大額電子支付系統中欺詐損失之分擔——美國《統一商法典》第4A編的相關規則及啟示

胡 超

（復旦大學 法學院，上海 200438）

電子支付系統根據支付金額的大小分為小額電子支付系統和大額電子支付系統[1]。我國大額支付系統（High Value Payment System，HVPS）于 2005年6月24日完成全國推廣。該系統的主體是電子支付系統，主要處理同城和異地的大額貸記支付業務和緊急的小額貸記支付業務[2]。根據中國人民銀行支付結算司發布的報告，大額實時支付系統業務量繼續保持快速增長。2013年，大額實時支付系統處理業務5.95億筆，金額2060.76萬億元，分別較上年增長26.33%和16.30%；日均處理業務236.30萬筆，金額81776.26億元[3]。因此，大額電子支付系統在我國的支付系統中發揮著重要的作用。

1 大額電子支付系統中的欺詐

在大額電子支付中，欺詐主要表現為欺詐人以客戶的名義，使用該客戶的賬戶，向銀行簽發一項未經客戶授權的電子支付命令，支付命令的受益人可能是欺詐人的同伙或欺詐人本人。銀行未發現欺詐，并通過向受益人銀行簽發一項支付命令接受欺詐人的未經授權支付命令。客戶的銀行借記客戶的賬戶并向客戶發出借記通知。受益人銀行也未發現欺詐，接受了支付命令并向受益人支付，于是欺詐人得到了欺詐的款項[4]187-188。大額電子支付系統相對傳統的匯票、本票等支付工具，由于其具有高速性甚至實時性，因而欺詐很容易得逞。當銀行客戶從銀行得到借記通知后，指出其并未簽發支付命令，如果能夠找到欺詐人本人，客戶可以要求欺詐人承擔責任。鑒于電子支付的網絡虛擬性，找到欺詐人本身很難，那么對客戶損失就必須在金融機構和客戶之間進行制度上的合理分配和設計。

為了防止欺詐，就需要對客戶向銀行簽發的指令進行認證。在電子支付中，無法使用核對簽字或圖章的方法進行認證。

目前，大額電子支付規則在世界上有影響力的主要有三部——美國《統一商法典》第4A編、《國際貸記劃撥示范法》與《跨國貸記劃撥指令》。有關欺詐損失分擔規則，歐盟《跨國貸記劃撥指令》完全沒有涉及，《國際貸記劃撥示范法》與《統一商法典》第4A編的規定大致相同，但美國《統一商法典》第4A編的規定更為詳盡。

2 美國《統一商法典》第4 A編的欺詐損失分擔規則

2.1 美國《統一商法典》第4A編有關欺詐損失分擔的立法

美國 《統一商法典》第4A編適用于 “資金劃撥”，即通過銀行系統進行的、指示無條件支付固定的或可確定的貨幣金融的、其指令由發送人直接傳遞給接收銀行的貸記劃撥[4]151。因為小額電子資金劃撥已由美國聯邦法《電子資金劃撥法》調整①，因而美國《統一商法典》第4A編實質上主要調整的是大額電子資金劃撥系統(wholesale wire transfer)②。美國《統一商法典》第4A編規定了欺詐損失應如何分擔的一般規則及該規則的重要例外。

2.1.1 欺詐損失分擔的一般規則 美國 《統一商法典》第4A編4A-202(a)規定：“接收銀行接收的支付命令是確認為發送人的人的授權命令，如果該人已經授權該命令或者根據代理法以其他方式受該命令約束。”該條款表明只有在客戶對簽發支付命令進行授權時，客戶才受不是本人簽發的支付命令約束，此時，銀行接收的支付命令稱為授權的支付命令。因此，銀行所承擔的一般是未經授權的支付命令所造成的損失，此為美國《統一商法典》第4A編規定的欺詐分擔的一般規則[5]。

