論移動支付方式下未授權支付的民事法律責任

張敏

?

論移動支付方式下未授權支付的民事法律責任

張敏

[摘要]作為電子支付重要方式的移動支付在改變了人們生活消費方式的同時，也帶來了不安全的隱患，個人信息丟失、未授權支付的發生不僅損害了消費者的信息安全與資金安全，也極不利于移動支付產業鏈的健康持續發展。文章在分析移動支付過程的基礎上，分析了移動支付方式下各主體間的法律關系，移動支付方式下未授權支付的歸責原則、責任主體及責任方式，以期為支付人的信息安全與資金安全提供法律保障。

[關鍵詞]移動支付；信息安全；歸責原則；責任主體

信息技術的發展不僅僅改變了人們的工作習慣，也改變了人們的生活消費習慣，3G、4G以及智能手機從產生到普及的過程同樣也是移動支付方式從產生到普及的過程。目前手機、PDA（掌上電腦即Personal Digital Assistant）等移動設備支付已成為現金、支票和信用卡三種傳統支付方式之外的最為重要的新興支付方式。移動支付隨時、隨地、方便和快捷的諸多特點正是它正越來越廣泛地應用于人們日常生活中的重要原因。2012年6月21日中國移動與中國銀聯簽署了移動支付業務合作協議，移動支付進入了兩大巨頭聯手推動支付標準的大一統時代[1]。之后，移動支付產業發展強勁，2013年同比增長超過800%，2014年移動支付廠商推廣微信紅包、打車補貼、互聯網理財等移動支付方式，使得移動支付成為大眾更加易于采納、接受并使用的支付方式。同時支付的主體以不限于銀行和支付公司，已經逐漸擴展到電商、手機制造商以及物流公司，移動支付主體的多樣化和支付的普遍性也對移動支付提出了安全要求[2]。

據易觀智庫調查，移動支付的安全隱患包括病毒、木馬、釣魚網站以及手機被盜、賬戶密碼失竊等內部風險，和手機原生系統存在安全漏洞、廠商定制系統更新、維護和升級困難、軟件或網站自身漏洞等外部風險，體現為盜版支付軟件竊取用戶名和密碼、惡意二維碼和釣魚網站資金詐騙、欺詐短信、虛假WIFI網絡、木馬病毒竊取支付短信驗證碼及密碼等風險形式[2]。基于移動支付開放性、包容性和匿名性的特征，支付過程復雜并涉及諸多責任主體，移動支付的安全更加無法保證，移動支付方式下未經授權支付的情況不但時有發生并且愈演愈烈。目前，移動支付作為電子支付的一種重要方式也成為理論界研究的熱點問題，研究重點則集中于電子支付的概念與分類、電子支付使用行為意愿的實證研究、國內外關于電子支付的應用實踐三方面[3]，對未授權支付情況下民事法律責任的歸責原則、責任主體、責任內容等問題卻鮮有研究。民事法律責任的承擔是移動支付過程中的信息安全與付款人的資金安全的保證，也是推動移動支付業務健康持續發展的保證，這一問題的研究對于移動支付的理論研究與實踐應用都有著重要的意義。

一、移動支付方式下的法律關系

（一）相關概念的界定

關于移動支付的界定，目前通行的是中國人民銀行于2005年頒布的《電子支付指引(第一號)》①中國人民銀行于2005年頒布的《電子支付指引(第一號)》指出，移動支付是指單位、個人直接或授權他人通過移動通信終端或設備(如手機、掌上電腦)發出支付指令，實現貨幣支付與資金轉移的行為。的界定和中國銀聯②中國銀聯認為，移動支付是指用戶使用移動手持設備，通過無線網絡(包括移動通信網絡和廣域網)購買實體或者虛擬物品以及各種服務的一種新型支付方式。的界定，這兩種界定明確了移動支付的主要特征：移動支付主體為單位或者個人；移動支付方式是通過移動通信終端或設備發出支付指令實現的；移動支付的目的是購買產品或者服務。據我國學者研究，我國目前主要存在移動運營商模式、銀行模式、第三方支付模式、銀行與運營商合作模式等四種手機支付模式[4]。筆者認為，移動支付有廣義和狹義之分，廣義的移動支付就是通過手機、PDA或筆記本電腦等來做付款的行為，就是以移動裝置作為付款工具；而狹義的移動支付單指使用手機這種移動通信設備付款的行為。本文僅限于狹義的移動支付，即以手機為終端的手機支付。手機支付是以移動通信網絡作為支付的工具和手段，將移動網絡與金融系統相結合而為用戶提供商品交易服務、繳費服務、銀行帳號管理服務等多項金融服務，并通過手機短信通知、互動式語音應答、無線應用協議等形式實現銀行轉賬、繳費和購物，完成商品交易。

