广州互联网金融协会

当前位置: 网站首页 > 投资者教育

银行还是客户:非授权第三方支付中责任认定的裁判规则

发布日期:2018年06月06日 17:31:32 访问人数:1235

第三方支付是网上支付的重要方式之一,属于无介质支付,因其快速、便捷、操作简单的特性,成为诸多消费者的首选支付方式。以支付宝为例,一般需要注册第三方支付平台并绑定银行卡才能进行交易。其基本流程如下:第一,持卡人注册第三方支付平台账户;第二,将银行卡与第三方支付平台绑定。在绑定过程中,持卡人须先输入身份信息、银行卡号以及该银行卡在银行预留的手机号,后银行向持卡人在银行的预留手机号发送短信验证码。在持卡人身份信息、银行卡号、手机号码以及短信验证码等相关信息经验证一致后完成绑定,并由持卡人自行设置交易密码;第三,具体交易发生时,持卡人需登陆第三方支付平台账户,凭事先设定的交易密码进行交易。

然而,第三方支付也存在一定的法律风险,尤其以非授权支付为其典型。所谓非授权支付,是指未经客户授权的情况下,他人擅自使用银行卡信息,通过互联网渠道向资金存管机构发出支付指令,经由资金存管机构认证指令后划转资金,从而导致客户账户资金减少或信用透支额度增加的行为。当前,因非授权支付而引发的纠纷不断涌现,但在司法实践中仍然存在诸多法律适用问题。

在此,本文尝试从案例入手,专门探讨在非授权第三方支付中认定银行或客户承担责任的裁判规则。至于在非授权第三方支付中认定第三方支付平台责任的裁判规则,将另文解析。

QQ截图20180606173302.png

一、案例来源

案例一:黄某与建行广州西村支行储蓄存款合同纠纷二审民事裁定书(2016粤01民终11558号)。

案例二:张某与交通银行广州一德支行借记卡纠纷二审民事裁定书(2017粤01民终1498号)。

二、案情简介

(一)案例一

黄某在建行西村支行处开设了帐户并领取了银行卡,卡号为62×××77。2014年12月26日,该银行卡被人通过第三方平台网银在线(北京)消费484元,通过银联在线支付消费4800元;同月30日,该银行卡又被人通过网银在线(北京)消费484元,通过银联在线支付消费1500元。黄某于2014年12月31日向公安机关报案称其款项被盗刷,公安机关予以受理。网银在线(北京)于2014年12月31日及2015年2月16日分别向黄某退回款项484元。通过银联在线支付消费的6300元款项至今未能返还给黄某,故黄某诉至法院。

庭审中,黄某坚称其从未开通过第三方平台网银在线(北京)、银联在线支付服务,亦没有使用过上述第三方平台,也从来没有收到过银行就涉案争议消费发给黄某的短信通知。庭审中,法院要求建行西村支行提供银联在线支付的主体资料以及银联在线支付与黄某、建行西村支行之间的委托支付协议,但建行西村支行没有提供,也没有就此作出说明。

(二)案例二

张某在交通银行一德支行处申领了一张银行储蓄卡(卡号:62×××65),并预留手机号码135×××82。张某上述银行卡账户的交易明细记载,2016年1月3日17时33分,涉案银行卡在交易渠道为个人网银,向账号为62×××72、户名为孙某付款12900元,同时产生手续费12元。2016年1月9日,张某发现卡里的存款减少,向交通银行的客服办理挂失。庭审中,交通银行一德支行提交向张某发送的手机短信记录显示:

1.2016年1月3日10时17分19秒至10时34分06秒交通银行一德支行向张国阁发送了13条内容均为“不要告诉任何人!银行工作人员绝不会向您索要任何密码!您尾号3565的交行卡正在支付宝签约快捷支付,校验码:******”的手机短信;

2.2016年1月3日10时34分44秒发送内容“您尾号*3565的卡于1月3日10:34支付平台网上支付100元,交易后余额为13275.29元”;

3.2016年1月3日13时16分56秒发送内容“您尾号3565的卡于1月3日13:16他行有线销售点终端(POS)本地消费307元,交易后余额为12938.29元”;

4.2016年1月3日17时24分04秒发送内容“不要告诉任何人!银行工作人员绝不会向您索要任何密码!您正在进行重置登录密码操作。交行手机动态密码:****;密码序号:**”;

