的法律后果。
本条规定不排除电子支付服务提供者提供安全支付服务的一般性义务。电子支付服务提供者应按照本法第五十四条等的相关规定,采取符合国家有关支付安全管理要求的安全保障措施,勤勉防范未授权支付的发生。如有违反,电子支付服务提供者即使能够证明用户疏于保存安全工具的过错是造成未经授权的支付的主要原因,依照前述电子支付服务提供者和用户都有过错时损害分担的规则,电子支付服务提供者仍需赔偿用户的损失并承担其他相应的责任。
四、未授权支付发生后的止损义务
本条第三款明确了电子支付服务提供者发现或被通知支付指令未授权时的止损义务。止损义务即损失发生后,电子支付服务提供者在知道或应当知道该情况后应当积极采取措施防止损失的扩大,未能阻止损失扩大或未能积极作为而放任损失扩大,对损失扩大的部分承担责任。规定电子支付服务提供者的止损义务,是因为电子支付服务提供者最有条件、也最有责任去发现未授权支付行为,电子支付服务提供者在知道或者应当知道发生支付未授权或者存在较高风险时,应当采取包括冻结账户、拒绝交易、追回资金等有效措施阻止损失扩大,否则应当承担损失扩大的责任。
电子支付服务提供者的止损义务与未经授权的支付由谁的过错导致无关,即使用户的过错为未经授权的支付发生的全部或主要原因,电子支付服务提供者仍应善尽止损义务,勤勉防范损失扩大,如果在知道或者应当知道发生支付未授权或者存在较高风险后,未及时采取措施导致损失扩大,应当对损失扩大部分承担责任。
五、民事责任路径的选择
用户在未授权支付发生后,通过司法途径寻求民事救济有两种主要路径,即主张电子支付服务提供者承担侵权责任或者违约责任。
就侵权责任而言,电子支付服务提供者违反了本法及相关法律所规定的资金保障义务,构成不作为侵权的,应当对用户的资金损失承担侵权赔偿责任。在传统实践中,用户选择侵权责任路径进行维权的案例极少,因为用户举证电子支付服务提供者存在过错较为困难,同时,在本法出台前主张侵权的路径中,电子支付服务提供者承担的责任有限。
就违约责任而言,在非银行支付机构提供电子支付服务的场合,一般认为非银行支付机构与用户构成委托合同法律关系。对于非授权交易行为,非银行支付机构作为受用户委托处置用户财产的管理人,应当负有审慎审核支付指令真实性的义务,如非银行支付机构未尽审慎审核义务,没有履行善良管理人职责,理应对用户的财产损失承担责任。在银行机构提供电子支付服务的场合,银行与用户之间依网银协议等形成储蓄存款合同关系。根据合同法第一百二十一条规定,当事人一方因第三人的原因造成违约的,应当向对方承担违约责任;当事人一方和第三人之间的纠纷,依照法律规定或者按照约定解决。银行与非银行支付机构对电子支付服务用户除负有相应合同的主给付义务之外,还涉及保障电子支付服务用户的资金安全、信息保密等附随义务。电子支付服务提供者未尽到对电子支付服务用户的保护义务,在主合同义务之外还违反了合同的附随义务,应承担相应的违约责任。
本法的相关规定解决了用户以侵权纠纷提起诉讼的举证责任问题和电子支付服务提供者承担责任类型问题,在今后用户以侵权纠纷提起诉讼可适用本条规定。用户以合同纠纷提起诉讼的,也可以依据合同法及相关法律规定处理。
电子商务法是国内较早从法律这一层能对于电子支付进行规范的法律,一方面,必然将影响后续的支付领域总体立法,本法合理保护用户权益的立场可以推动整体支付领域消费者保护的总体法治发展;另一方面,电子支付行业可以在本法指引下为消费者提供更好的服务,吸引更多用户,进而推动整体支付行业的发展与企业社会责任感的提高。