第三方支付中未授權交易法律問題分析

陳俊銘

一、前言

根據2016 年7 月1 日實施的《非銀行支付機構網絡支付業務管理辦法》（以下簡稱《管理辦法》）第二條的界定，第三方支付業務是指收款方或者付款方通過電子設備向支付機構發起支付指令，由支付機構完成對對應付款方或者收款方的資金轉移服務的業務，收付款方并沒有產生設備交互。從業務類型看，其主要指客戶利用手機以及其他可以支持支付機構支付交易的移動智能終端設備，以自我操作的方式完成對應支付交易。從支付流程來看，用戶通過手機等智能終端設備并以互聯網為傳輸媒介，向第三方支付機構或銀行發送電子交易指令，完成支付機構對應的賬戶安全交易系統的用戶認證后，支付機構的支付終端就依據支付指令完成與交易方的資金轉移服務。因此，支付信息傳遞和用戶身份識別構成了第三方支付流程的核心環節。

第三方支付業務屬于金融科技創新的范疇，也是非金融機構提供的眾多服務當中最為基礎的一種。金融技術的創新為第三方支付服務者帶來了交易便利，在享受著技術紅利的同時，也面臨著與傳統交易大相徑庭的新型交易風險、法律風險以及法律責任歸屬問題，這可進一步歸結于涉及第三方支付安全交易系統下未經授權的交易風險以及損失應當由哪一方承當的問題。該法律問題產生的原因主要有兩個方面：第一，由于第三方支付具有非面對面遠程交易的特點，一旦出現因客戶自己的原因泄露了能夠引發交易的數據信息或該信息因惡意程序、網絡黑客竊取等情形，第三方支付機構無法即時核實交易指令發送者的真實身份；第二，上述交易發生后，網絡交易的復雜性、快捷性往往使得公安機關難以抓獲實際侵權人，甚至面臨著在犯罪嫌疑人歸案后也難以獲得有效賠償的尷尬境地。此時，這一非授權交易損失應當由賬戶所有人還是第三方支付服務提供者承擔，就成為此類案件的核心問題。

從第三方支付中未授權交易法律問題的研究現狀來看，主要有以下觀點：其一，應基于支付服務提供者與用戶之間的平等法律主體地位，以委托關系為基礎法律關系配置權利義務①李建星：《電子支付中的四方關系及其規范架構》，《浙江社會科學》2017 年第11 期。；其二，數字支付工具與傳統支付工具并無實質性區別，應參照適用冒用信用卡等傳統支付工具的規則分配未授權交易風險②錢葉六:《存款占有的歸屬與財產犯罪的界限》，《中國法學》2019 年第2 期。、③馬路瑤：《法教義學視角下利用第三方支付非法取得他人財物行為的定性研究》，《法律適用》2020 年第9 期。、④李莉莎：《第三方電子支付風險的法律分析》，《暨南學報（哲學社會科學版）》2012 年第6 期。；其三，應當借鑒國外立法經驗，以特別法律規范調整支付服務提供者與用戶之間的權利義務關系以及其中未授權交易的責任分配。⑤黎四奇：《二維碼掃碼支付法律問題解構》，《中國法學》2018 年第3 期。、⑥劉穎：《支付命令與安全程序——美國〈統一商法典〉第4A 編的核心概念及對我國電子商務立法的啟示》，《中國法學》2004 年第1 期。、⑦莫萬友：《移動支付的法律問題及其解決辦法》，《蘭州學刊》2017 年第10 期。

雖然在第三方支付的研究中，中國已積累了豐富的前期成果，但是時下的研討仍存在以下缺陷：一是基礎概念問題還未達成共識。概念是認識與把握世界的工具，是研究的起點，然而對于什么是第三方支付語境下的未授權等概念的界定還頗具爭議；二是互聯網與第三方支付研究的相對分離。在技術上，第三方支付依附于互聯網，而互聯網技術對于法律等研究者而言是一個極大的挑戰。然而，現有研究未能充分考慮到第三方支付具有的特殊性而引發的對于傳統授權方式的改變，也未能在明晰支付基礎法律關系的前提下去分配第三方支付機構的未授權責任，更沒能充分考慮用戶的有限理性在面對復雜的金融創新時呈現出的不足；三是現有的研究多注重于未授權交易點對點的風險控制，欠缺整體性。在第三方支付未授權的問題處理上，它不僅是一個未授權損失誰來承擔的簡單問題，而是直接涉及金融正義、金融民主、效益平衡等宏觀風險問題與人文理念。