5.2016年1月3日17时25分38秒发送内容“不要告诉任何人!银行工作人员绝不会向您索要任何密码!您正在进行找回用户名操作,请核实。交行手机动态密码****,密码序号:**”;

6.2016年1月3日17时27分39秒发送内容“不要告诉任何人!银行工作人员绝不会向您索要任何密码!您正在进行网上银行用户身份核实。交行手机动态密码:****;密码序号:**”;

7.2016年1月3日17时31分发送内容“不要告诉任何人!银行工作人员绝不会向您索要任何密码!您正在转账,收款卡号后四位:5672,转账金额:12900元。交行手机动态密码:****;密码序号:**”;

8.2016年1月3日17时33分32秒发送内容“您尾号3565的卡于1月3日17:33个人网银转出12900元,交易后余额为38.29元”。

三、裁判结果及其理由

(一)案例一

法院裁定银行承担全部责任。

法院认为,判断涉案两笔通过第三方支付平台银联在线支付进行的消费是否由黄某或黄某授权的人所实施,需要首先查明黄某有无开通并使用第三方支付平台银联在线支付的网络消费支付服务。这一证明责任应主要由银行承担,即只能由建行西村支行或建行西村支行认为与黄某存在相应的委托支付协议的第三方提供证据予以证明。然而,建行西村支行既没有向法院提供第三方支付平台银联在线支付的主体资料,也没有提供证据证明黄某开通了银联在线支付网络消费支付服务,对此建行西村支行应当承担举证不能的不利后果。故建行西村支行接受银联在线支付的网络消费支付指令从黄某涉案银行卡上对外支付6300元,该支付行为存在过错,造成黄某资金损失6300元,建行西村支行应当承担赔偿责任。

(二)案例二

法院裁定客户承担全部责任。

法院认为,首先,交通银行一德支行提交向张某发送的手机短信记录显示,涉案银行卡进行了支付宝签约快捷支付、重置登录密码、转账交易等的操作,同时交通银行一德支行已完成向张某发送手机短信的提醒,交通银行一德支行完成了举证责任;张某称没有收到交通银行一德支行向其发送的手机短信,但承认曾经删除了部分信息,因此,张某应当承担其手机没有收到交通银行一德支行发送的手机短信的责任(包括申请鉴定证明其删除了部分信息中没有交通银行一德支行发送的涉案手机短信等)。其次,涉案款项是通过网络银行转账交易从张某的银行卡中转出,除了掌握交易密码外,转账交易还需掌握交通银行一德支行向张某发送的手机动态密码。最后,由于交易密码是由客户自己设置,储户对密码有妥善保管和保密的义务。除非有证据证明是由于银行的原因导致密码泄露,否则,密码泄露导致损失的风险应由客户承担。

四、律师解析

(一)认定银行承担责任的裁判规则

银行在支付过程中应尽对客户资金的安全保障义务,如有违反,自应承担相应法律责任。具体的裁判规则如下:

1.需对客户进行身份认证。银行须采取合理的措施验证客户身份,确保交易的发起人是客户本人所为或得到其授权。在第三方支付中,由于第三方支付平台与银行之间是“一次签约、多次支付”的业务合作关系,故当银行与第三方支付平台进行业务合作后,银行卡与第三方支付平台实现了关联,每次支付过程中的验证义务由第三方支付平台完成。然而,银行需与第三方支付平台建立合作关系,且根据《中国银监会中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》(银监发[2014]10号)第三条的规定,首次建立业务关联时,必须通过第三方支付平台和银行的双重身份鉴别,而账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份。一般情况下,第三方支付平台和银行可以通过设置支付验证要素(如支付密码、短信验证码、银行卡信息等)来实现。因此,在案例一中,银行不能举证证明其已得到客户授权,与第三方支付平台已经建立业务合作关系,也无法证明客户的银行卡经授权已与第三方支付平台实现关联,因此,法院判定银行败诉。

2.需对客户实时通知。如果客户开通了手机短信提醒功能,银行应在交易发生后及时通过短信方式向客户提示账户余额变动情况;如果客户没有开通短信提醒功能,当客户账户发生大额、频繁的异常变动时,银行也有义务通知客户。在案例二中,银行履行了对客户资金的安全保障的义务。例如,交通银行个人网银的转账操作需要输入用户的网银用户名、密码、银行交易密码及手机动态验证码等身份验证信息,这些信息均具有高度私密的特点,只有客户方能知晓。同时设置了动态验证码,即只有客户在银行预留的手机号才可能接收到,且必须在收到后短时间内操作方能生效。又如,银行在案涉款项交易过程中已向客户的预留手机号码发送过动态验证码及消费提醒信息。