對于移動支付中未授權支付，我國與移動支付相關的《電子簽名法》《電子支付指引》和《非金融機構支付服務管理辦法》并未對移動支付中未授權支付做出詳細規定。美國在《電子資金劃撥法》中規定“未授權的電子支付”是指“由消費者以外的未獲發動支付指令實際授權的人所發動的，從該消費者賬戶劃出資金而該消費者并未從該支付中受益的電子支付”。移動支付方式下未經授權支付是指實際支付人在未取得消費者授權的情況下將資金從消費者賬戶轉出，而消費者對此拒絕追認。實踐中則表現為支付工具密碼丟失、被盜、黑客侵入盜用密碼等情形，實際支付人以消費者的名義進行支付。也就是說，未授權支付發生在消費者個人信息泄露、被盜的情況下，按照未授權支付發生的時間，可分為二種情況：一是進入消費程序前，消費者信息泄露或被盜，導致實際支付人以消費者的名義完成消費過程、劃出資金；二是消費者自行進入消費程序，但在消費過程九個步驟中的某個步驟信息泄露或被盜，后續過程由實際支付人操作完成，而消費者本人并不知情。

（二）移動支付過程及相關法律關系

關于移動支付的過程，我國學者均認為需經過以下九個步驟：（1）.消費者向商家發出購買請求；（2）.商家向支付平臺發出收費請求；（3）.支付平臺向第三方信用機構發出認證請求；（4）.第三方信用機構向支付平臺發送認證結果；（5）.支付平臺向消費者發出授權請求；（6）.消費者對支付平臺授權；（7）.支付平臺完成對消費者的收費；（8）.支付平臺向消費者發送支付完成信息；（9）.商家向消費者交付商品[5]。具體過程詳見下圖③移動支付的步驟通常如下：（1）消費者向商家發出購買請求。消費者對擬購買的商品查詢確定后通過移動通信設備將購買請求發送給商家。（2）商家向支付平臺發出收費請求。商家在接收到消費者的購買請求之后，向支付平臺發送收費請求。支付平臺將消費者賬號和本次交易序列號生成一個具有唯一性的序列號。（3）支付平臺向第三方信用機構發出認證請求。支付平臺把消費者和商家的賬號信息發送給第三方信用機構，第三方信用機構對上述賬號信息進行認證。（4）第三方信用機構向支付平臺發送認證結果。第三方信用機構認證后將認證結果發送給支付平臺。（5）支付平臺向消費者發出授權請求。支付平臺在收到第三方信用機構的認證結果后，如賬號通過認證，支付平臺商品或服務的種類、價格等把交易的詳細信息發送給消費者，請求消費者對支付行為授權。如果賬號未能通過認證，支付平臺將認證結果發送給消費者和商家并取消本次交易。（6）消費者對支付平臺授權。消費者核對交易信息無誤之后，經授權信息發送給支付平臺。（7）支付平臺完成對消費者的收費。支付平臺得到了消費者授權支付的信息之后，完成消費者賬戶和商家賬戶之間的轉賬，并將轉賬信息發送給商業機構、通知商家向消費者交付商品。（8）支付平臺向消費者發送支付完成信息。支付平臺將支付完成信息發送給消費者，并以此作為支付憑證。（9）商家向消費者交付商品。商家收到收費成功的信息后，將商品交付給消費者。。