二、中國第三方支付未授權交易立法的現狀及不足

（一）第三方支付未授權的概念缺位

在審理第三方支付未授權交易糾紛時，個案要件事實符合規范中法律概念的特征是引發特定法律后果的前提。那么，需首先厘清的是第三方支付語境下的未授權的概念及其外延是什么？該問題是否清楚明了對于損失責任的劃分，及第三方支付行業的健康發展是至關重要的。

傳統未授權的概念通常界定為賬戶持有人未能取得賬戶所有人書面同意的條件下發生的交易。具體而言，按照歐盟PSD2 的立場，未授權交易可解釋為未經用戶許可，他人以不當手段通過支付機構的安全認證，向他人發出支付指令，導致用戶賬戶持有資金減少或者授信額度被占用的交易情形。結合民法語境看，用戶以約定方式進行授權本質上是一種具有法律效力的意思表示行為，而該意思表示真實便是授權交易關系得以建立的當然起點。在傳統表示類型劃分方面，其具體包含行為、口頭、書面三種形式。由于書面形式的意思表示相較另外兩種意思表示，具備謹慎、利于舉證等顯著優勢。各國立法基于確保交易資金安全性考慮以及交易自由的現實需要，均決定將書面形式的意思表示作為判斷交易賬戶所有人是否對他人進行授權交易的基礎性表示形式，并對書面形式的內容做出法定強制要求。

然而，大數據在支付結算領域的運用已改變人們慣性認知當中的貨幣，貨幣形態由紙質貨幣逐漸轉化成數字貨幣，宣告了一個數據化時代的來臨。在現實中，第三方支付交易所涉客體、行為及場所僅依靠信息數據交換便可完成，數據交換成為第三方支付中一般的、唯一的表意手段，其所涉交易時的具體意思表示擁有著數據化和無紙化的樣態，支付機構按照用戶通過智能電子設備來進行意思表示的發出與接收。在對第三方支付用戶身份識別的操作中，因用戶首次開通支付業務時需提供的本人真實姓名、身份證號、指紋與面部信息、銀行預留手機號等數據信息，那么，一旦服務提供者對第三方支付賬號持有人提供的能夠引發交易的支付密碼、指紋與面部等數據信息，與首次開通支付時留存數據經過支付機構安全程序核驗后呈現出相同的結果，該交易性質應當認定為授權交易。其原因在于，涉及身份驗證的電子數據信息是發動第三方交易的電子意思表示的載體，該數據信息因具有生物特征，因而具備秘密性、唯一性 (或者專有性) 和確認性特征，僅能由首次開戶時的本人提供，足以確保電子意思表示的真實性。

綜上所述，第三方支付中涉及的電子意思表示不再屬于傳統支付過程中的一般表意行為，其表示載體乃至于最終載體形式已經不再是紙質形式，只是流轉于網絡之間的電子信息數據，無紙化以及電子化的雙重特征已然決定其已經不能被傳統交易模式下的書面形式涵蓋。但是，不論是新型支付模式還是傳統支付模式，意思表示依舊是交易的基礎。當意思表示狀態發生根本性改變時，第三方支付中未授權的概念面臨一個重新界定的問題。

（二）未授權責任分擔體系構造的不合理

對于第三方支付中未授權交易造成的損失應當由誰承擔的問題，中國現行的法律規定已經完成了責任初步導向。《電子商務法》第五十七條規定：“未經授權的支付造成的損失，由電子支付服務提供者承擔；電子支付服務提供者能夠證明未經授權的支付是因用戶的過錯造成的，不承擔責任。”《管理辦法》第十九條規定：“支付機構對不能有效證明因客戶原因導致的資金損失及時先行全額賠付，保護客戶合法權益。”從條文內容上看,上述法律規則具有維護消費者權益的導向思維，即通過未授權損害事實本身推定服務提供者有過錯的方式來保障用戶的利益，解決了未授權交易下的責任體系的構造問題。