3.银行的举证责任主要如下:一是资金的流向信息;二是客户开通线上支付功能的证据;三是交易相关操作指令的认证方式以及认证要素;四是相关支付业务的服务协议;五是身份认证和通知、提醒的证据。

(二)认定客户承担责任的裁判规则

客户在交易过程中应尽到保管身份信息、密码信息的义务,如因其保管不善而导致他人使用其身份信息、密码信息,视为客户自己使用行为,所造成的损失由其自行承担。具体的裁判规则如下:

1.“密码交易”视同本人交易的规则。密码包括交易密码、银行卡取现密码、信用卡电话密码、交易账户登录密码、短信验证码等在内的所有具备私密性、唯一性和专有性的信息。而且,在客户开通了网银支付、第三方支付等功能时,依据相应的服务协议,客户也应对U盾、K宝等支付介质以及账户密码、交易密码等密码信息负有妥善保管义务。只要银行正确地执行了密码等电子信息所形成的支付指令,即应认为是按照客户的意思履行给付义务。在案例二中,涉案交易过程中银行已通过短信验证码等信息验证操作者身份,在交易发生后亦向客户发出余额变动提醒短信,法院认为银行在涉案交易中并无过错。

2.客户自身过错导致资金损失。例如,客户泄密行为是造成错误给付的原因。又如,网银交易所需密码信息和支付介质由客户保管,客户无法举证证明银行存在过错,应自行承担相应损失。

3.客户的举证责任。客户作为权利主张方,需要举证证明如下事实:一是证明其损失情况;二是证明其对交易工具尽到基本的保管义务;三是证明其手机正常使用以及相关短信接收情况。在案例二中,客户虽否认收到银行通知短信,但却未能提供相应的证据予以反驳。客户手机中保存了工商银行发送的短信,却未保存交通银行发送的短信(包括案涉交易当天其承认收到过的其他交易动态验证码、消费提醒短信)。对此,客户声称因手机内存少,故对手机内时间较远的短信进行了删除,然而从其手机中保存的工商银行短信来看,其中既有案涉款项交易之前发送的短信,亦有案涉款项交易之后发送的短信,可见其说法并不成立,客户存在选择性删除短信的行为。因此,客户承担败诉的后果。

(三)认定银行与客户共同承担责任的裁判规则

认定银行与客户共同承担责任主要基于双方共同存在过错。

1.客户虽然有泄露密码信息的行为,但银行的支付系统也存在较大的安全隐患。如涉案交易额超过该种支付方式所允许的限额、在无介质的情况下发生网银转账等。

2.虽然推定客户泄露了交易相关信息,但银行也不能提供证据证明其在涉案交易过程中尽到了身份验证义务和通知提醒义务。

3.客户对身份信息、密码信息保管不善承担主要责任,而银行采取的认证要素相对简单,不足以充分保护客户的资金安全,双方皆应承担相应的责任。例如,有证据表明客户行为导致密码信息泄露,客户应承担更多责任。又如,无证据表明客户存在密码信息泄露行为,客户应承担较少责任。再如,客户的预留手机号被他人更改,如果银行对此存在过错,则银行应负全责;如果客户对此存在过错,则银行可以减免责任。

4.客户手机在被病毒感染情况下无法接收信息,银行与客户应共同担责。有人认为,只要银行已举证证明其系统向客户发出了短信验证码,应认为其已就身份验证义务承担了基本的举证责任,因客户手机的原因导致其未能正常接收相关交易短信的,不能归责于银行。然而,广州市中级人民法院在[2015]穗中法金民终字第1066号民事判决书中认为,因为银行作为以营利为目的的商事主体,在向客户提供服务的过程中,更有能力预防和避免不法分子通过科技手段来侵害金融服务系统,以保障客户的资金安全。客户的个人私密信息、银行卡密码因本人不够谨慎发生泄露,自有不当之处。但如果银行的验证码能够正常发送至客户的手机上而不被病毒软件拦截,客户的款项便不会发生损失,因而银行在履行合同过程中未正确尽到通知义务,亦有不当之处。

 

来源:广州互联网金融协会法律服务中心 奚桢、谭洁(原创)