圖1　轉移支付步驟圖

通過上述過程可以看出，參與移動支付的主體包括消費者、商家、移動運營商、認證機構及支付平臺、銀行。支付過程中，消費者和商家作為買賣雙方在整個過程中起著核心和主導作用，移動運營商、銀行、認證機構及支付平臺都是為消費者和商家的買賣行為服務并輔助完成買賣行為的。按照商法理論，消費者和商家的行為是第一種商，移動運營商、銀行、認證機構及支付平臺作為商中間人的行為是第二種商，因而分析移動支付中的法律關系也應從消費者與商家的買賣行為為中心進行考察。移動支付中存在以下二種法律關系：

第一，買賣合同法律關系。移動支付中首先是消費者和商家之間的買賣合同法律關系，這是移動支付的基礎和前提條件，也是移動支付的核心和實現目的，移動支付中所有的其他行為都是圍繞買賣合同展開的，也是以買賣合同的履行作為行為目的。

第二，服務合同法律關系。移動運營商、銀行、認證機構及支付平臺雖然都是為買賣行為服務的，但根據提供服務的對象不同可分為單向服務合同法律關系和雙向服務合同法律關系二類：一是單向服務合同法律關系。移動支付中移動運營商和銀行是單向為消費者提供服務的，他們分別與消費者之間存在服務合同關系，即移動運營商與消費者之間的移動通訊服務合同關系，銀行與消費者之間的金融服務合同關系。二是雙向服務合同法律關系。移動支付中認證機構和支付平臺則是為消費者和商家雙方提供服務的，認證機構是對消費者信息進行認證并為雙方提供認證服務的，因而認證機構與消費者和商家之間分別存在認證服務合同法律關系；支付平臺是運營商為輔助消費者和商家完成移動支付過程而設置的平臺，負責整合移動運營商和銀行等各方資源并協調各方關系，同時傳遞各種授權請求、消費者賬戶信息和交易記錄并負責支付結算。支付平臺與消費者和商家之間分別存在認證服務合同法律關系、支付結算服務合同關系。

二、移動支付方式下未授權支付的歸責原則

未經授權的移動支付情況下資金未經消費者授權而被劃出是明顯的侵犯消費者財產權的行為，實際支付人毫無疑問應承擔侵權責任，情節嚴重的情況下還應承擔刑事責任，但只有少數情況下消費者及時發現并通知商家、支付平臺、第三方信用機構等移動支付參與主體停止消費過程并追回款項，大多數情況是無法查到實際支付人、已劃出的款項也無法追回，在這種情況下要確定消費者的損失究竟由消費者、商家、支付平臺、第三方信用機構哪一個承擔或共同承擔，則應首先確定移動支付方式下未授權支付的歸責原則。

（一）我國法律確定的民事法律責任歸責原則

在民法體系中，違約責任的歸責原則通常包括過錯責任原則和無過錯責任原則，侵權責任的歸責原則還包括推定過錯責任、公平責任原則，但在具體司法實踐中往往存在著歸責原則并用的情況。大陸法系的《法國民法典》第114條與《德國民法典》第275條確立了過錯原則是最主要的民事責任原則。英美法系采取嚴格責任，如美國《合同法重述》第2版第260條（2）項中的規定。在我國，《合同法》確定的歸責原則也是以過錯責任為主、無過錯責任為輔的復合歸責原則[6]。過錯責任原則主要適用于締約過失責任、預期違約責任、合同無效責任中的損害賠償責任、加害給付責任、損害賠償的違約責任，包括實際違約責任中的一般損害賠償和懲罰性賠償責任及之后契約責任。無過錯責任歸責原則僅適用于無效合同責任中的返還財產和適當補償責任，違約責任的繼續履行、采取補救措施以及違約金責任。

（二）移動支付方式下未授權支付的歸責原則

關于移動支付方式下未授權支付的歸責原則，我國合同法并無明確規定，與移動支付相關的《電子簽名法》和《電子支付指引》也未對移動支付中未授權支付等歸責原則做出規定。筆者認為，移動支付方式下未授權支付的情況下應適用“以過錯推定原則為主，無過錯責任原則為輔”的歸責原則。原因如下：

1.移動支付過程中，消費者的個人信息及購買請求在移動運營商、銀行、認證機構及支付平臺之間傳遞以完成移動支付所需的各個步驟，消費者與移動運營商、銀行、認證機構及支付平臺之間也分別存在著合同關系，移動運營商、銀行、認證機構及支付平臺有義務保證消費者的個人信息安全，如果發生消費者信息泄露，則由上述各機構自己承擔舉證責任，證明自己已經履行了保證消費者信息安全的義務，否則應向消費者承擔相應的民事法律責任。另外，對于消費者也應適用推定過錯責任，消費者如不能證明自己已盡了充分的注意義務并采取措施保護自己的個人信息，應自行承擔責任。