2.1.2 一般規則的例外 如果銀行與客戶達成協議，以客戶名義簽發給銀行的支付命令通過安全程序進行認證且銀行遵循了安全程序，無論支付命令是否得到客戶授權，銀行接收的支付命令均視為客戶簽發的支付命令，這就是一般規則的例外。此時，銀行接收的支付命令稱為證實的支付命令。即使支付命令事實上未經客戶授權，此欺詐造成的損失仍由客戶承擔。美國《統一商法典》第4A編第202(b)條規定的未經客戶授權支付命令的損失由客戶承擔的條件為：(1)銀行與客戶達成協議，同意以客戶名義簽發給銀行的支付命令的真實性由安全程序來證實；(2)使用的安全程序必須是防止未經授權支付命令的商業上合理方法；(3)銀行證明其已遵守安全程序；(4)銀行證明其已遵守限制接受以客戶名義簽發的支付命令的書面協議或客戶指令；(5)銀行證明其善意接受支付命令。

2.1.3 例外的例外 此外，美國《統一商法典》第4A編還規定了客戶不承擔損失的兩種例外。第一種例外情況是，如果客戶能證明以下人員不是該支付命令直接或間接的簽發人：(1)在關于支付命令或者安全程序方面，客戶在任何時候委托代表客戶采取行動的義務人，或者(2)未經接收銀行的授權，能從客戶控制的來源得到有助于違反安全程序的信息的人，或者能接近客戶的傳送設施的人。第二種例外是，通過書面協議，銀行與客戶明示約定限制其有權強制執行支付命令或保留就支付命令的付款的范圍③。

2.2 重要概念的明確

2.2.1 協議所建立的證實程序——“安全程序”對于大額電子交付，美國《統一商法典》第4A編提供了一種并非是核對簽字的認證方法。

“安全程序”不包括接收銀行在處理支付命令時所單方遵循的程序④。近年來，美國法院對這一點進行了進一步的明確。在Skyline International Development v.Citibank,F.S.B.一案中，接收銀行承認沒有遵循電子支付指令的內部認證程序，但是它辯稱這種違反并非違反了“安全程序”，因為客戶與銀行并沒有達成規定電子支付指令應通過銀行的內部程序進行證實的協議。法院贊同這一觀點⑤。因此，銀行與客戶的協議中未包含的與電子支付有關的內部程序并非美國《統一商法典》第4A編中規定的“安全程序”。

2.2.2 “商業上合理的”（commercially reasonable）安全程序 如果客戶與銀行協議設立的安全程序不具有商業上的合理性，美國《統一商法典》第4A編4A-202(b)就不能適用，這樣在出現欺詐的情況下就會導致4A-202(a)的適用，由銀行承擔欺詐所造成的損失。

《統一商法典》第4A編4A-202(c)規定安全程序在商業上的合理性的判斷有2個標準，只要符合任意一個標準即可。

第一，一項安全程序如果滿足這些條件，則被視為具有商業上的合理性：(1)銀行提供另一項對客戶來說具有商業上的合理性的安全程序而該客戶拒絕了此程序，此后，該客戶選擇了該程序，并且(2)該客戶以書面明示同意受以其名義簽發的、無論是否經其授權的任何支付命令的約束，只要該銀行遵循客戶選擇的安全程序已接受該支付命令⑥。

這個標準關注客戶協議的內容。由于不方便或者成本效益分析的結果差等原因，很多客戶拒絕了銀行提供的安全程序而選擇另一項安全程序[6]。如果客戶拒絕了一個具有商業上的合理性并適合該客戶的安全程序，卻堅持使用一個更便宜或更方便的高風險的程序，那么，該客戶自愿承擔該程序失敗的風險，不能將損失再轉移給銀行。但是只有在該客戶以書面形式明確同意承擔該風險的情況下會產生這種結果[7]。

