胡 超

（复旦大学 法学院，上海 200438）

电子支付系统根据支付金额的大小分为小额电子支付系统和大额电子支付系统[1]。我国大额支付系统（High Value Payment System，HVPS）于 2005年6月24日完成全国推广。该系统的主体是电子支付系统，主要处理同城和异地的大额贷记支付业务和紧急的小额贷记支付业务[2]。根据中国人民银行支付结算司发布的报告，大额实时支付系统业务量继续保持快速增长。2013年，大额实时支付系统处理业务5.95亿笔，金额2060.76万亿元，分别较上年增长26.33%和16.30%；日均处理业务236.30万笔，金额81776.26亿元[3]。因此，大额电子支付系统在我国的支付系统中发挥着重要的作用。

1 大额电子支付系统中的欺诈

在大额电子支付中，欺诈主要表现为欺诈人以客户的名义，使用该客户的账户，向银行签发一项未经客户授权的电子支付命令，支付命令的受益人可能是欺诈人的同伙或欺诈人本人。银行未发现欺诈，并通过向受益人银行签发一项支付命令接受欺诈人的未经授权支付命令。客户的银行借记客户的账户并向客户发出借记通知。受益人银行也未发现欺诈，接受了支付命令并向受益人支付，于是欺诈人得到了欺诈的款项[4]187-188。大额电子支付系统相对传统的汇票、本票等支付工具，由于其具有高速性甚至实时性，因而欺诈很容易得逞。当银行客户从银行得到借记通知后，指出其并未签发支付命令，如果能够找到欺诈人本人，客户可以要求欺诈人承担责任。鉴于电子支付的网络虚拟性，找到欺诈人本身很难，那么对客户损失就必须在金融机构和客户之间进行制度上的合理分配和设计。

为了防止欺诈，就需要对客户向银行签发的指令进行认证。在电子支付中，无法使用核对签字或图章的方法进行认证。

目前，大额电子支付规则在世界上有影响力的主要有三部——美国《统一商法典》第4A编、《国际贷记划拨示范法》与《跨国贷记划拨指令》。有关欺诈损失分担规则，欧盟《跨国贷记划拨指令》完全没有涉及，《国际贷记划拨示范法》与《统一商法典》第4A编的规定大致相同，但美国《统一商法典》第4A编的规定更为详尽。

2 美国《统一商法典》第4 A编的欺诈损失分担规则

2.1 美国《统一商法典》第4A编有关欺诈损失分担的立法

美国 《统一商法典》第4A编适用于 “资金划拨”，即通过银行系统进行的、指示无条件支付固定的或可确定的货币金融的、其指令由发送人直接传递给接收银行的贷记划拨[4]151。因为小额电子资金划拨已由美国联邦法《电子资金划拨法》调整①，因而美国《统一商法典》第4A编实质上主要调整的是大额电子资金划拨系统(wholesale wire transfer)②。美国《统一商法典》第4A编规定了欺诈损失应如何分担的一般规则及该规则的重要例外。

2.1.1 欺诈损失分担的一般规则 美国 《统一商法典》第4A编4A-202(a)规定：“接收银行接收的支付命令是确认为发送人的人的授权命令，如果该人已经授权该命令或者根据代理法以其他方式受该命令约束。”该条款表明只有在客户对签发支付命令进行授权时，客户才受不是本人签发的支付命令约束，此时，银行接收的支付命令称为授权的支付命令。因此，银行所承担的一般是未经授权的支付命令所造成的损失，此为美国《统一商法典》第4A编规定的欺诈分担的一般规则[5]。