2.相對于移動運營商、銀行、認證機構及支付平臺，消費者無論在信息掌握、技術安全、經濟能力，還是在舉證責任的能力上都處于弱勢地位，在移動支付方式下發生未授權支付的情況，消費者要證明是哪一個機構未能履行信息安全義務致使信息泄露，是根本不可能的，推定過錯責任確定了移動運營商、銀行、認證機構及支付平臺的舉證責任，將更有利于保證消費者的資金安全。

3.在消費者與移動運營商、銀行、認證機構及支付平臺均能證明自己無過錯的情況下，則應對移動運營商、銀行、認證機構及支付平臺適用無過錯責任，由各機構共同向消費者承擔責任。從風險防范的能力與信息安全保證的角度來看，各機構具有比消費者絕對強大的預見能力、風險防范能力以及損害補救的能力，對各機構適用無過錯責任，能夠督促各機構積極改進自身的信息安全技術，設備方面配備相應的計算機信息網絡、裝備，人員方面配備相應技術人員和管理人員，同時管理方面健全安全保密管理制度及相應的技術保護措施，這將更加有力于保證消費者信息安全、推動移動支付產業的健康持續發展。

三、移動支付方式下未經授權支付的責任主體

在分析了移動支付中未授權支付的歸責原則后，責任主體問題也浮現出了水面。在移動支付方式下的未授權支付情況，消費者與移動運營商、銀行、認證機構及支付平臺之間都有可能成為責任的承擔主體。

（一）消費者是責任主體

如因消費者自身原因致使其個人信息泄露而導致在移動支付中發生未授權支付的情況消費者應當自己承當責任。在交易之前，消費者與支付平臺，也就是銀行和移動運營商已達成協議，通過安全程序保證以消費者的名義發送給銀行的支付命令的真實性。如果進入消費程序前或消費程序進行中，由于消費者個人原因導致信息泄露或被盜，使得實際支付人能夠順利通過安全程序并劃走消費者的資金，消費者應當對自己個人信息泄露的行為負責并自行承擔相應的損失。

（二）移動運營商、銀行、認證機構、支付平臺中的一個或幾個是責任主體

如果在交易過程中，移動運營商、銀行、認證機構、支付平臺中的一個或幾個沒有使用合理的、必要的、充分的安全技術與程序，或者是已經使用了安全技術與程序，但在交易過程中被破壞了，導致了消費者的信息泄露，產生了未授權支付的情況，按照過錯推定原則，哪一個或哪幾個機構不能夠證明其使用了必要充分的安全技術與程序，而且安全技術與程序沒有被侵害破壞，這個或這幾個機構應對消費者承擔相應的法律責任。

（三）移動運營商、銀行、認證機構、支付平臺共同承擔連帶法律責任

在發生移動支付方式下的未授權支付情況后，如果消費者能夠證明自己無過錯，移動運營商、銀行、認證機構、支付平臺各機構也能證明自己無過錯，那么由誰來對消費者的損失承擔責任呢？這種情況下應適用無過錯責任，由各機構共同對消費者承擔連帶法律責任，消費者可以選擇其中任何一個或幾個機構要求其賠償全部損失。如能夠查到是哪一個或幾個機構導致信息泄露，則由這一個或幾個機構承擔全部責任，如無法查清，各機構之間則應平均分擔責任，已經向消費者承擔責任的機構可以向其他機構追償。

四、移動支付方式下未經授權支付的責任方式

我國民法規定的民事責任方式共有十種，違約責任主要是財產責任，有強制實際履行、支付違約金、賠償損失等等，在移動支付方式下的未授權支付情況下，其責任方式主要是賠償損失。