第二，決定一項安全程序是否具有商業上的合理性需要考慮這4個條件：

（1）客戶向銀行所表達的愿望。

（2）銀行知道的客戶情況，包括客戶一般向銀行簽發的支付命令的規模、類型以及頻率。

（3）向客戶提供的另一種安全程序。

（4）類似情況下的客戶與接收銀行一般使用的安全程序⑥。

近年來，美國法院在幾個大額電子支付欺詐案件的處理中涉及到安全程序的商業上的合理性問題，但是幾乎從未適用過第二個標準。在Transamerica Logistic,Inc.v.JPMorgan Chase Bank,N.A.一案中，法院發現客戶協議中有一個條款規定“客戶承認并且同意協議中所記述的安全程序具有商業上的合理性”，并且在案件審理過程中客戶沒有提出“相反的證據或理由”，從而認定接收銀行所提供的安全程序在商業上是合理的⑧。

在Experi-Metal,Inc.v.Comerica Bank一案中，客戶與接收銀行的協議中所建立的安全程序要求客戶輸入用戶名、四位數的個人識別碼以及安全令牌上六位數的密碼 （每60秒變化一次的隨機產生的數字）。客戶收到一封網絡釣魚電子郵件，指示客戶登錄以更新數字證書。客戶點擊了郵件中的鏈接，隨后轉到一個偽裝成銀行合法網站的釣魚網站。在該網站上客戶輸入了個人識別碼和安全令牌上的密碼，隨后受到釣魚攻擊。犯罪人立刻使用該客戶的秘密信息連接到銀行，發出了93個劃撥到世界各地多個賬戶的電子支付指令，劃撥資金總額高達190萬美元⑨。在該案中銀行主張其曾向客戶提供了一項附加的安全程序，即電子支付指令需要指定的2個人批準，但是客戶拒絕了此程序。但法院認為是否“需要額外用戶的批準只是一項‘安全程序’內的選擇。本案中的‘安全程序’就是安全令牌技術”⑨。因此，法院認為銀行沒有提供另一項具有商業上合理性的安全程序。雖然客戶提供了專家證詞，認為安全令牌技術不具有商業上的合理性，但法院仍然根據客戶協議認定接收銀行所采用的安全程序具有商業上的合理性⑨。

雖然Transamerica案中的客戶沒有提出反對的理由，但是法院以客戶協議中客戶同意安全程序具有商業上的合理性作為裁決理由，是對美國《統一商法典》第4A編4A-202(c)所規定的法院責任的放棄。如前所述，如果認為一個安全程序符合商業上合理性判斷的第一個標準，那么必須同時滿足2個條件⑥。然而，在這兩個案件中，第一個條件都沒有得到滿足，法院僅僅根據客戶協議判定安全程序具有商業上的合理性，顯然是錯誤的。因此，在類似案件中，法院應適用第二個標準去判斷安全程序是否具有商業上的合理性，而非僅僅依賴客戶協議。

2.2.3 銀行必須證明其“善意”行事 未經客戶授權的支付命令的損失由客戶承擔的第5個條件要求銀行證明其善意接受支付命令。美國《統一商法典》第4A編將“善意”定義為“事實上的誠實并且遵守公平交易的合理的商業標準”（honesty in fact and the observance of reasonable commercial standards of fair dealing）⑩。該定義包括主觀要件“事實上的誠實”和客觀要件“遵守公平交易的合理的商業標準”。雖然“公平交易”是個有寬泛意義的術語，因此必須在每個案件中分別對待，但是該定義關注銀行行為的公平性，而非行事時的注意義務。“事實上的誠實”由主觀標準去判斷，法院必須考察與交易有關的事實。“遵守公平交易的合理的商業標準”由客觀標準去判斷，即根據普遍的商業標準去判斷銀行行為的公平性。

緬因州高等法院在Maine Family Federal Credit Union v.Sun Life Assur.Co.of Canada一案中提出了判斷客觀要件是否滿足的方法，并且聯邦第三巡回法院在2009年In re Jersey Tractor Trailer Training Inc.一案中也同樣適用了此方法，即：首先，判斷希望得到公平交易的結果所應采用的合理的商業標準是什么；其次，判斷銀行的行為是否與該交易的商業標準一致。