然而，上述有關第三方支付中未授權的責任體系構造，未能以明晰支付基礎法律關系為前提，這將在實踐中極大地增加第三方支付機構的訴訟負擔。在現實支付操作中，用戶可通過多種支付流程來完成第三方支付交易。一般來說，最普遍的是通過支付平臺賬戶發起的即時轉賬模式，即收付款雙方依托支付平臺，以雙方所持有的支付賬戶，完成雙方賬戶之間的貨幣金額轉移的交易模式。在上述交易流程中，對于用戶身份識別的驗證以及交易指令的發出均由支付機構獨自完成，銀行與具體交易過程無關。那么，一旦發生未授權交易糾紛時，其所涉法律關系主體僅為用戶與第三方支付機構，對于未授權交易責任分擔也應當落在支付機構與用戶之間。值得注意的是，除上述支付流程以外，還存在著通過銀行賬戶借助第三方支付通道發起的支付模式。①楊利華：《第三方支付行業競爭的反壟斷法規制》，《法商研究》2019 年第6 期。該交易是用戶憑借銀行賬戶發起的交易，由銀行方獨立完成身份識別驗證指令地發出及驗證，通過借助第三方機構提供的支付通道，最終由銀行完成轉賬交易。②張雪楳：《銀行卡網上盜刷的責任認定》，《法律適用》2017 年第18 期。可以肯定的是，在上述交易流程中，第三方支付機構僅負責對于交易指令內容的傳遞。當未授權交易發生時，第三方支付機構除非對交易指令審查存在重大過失，即證明對交易指令的審查符合一般性規定審查即可，未授權交易責任應當在用戶與銀行兩者間進行分配。

遺憾的是，從《電子商務法》第五十七條的“電子支付服務提供者”以及《管理辦法》第十九條“支付機構”的表述看，一方面，對未授權交易的責任分配未能對上述不同的支付流程進行區分，而是采用“一刀切”的分配方式，將未授權的責任全部落在第三方支付機構身上。另一方面，《管理辦法》第十九條“支付機構對不能有效證明因客戶原因導致的資金損失”便意味著，在銀行賬戶借助第三方支付通道發起的支付模式中，即便只負責交易指令傳遞的第三方支付機構，其能夠舉證證明未授權的發生是由銀行未能有效進行身份識別引起的結果，卻依舊需要承擔對用戶進行先行賠付的責任。即使支付機構在先行賠付后可通過另行起訴訟的方式，對存在過錯的銀行進行相應追償。③任超：《網上支付金融消費者權益保護制度的完善》，《法學》2015 年第5 期。然而，上述未授權交易責任的分擔未能區分不同支付流程的安排，極大增加了第三方支付機構的訴訟負擔。

（三）未能區分用戶的一般過失與重大過失

《電子商務法》五十七條規定：“服務提供者若能夠證明未授權交易是由用戶者本人的過錯所導致，未授權交易損失應由用戶本人承擔。從法理上看，“過錯”涵攝的具體行為包含“故意”及“過失”兩種情形，而對“過失”進一步劃分，其本身還蘊含著“一般過失”與“重大過失”兩種內涵。簡言之，服務提供者只要證明用戶對未授權結果的發生存在“故意”“重大過失”或“一般過失”的情形，便可免除自己的責任。”①米健：《意思表示分析》，《法學研究》2004 年第1 期。就現實司法裁判以及商業慣例來看，判定用戶對未授權交易結果存在“故意”“重大過失”及“一般過失”的具體認定標準，分別對應著用戶是否存在“主動”“無意”及“被動”泄露支付賬戶信息與密碼的行為。

由于第三方支付已在生活中廣泛運用，未對用戶過錯進行區分的機制安排對用戶非常不公平。同時，從社會整體看，在第三方支付行業已形成微信、支付寶兩家獨大的壟斷格局下，這一機制安排也不利于支付機構在完善支付系統的安全方面盡職盡責。②唐瓊瓊：《第三方支付中的消費者權益保護問題研究》，《河北法學》2015 年第4 期。原因在于，在現代社會，第三方支付利用生物識別的身份驗證方式，已有別于傳統支付下的單一數字密碼驗證。在安全性方面，生物識別身份驗證相對具備秘密性、唯一性（或者專有性）和確認性特征，其本身幾乎不存在被破譯的可能。基于此，服務提供者依靠其技術及數據信息上的優勢去證明用戶“主動”“無意”及“被動”泄露第三方支付賬戶信息與密碼的行為則相對容易。③孫學致、孫博亞：《反思與創新:電子意思表示的應然法定形式》，《學習與探索》2019 年12 期。