（一）移動支付方式下未經授權支付的責任方式——賠償損失

根據《合同法》第107條①《合同法》第107條規定，“當事人一方不履行合同義務或者履行合同義務不符合約定的，應當承擔繼續履行、采取補救措施或者賠償損失等違約責任。”的規定，在移動支付方式下未授權支付的情況下，強制實際履行對于消費者已產生的損失而言并無任何益處，對消費者而言，未授權支付造成的是財產損失，以財產責任作為承擔責任的方式應是最有效的責任方式。

支付違約金這一責任形式的前提條件是雙方存在合同關系、一方違約，違約方按照合同的約定向守約方支付違約金。但在移動支付方式下未授權支付的情況下，雖然消費者與移動運營商、銀行、認證機構及支付平臺等主體將都存在著合同法律關系，但可能并無書面的合同，或者有書面的合同但對違約行為和違約金的比例數額等問題并未約定，更可能移動運營商、銀行、認證機構及支付平臺等主體在整個過程中并無違約行為，如以此要求支付違約金確有困難。

在移動支付方式下未授權支付的情況下，對于消費者的損失，采用賠償損失的責任方式則是最為有效并便于實行的責任方式。一方面，消費者的損失是財產損失，以賠償損失的方式是使消費者的財產回復到原來狀態的便捷有效的方式；另一方，消費者的損失是確定的數額，采用賠償損失的責任形式，賠償數額便于準確無誤地計算和確定，避免雙方之間不必要的爭議，使消費者盡快實現損失填補的目的。

（二）移動支付方式下未經授權支付的損失賠償范圍

對于消費者的損失范圍，是僅以從消費者賬戶劃走的資金本金為限，還是包括相應的利息？按照我國合同法第113條①《合同法》第113條規定：“當事人一方不履行合同義務或者履行合同義務不符合約定，給對方造成損失的，損失賠償額應當相當于因違約所造成的損失，包括合同履行后可以獲得的利益，但不得超過違反合同一方訂立合同時預見到或者應當預見到的因違反合同可能造成的損失。”規定，消費者的損失范圍除本金外，還應當包括消費者與各機構確定合同關系時預見到等可得利益，但實際上，消費者通過移動支付的方式是為了購買商品，除此之外并無其他可得利益，因而消費者的損失范圍應以本金為限。

另外，按照我國《合同法》第119條②《合同法》第119條規定：“當事人一方違約后，對方應當采取適當措施防止損失的擴大；沒有采取適當措施致使損失擴大的，不得就擴大的損失要求賠償。當事人因防止損失擴大而支出的合理費用，由違約方承擔。”規定，在移動支付方式下未授權支付的情況下，無論是消費者，還是移動運營商、銀行、認證機構、支付平臺，如發現消費者信息泄露、存在未授權支付等情況下，都應及時通知其他各方并采取補救措施，避免損失的發生、擴大，避免消費者信息繼續泄露。如消費者在發現信息泄露、未授權支付的情況下未能及時采取措施或未能及時通知其他機構，則無權要求就擴大等損失進行賠償。但如消費者采取了相應的措施，則可以要求其他機構承擔合理的費用。

[參考文獻]

[1]中國移動聯姻中國銀聯移動支付標準大一統時代來臨[EB/OL].http://money.163.com/12/0622/08/84JCRKC-800253B0H.html，2015-05-31.

[2]易觀分析：移動支付安全需求增長迅速將成手機安全軟件重點發力方向[EB/OL].http://www.analysys.cn/yjgd/ 4786.shtml，2015-05-31.

[3]王一涵，蘆文娟.國內外電子支付研究述評[J].經營與管理，2014，（11）.

[4]郝慧麗.移動支付的法律風險及其監管對策[J].電子商務，2014，（18）.

[5]王榮慶.淺析移動支付[J].科技論壇，2005，（10）.

[6]房紹坤.違約損害賠償.民商法問題研究與適用[EB/OL]. http://www.lawbook.com.cn/flsz/sz_view.asp?no =1128，2015-05-31.

[責任編輯：劉烜顯]

[基金項目]司法部2015年度國家法治與法學理論研究項目（15SFB5033）；西安市科技局2015年軟科學項目[SF1501-(3)]

[中圖分類號]D923.8

[文獻標識碼]A

[文章編號]1004- 4434(2016)03- 0089 -05

[作者簡介]張敏，西北工業大學人文與經法學院副教授，碩士，陜西西安710072