在前述的Experi-Metal,Inc.案中，客戶主張銀行沒有善意行事。雙方當事人對于銀行滿足主觀要件即“事實上的誠實”沒有爭議，爭議點在于銀行是否“遵守公平交易的合理的商業標準”。法院在此案中也使用了上述方法判斷客觀要件是否滿足。客戶Experi-Metal,Inc.遞交了專家證詞，主張銀行在處理欺詐的電子支付指令時沒有達到商業標準。專家指出商業標準要求銀行安裝監視系統以檢測欺詐活動。但是專家沒有足夠證據證明這個標準是希望得到公平交易結果所采用的合理的標準，因為其沒能證明在案件發生之日有多少與Comerica銀行規模相當的銀行安裝了此欺詐監視系統。

但是這些證據的缺少并不能表明銀行已經“善意”行事，因為《統一商法典》規定證明銀行“善意”行事的舉證責任由銀行自己承擔。根據上述方法，法院認為在此案中銀行應提供證據使法院確定銀行在應對諸如本案的釣魚事件時公平交易的合理的商業標準是什么以及銀行的行為是否符合該標準。最終，由于銀行無法提供以上證據，法院判決銀行沒有“善意”行事，因而應承擔欺詐損失⑨。

2.3 對美國大額電子支付欺詐損失分擔規則的評析

美國《統一商法典》第4A編有關欺詐損失分配的相關規則，既沒有一概要求銀行承擔欺詐損失，也沒有一概要求客戶承擔欺詐損失，而是根據不同的情形要求銀行或客戶承擔責任。

有學者認為美國《統一商法典》第4A編關于欺詐損失應如何分擔的規定過多地考慮了銀行的利益，而忽視了銀行客戶的利益，顯失公平[4]196。但也有學者認為這些欺詐損失分擔規則是合理的[7]。筆者贊同第二種觀點，理由如下：

首先，如果法律將欺詐損失的分擔更多地歸屬接收銀行，銀行就會根據這些可能承受的損失估算服務成本，從而收取相應的費用，即風險成本最終由客戶自己承擔。而且，銀行的風險越大，其向客戶收取的服務費就越高，會導致整個大額電子支付價格提高，進而迫使部分客戶放棄選擇大額電子支付，因為低成本性原本是大額電子支付相對于傳統支付方式的優勢所在[8]。

其次，法律還允許有能力的客戶通過協議限制銀行有權強制執行支付命令或保留就支付命令的付款的范圍③。在特定的協議中，銀行可能與客戶約定當無法找到欺詐人時，愿意與客戶共同分擔未授權支付命令造成的損失。雖然，銀行在一般情況下不會與客戶約定這樣的條款，但不排除銀行為了某些重要客戶或其他情況簽訂類似協議的可能性。

3 關于我國大額電子支付欺詐損失分擔的立法現狀及建議

3.1 大額電子支付欺詐損失分擔規則的立法必要性

盡管大額電子支付具有高速性和低成本性，但大額電子支付同樣也使欺詐人可以更快更方便地獲得更高金額的不法利益[9]。正是由于大額電子支付的高速性甚至是實時性，在發現欺詐后撤銷電子支付指令幾乎是不可能的。相對于傳統的紙面支付方式而言，欺詐的潛在風險也就更高；欺詐一旦發生，損失也就更多。因此，欺詐造成的損失該如何分擔，是大額電子支付的參與者最為關心的幾個問題之一，也是他們對法律的最迫切需求之處。有了法律關于欺詐損失應如何分擔的規定，在一定程度上創設了大額電子支付的穩定法律環境，使大額電子支付的參與者能夠正確預見自己行為的法律后果，從而規范安全程序和自己的行為，使大額電子支付服務的提供者科學地估算服務成本，進而收取合理的服務費，這些確定性在大額電子支付中十分重要。從而促使參與支付的經濟實體更多地選擇大額電子支付這種支付方式。