然而，在實踐中，用戶在提高謹慎能力方面存在合理的界限，面對復雜的金融科技創新，不可能無限提高防范第三方支付賬戶信息與密碼泄露的注意水平。例如，用戶在不知悉前提下掃讀了事先被編入惡意指令的二維碼，又或者不法分子利用實時攔截支付雙方信息生成的二維碼，通過修改交易金額、收款對象等信息帶來的未授權交易風險。可以肯定的是，上述行為普遍具備“被動”泄露第三方支付賬戶信息與密碼的特征。而作為一般用戶來講，無論如何也難以預防上述未授權損失的發生。因此，若將服務提供者對用戶“一般過失”的證明涵蓋于“過錯”的內涵當中，則用戶者本人因“一般過失”導致的未授權交易損失都由其自擔賠償責任，實際操作中反而會削減第三方支付機構應當承擔的責任與機構監管審查義務，極易引發支付提供者方的道德風險。

三、第三方支付中未授權交易的完善路徑

（一）對第三方支付中未授權概念的重新界定

從用戶使用第三方支付時所遭遇未授權事件的頻率及審判機關對該事件引發糾紛的裁定判斷，第三方支付語境下的未授權應該是一個已成為具有普遍性共識的概念。在糾紛發生時，什么是第三方支付中未授權交易——這既是用戶維護自己的合法權益，更是審判機關進行法益考量的邏輯起點。在法官禁止拒絕裁判以及嚴禁造法的前提下，當下實體規則缺少第三方支付中何為未授權這一表述，或者說，即便在實務界已達成普遍共識，但仍缺乏明確釋義，則無論監管當局如何強調預防未授權交易的重要性，以及無論學界如何宣揚需重視支付用戶的權益保護，旨在未授權交易糾紛能夠順利解決的目標只能是水月鏡花。

因此，對于未授權交易的損失責任該如何承擔問題的討論，首先應從什么是第三方支付中未授權交易這一常識性概念入手。第三方支付在金融技術化的條件下改變了傳統支付體系，無論是對用戶，還是對服務提供者而言，如果概念的內涵過于寬泛，如把傳統未授權交易的情形都納入第三方語境下未授權交易的范疇，義務的無界將阻礙第三方支付行業的發展；如果過于狹窄，則勢必會侵害第三方支付用戶的合法權益。因此，客觀、求實的折中與平衡是對第三方支付中未授權概念界定的基礎及條件。在這一點上，美國制定的《統一商法典》中的安全程序規則，對何為未授權進行判定的方法可提供借鑒。

《統一商法典》第A4 編規定，安全程序規則指支付服務提供者與用戶事先對身份識別方式進行約定，當電子支付指令信息在傳送及執行時若能通過安全程序的核證，則該指令將被視為支付用戶本人或授權他人發出。安全程序規則作為認證支付授權的重要手段，必須滿足以下四個條件：第一，用戶與服務提供者事先對身份識別方式達成協議；第二，該安全程序必須具備商業上的合理性和技術上的可靠性，“商業上的合理性”指在目前的科學技術下，服務提供者通過對身份識別技術方面進行提升，且提升所需費用尚未明顯增加經營成本，相反因技術提升能夠為企業效益帶來擴張；④周俊文、黨建偉、高明：《第三方支付監管的目標與制度安排——國際比較與政策建議》，《金融監管研究》2019 年第3 期。第三，支付服務提供者能夠確保接收到用戶發出的支付指令，且安全程序能夠對該指令予以核證并執行；第四，當支付用戶拒絕接受支付機構提供的安全程序而自行選擇另一種安全程序時，若支付機構以書面方式表示同意，雙方將一概受到相應的約束。①羅培新、吳韜：《非授權交易中第三方支付機構的法律責任》，《華東政法大學學報》2017 年第3 期。簡單地講，安全程序規則事先對用戶與支付服務提供者在身份識別方式上達成了協議，同時，該服務提供者負有對其提供或接受的安全程序能夠對支付指令起到準確識別的義務。