3.2 我國大額電子支付欺詐損失分擔的立法現狀及評析

中國人民銀行在2002年頒布的 《大額支付系統業務處理辦法》（試行）、《大額支付業務處理手續》（試行）以及2009年頒布的《中國現代化支付系統運行管理辦法》（試行）等系統規則只針對HVPS的業務處理過程和系統運行進行了一定規范，對于大額電子支付中出現欺詐所導致的損失分擔并無規定。

我國目前僅有《電子支付指引（第一號）》（以下簡稱《指引》）涉及大額電子支付中發生欺詐后損失承擔的規定。《指引》第45條規定：“非資金所有人盜取他人存取工具發出電子支付指令，并且其身份認證和交易授權通過發起行的安全程序的，發起行應積極配合客戶查找原因，盡量減少客戶損失。”這條規定表明我國已要求接收銀行建立必要的安全程序對電子支付命令的來源進行認證，但這條規定存在諸多問題：

（1）沒有明確此安全程序是銀行單方面遵循的內部安全程序還是銀行與客戶協議設立的安全程序。如果此安全程序是銀行與客戶協議設立的安全程序，那么應對該安全程序是否具有商業上的合理性、銀行是否善意行事、欺詐人與客戶是否有某種關聯等不同情形進行區別對待，而非一概規定由客戶承擔損失。如果此安全程序是銀行單方面遵循的內部安全程序，那么客戶并不受該安全程序的約束，應僅對其授權的支付命令承擔責任，對于未授權的支付命令（即欺詐情形下的支付命令）不承擔責任，應由銀行承擔欺詐造成的損失，而非僅僅配合調查。

（2）手段僅限于“盜取他人存取工具”。隨著技術的不斷發展，發出電子支付指令的工具已不僅僅限于存取工具，還有可能是計算機軟件或其他類似的事物。將手段限制于“盜取他人存取工具”將會導致利用其他手段發出未授權電子支付命令的欺詐行為無法得到法律的規制。

（3）欺詐損失分配設計不合理。《指引》第45條規定只要通過發起行的安全程序的電子支付命令，客戶都要受該支付指令的約束，承擔欺詐所導致的損失。銀行的義務僅限于“建立必要的安全程序”以防止欺詐，而在欺詐發生后并不分擔損失。這樣的欺詐損失分配設計顯然不合理，一方面會導致銀行怠于提供含有先進技術的安全程序，另一方面也會影響客戶使用大額電子支付這種支付手段的積極性，并可能進一步影響交易的進行。

3.3 對我國大額電子支付欺詐損失分擔的立法建議

3.3.1 立法層級 《指引》是中國人民銀行以規范性文件的形式頒布的，屬于部門規章，行政色彩濃厚，缺乏靈活性和整體視角，法律層級較低。《最高人民法院關于裁判文書引用法律、法規等規范性法律文件的規定》第四條規定：“民事裁判文書應當引用法律、法律解釋或者司法解釋。對于應當適用的行政法規、地方性法規或者自治條例和單行條例，可以直接引用。”由此可見，在無法找到欺詐人而處理大額電子支付欺詐損失分擔的案件中，法院并不能將《指引》作為其裁判的依據。因此，建議以法律法規的形式規定大額電子支付欺詐損失分擔規則。

3.3.2 立法規定 大額電子支付是信息技術應用于支付結算領域的新成果，大額電子支付中的欺詐所導致的損失在當事人之間如何配置，難以在傳統法律中找到答案。我國相關法律應借鑒美國《統一商法典》第4A編有關欺詐風險分配的相關規則，“使用準確和詳細的規定來分配責任、界定行為標準、分配風險和建立責任限制，而不是使用寬泛的規定、靈活的原則”[9]。由于我國大額電子支付欺詐損失分擔規則同樣規定了“安全程序”，但規定得過于簡單。因此，借鑒美國《統一商法典》第4A編的規定對于我國現有法律幾乎沒有沖擊。