第三方支付具有非面對面的特點，導致不能繼續站在傳統角度以賬戶持有人未能取得賬戶所有人書面意思表示為判斷條件，對未授權進行嚴格解釋，否則將導致第三方支付機構因過重的法律成本而無法繼續開展該業務。在實踐中，對第三方支付中未授權進行解釋時，應采用寬嚴相濟的原則。在支付機構與用戶達成以某種方式進行身份驗證的書面協議下，只要支付機構對身份識別驗證環節不存在故意及過失，系統接收的交易指令都應默認為是由賬戶當事人發出的。一言以蔽之，第三方支付中的未授權是指服務提供者與用戶事先約定，以用戶名義簽發的支付指令須經雙方事先協議中的安全程序核證，支付機構在接受及執行支付指令過程中，因故意和過失導致未能鑒別出該指令是通過非事先約定識別方式所簽發的，最終導致用戶賬戶內資金減少的交易。②劉丹：《個人信息網絡侵權的認定及其司法救濟》，《學習與實踐》2020 年第1 期。對照中國當下實體規則對第三方支付中未授權概念缺乏有效界定的事實，美國《統一商法典》第A4 編對第三方支付中未授權交易謹慎規范的理念與界定的方式是值得借鑒的。

（二）按照不同支付流程確認未授權交易的責任分配

從支付流程來看，交易指令傳遞和支付身份識別構成了第三方支付整個流程的核心環節，也是區別于傳統面對面支付模式的主要特征。應當以交易指令傳遞和支付身份識別為落腳點，并按照不同支付流程來區分及確定第三方支付機構、銀行與用戶間的未授權交易責任分擔。

一般而言，按照目前第三方支付流程分類來看，大致存在著三種支付類型：第一，若收付款雙方均借助支付平臺所提供的虛擬賬戶進行交易，且所涉交易資金均為支付賬戶內的預付價值余額。支付信息傳遞和支付身份識別均發生在用戶與第三方支付機構之間，未授權交易損失的責任分擔只存在于支付機構與用戶之間，與銀行無關。③楊志瓊：《利用第三方支付非法取財的刑法規制誤區及其匡正》，《政治與法律》2018 年第12 期。

第二，若收付款雙方均借助支付平臺所提供的虛擬賬戶進行交易，但所涉交易資金為虛擬賬戶進行關聯銀行卡中的余額。交易指令的傳遞是由支付機構負責傳達至銀行，再由支付機構或銀行負責對該指令進行身份核驗。在該交易流程中，首先，支付機構應當圍繞交易指令內容是否準確、及時、完整的傳遞進行證明。其次，需進一步確定身份驗證指令的發出者是支付機構還是銀行。若身份驗證指令是由支付機構發出而出現的未授權交易，未授權交易責任應當在用戶與支付機構間進行分配；若身份驗證指令是由銀行發出而出現的未授權交易，支付機構僅需證明其本身對于交易指令內容的傳遞不具備瑕疵即可，未授權交易責任應當在用戶與銀行兩者間進行分配。

第三，交易雙方一方使用交易平臺賬戶，一方使用銀行賬戶。在這一交易情形下，辨別對象不外乎有以下兩種：一是交易指令發出賬戶所屬平臺。交易指令到底是交易平臺賬戶發出，還是銀行賬戶發出，從而辨明對應的法律關系主體；二是驗證交易指令環節。驗證交易指令環節決定了法律關系主體的法律責任承擔程度，對于該環節的辨別同樣至關重要。這一雙層辨明結構契合未授權交易的責任歸屬判斷邏輯，避免采用“一刀切”的責任承擔方式，將未授權的責任全部落在第三方支付機構身上，從而減輕支付機構的負擔以及減少其卷入不必要的涉訴風險之中。

（三）設立用戶在未授權交易中的有限責任制度

相較于傳統POS 刷卡支付，第三方支付機構雖然也對其支付系統設置了密鑰功能，但不同的是，第三方支付涉及的交易智能系統及終端具有一定開放性。一方面，這種開放性是其具備支付高效與便捷的前提，而該特性也存在著系統被木馬病毒感染以及終端被ROOT 的風險，增加了支付信息數據外泄甚至被攔截的可能。因此，若將用戶“被動”泄露第三方支付賬戶信息與密碼等“一般過失”行為歸類于用戶的過錯之中，作為支付機構對未授權交易損失承擔責任的例外，進而要求用戶全額為損失買單，其公正性值得懷疑；另一方面，防范未授權的發生并非是第三方支付機構的“獨舞”，除了其未能確保身份識別技術與科技發展齊平以外，用戶對金融知識的了解和掌握也是防范未授權交易的有效手段。①郭瓊艷：《第三方支付機構非授權支付的責任承擔機制研究》，《金融法苑》2017 年第1 期。在數字化社會，第三方支付用戶應主動憑借自身條件去獲取資金交易安全所需的信息技術知識，對其采取的放任態度也有欠公允。

從第三方支付中未授權交易產生的上述原因看，若要最大限度地消除未授權交易風險，需實現交易各主體間的全體協作。因此，服務提供者若能夠證明未授權交易是由用戶者本人一般過失所導致，支付機構只需對未授權交易損失承擔部分責任。用戶承擔未授權交易損失除包含欺詐、故意以及重大過失三種情形以外，對于其自身的一般過失行為，需對未授權受損承擔有限責任。②彭冰：《銀行卡非授權交易中的損失分擔機制》，《社會科學》2013 年第11 期。例如，用戶對因自己的一般過失而“被動”泄露交易信息或密碼的行為而造成的未授權交易，需對損失承擔5%至15%的比例。

設立用戶有限責任制度的正義性基礎在于，一方面，就支付機構預防未授權能力而言，即便其能夠證明未授權交易損失是因用戶“被動”泄露密碼所致，還需承擔責任的要求將迫使其發揮最大能力，研發出更加可靠的身份識別技術，例如虹膜技術、面部識別以及指紋技術等。③于海防：《論數據電文意思表示形式問題的體系化解決》，《法學》2014 年第11 期。從更廣泛的意義上看，也可對支付機構在推廣無密碼支付等新型結算業務時，起到示范性的警示作用，從而促使其以主動提高支付安全技術等方式對未授權交易進行防控；另一方面，金融知識的普及與提升是控制風險不可或缺的環節，對未授權損失將承擔有限責任的結果，必將迫使用戶主動獲取與交易安全所需的信息技術知識。此外，有限責任的設置也是與國際相接軌的實踐。如歐盟《支付服務指令》規定，無論未授權交易損失金額多少，除了用戶具有欺詐、故意以及重大過失的情形之外，由服務提供者承擔。對于用戶存在一般過失的，原則上最多對總損失金額分擔不超過150 歐元。

四、余言——當下法律需符合金融科技化時代的要求

當今，大數據、區塊鏈、云計算等科技已運用于金融業務當中。從某些方面來講，是以自然科學的進步推動進了整個人文制度的改變。金融法與傳統部門法的不同之處在于，其圍繞的商業邏輯不是“零和博弈”，憑借公平的直觀感受進行的立法卻很容易錯過一個原本可以促成雙贏的恰當激勵。當下金融業更加注重對效率及效益的追求。有了規則后卻有法難依，問題便在于立法預設規則與現實需要間無法形成有效的融通。傳統立法采取自上而下的立法模式，將金融穩定視為唯一或首要的立法任務。同時，金融業的發展也有賴于法律的指引功能。然而，實踐中能夠觀察到的是，當下金融業受現存規則調整時呈現出方枘圓鑿的局面。自上而下的立法模式使立法者忽略了金融科技化對金融業帶來的現實影響及追求目標的轉變。

金融科技化時代背景下，立法應重點關注社會控制和時代發展間的互動關系，緊跟科技時代發展的現實需求制定法律規則。立法進度需要與金融業務模式互相緊密結合，以新型業務模式主導法律規則具體內容的制定。法律必須服從時代進步所提出的正當性要求。形成自下而上的法律規則的預設，構建以重內容而輕形式的立法模式。金融科技化的到來使得當下世界更為復雜，如果把法律僅僅視為是一種永恒不變的工具，那么它就不可能有效地發揮作用。一言以蔽之，當下的法律內容的制定，必須巧妙地將過去與現在勾連起來，同時又不能忽視未來對金融科技化的迫切要求。