我國相關法律應區分大額和小額電子支付欺詐損失分擔規則，大額電子支付欺詐損失規則應規定：大額電子支付的客戶和接收銀行應設立安全程序以識別支付命令的真偽。安全程序由客戶和接收銀行協議設立，應具有商業上的合理性。接收銀行證明其接受支付命令是按善意行事且符合安全程序和限制接受以客戶名義簽發的支付命令的任何書面協議或客戶的指令，支付命令視為由客戶簽發。同時，借鑒美國《統一商法典》第4A編規定客戶不承擔損失的兩種例外情形。此外，借鑒美國《統一商法典》第4A編的正式評述和美國司法實踐中的經驗，對“安全程序”、“商業上的合理性”和“善意”進行進一步明確，以指導法官在司法實踐中正確適用欺詐風險分配規則。

注釋：

①美國《統一商法典》第4A編4A-108。本文美國《統一商法典》第4A編條文的翻譯均來自劉穎著：《電子資金劃撥法律問題研究》，法律出版社2001年版，第510-536頁。

②See U.C.C.art.4A Prefatory Note--Why Is Article 4A Needed.

③美國《統一商法典》第4A編4A-203(a)。

④UCC§4A-201 cmt.

⑤Skyline International Development v.Citibank,F.S.B.,706 N.E.2d 942,945(Ill.App.1998).

⑥美國《統一商法典》第4A編4A-202(c)。

⑦UCC§4A-203 cmt.4.

⑧Transamerica Logistic,Inc.v.JPMorgan Chase Bank,N.A.,2008 WL 8053509,1(S.D.Tex.July 21,2008).

⑨Experi-Metal,Inc.v.Comerica Bank,2010 WL 2720914(E.D.Mich.July 8,2010).

⑩美國《統一商法典》第4A編4A-105(d)：“第1編中的一般定義和解釋原則適用于本編通編”；美國《統一商法典》第1編1-201(20)。

[1]劉穎.大額電子支付的法律基礎[M].北京:北京郵電大學出版社,2001.

[2]中國人民銀行清算總中心網頁 [EB/OL].(2012-11-05).[2014-05-28].http://www.cncc.cn/zfqsxt/200812/t20081218_719.html.

[3]中國人民銀行支付結算司.2013年支付體系運行總體情況[EB/OL].(2014-02-17)[2014-05-28].http://www.pbc.gov.cn/image_public/UserFiles/goutongjiaoliu/upload/File/2013%E5%B9%B4%E6%94%AF%E4%BB%98%E4%BD%93%E7%B3%BB%E8%BF%90%E8%A1%8C%E6%80%BB%E4%BD%93%E6%83%85%E5%86%B5.pdf.

[4]劉穎.電子資金劃撥法律問題研究[M].北京:法律出版社,2001.

[5]劉穎.支付命令與安全程序——美國﹤統一商法典﹥第4A編的核心概念及對我國電子商務立法的啟示[J].中國法學,2004(1):164-167.

[6]ROB`GARVER.The Cost of Inaction[J/OL].(2010-07-01).[2014-05-30].http://www.americanbanker.com/magazine/120_7/thecost-of-inaction-1021271-1.html.

[7]PAUL S.TURNER.TheUCC DraftingProcessandSix Questions about Article 4A:Is There a Need for Revisions to the Uniform Funds Transfers Law?[J].LYLALR,1994,28:351.

[8]劉穎,李莉莎.利益視角下的大額電子資金劃撥法[J].河北法學,2008(6):53-55.

[9]SALVATORE SCANIO&ROBERT W.LUDWIG.Surging,Swift and Liable Cybercrime and Electronic Payments Fraud involving Commercial Bank Accounts:Who Bears the Loss[J].JINTLAW,2013,16（10）:3-6.