2.1.2 一般规则的例外 如果银行与客户达成协议，以客户名义签发给银行的支付命令通过安全程序进行认证且银行遵循了安全程序，无论支付命令是否得到客户授权，银行接收的支付命令均视为客户签发的支付命令，这就是一般规则的例外。此时，银行接收的支付命令称为证实的支付命令。即使支付命令事实上未经客户授权，此欺诈造成的损失仍由客户承担。美国《统一商法典》第4A编第202(b)条规定的未经客户授权支付命令的损失由客户承担的条件为：(1)银行与客户达成协议，同意以客户名义签发给银行的支付命令的真实性由安全程序来证实；(2)使用的安全程序必须是防止未经授权支付命令的商业上合理方法；(3)银行证明其已遵守安全程序；(4)银行证明其已遵守限制接受以客户名义签发的支付命令的书面协议或客户指令；(5)银行证明其善意接受支付命令。

2.1.3 例外的例外 此外，美国《统一商法典》第4A编还规定了客户不承担损失的两种例外。第一种例外情况是，如果客户能证明以下人员不是该支付命令直接或间接的签发人：(1)在关于支付命令或者安全程序方面，客户在任何时候委托代表客户采取行动的义务人，或者(2)未经接收银行的授权，能从客户控制的来源得到有助于违反安全程序的信息的人，或者能接近客户的传送设施的人。第二种例外是，通过书面协议，银行与客户明示约定限制其有权强制执行支付命令或保留就支付命令的付款的范围③。

2.2 重要概念的明确

2.2.1 协议所建立的证实程序——“安全程序”对于大额电子交付，美国《统一商法典》第4A编提供了一种并非是核对签字的认证方法。

“安全程序”不包括接收银行在处理支付命令时所单方遵循的程序④。近年来，美国法院对这一点进行了进一步的明确。在Skyline International Development v.Citibank,F.S.B.一案中，接收银行承认没有遵循电子支付指令的内部认证程序，但是它辩称这种违反并非违反了“安全程序”，因为客户与银行并没有达成规定电子支付指令应通过银行的内部程序进行证实的协议。法院赞同这一观点⑤。因此，银行与客户的协议中未包含的与电子支付有关的内部程序并非美国《统一商法典》第4A编中规定的“安全程序”。

2.2.2 “商业上合理的”（commercially reasonable）安全程序 如果客户与银行协议设立的安全程序不具有商业上的合理性，美国《统一商法典》第4A编4A-202(b)就不能适用，这样在出现欺诈的情况下就会导致4A-202(a)的适用，由银行承担欺诈所造成的损失。

《统一商法典》第4A编4A-202(c)规定安全程序在商业上的合理性的判断有2个标准，只要符合任意一个标准即可。

第一，一项安全程序如果满足这些条件，则被视为具有商业上的合理性：(1)银行提供另一项对客户来说具有商业上的合理性的安全程序而该客户拒绝了此程序，此后，该客户选择了该程序，并且(2)该客户以书面明示同意受以其名义签发的、无论是否经其授权的任何支付命令的约束，只要该银行遵循客户选择的安全程序已接受该支付命令⑥。

这个标准关注客户协议的内容。由于不方便或者成本效益分析的结果差等原因，很多客户拒绝了银行提供的安全程序而选择另一项安全程序[6]。如果客户拒绝了一个具有商业上的合理性并适合该客户的安全程序，却坚持使用一个更便宜或更方便的高风险的程序，那么，该客户自愿承担该程序失败的风险，不能将损失再转移给银行。但是只有在该客户以书面形式明确同意承担该风险的情况下会产生这种结果[7]。

第二，决定一项安全程序是否具有商业上的合理性需要考虑这4个条件：

（1）客户向银行所表达的愿望。

（2）银行知道的客户情况，包括客户一般向银行签发的支付命令的规模、类型以及频率。

（3）向客户提供的另一种安全程序。

（4）类似情况下的客户与接收银行一般使用的安全程序⑥。

近年来，美国法院在几个大额电子支付欺诈案件的处理中涉及到安全程序的商业上的合理性问题，但是几乎从未适用过第二个标准。在Transamerica Logistic,Inc.v.JPMorgan Chase Bank,N.A.一案中，法院发现客户协议中有一个条款规定“客户承认并且同意协议中所记述的安全程序具有商业上的合理性”，并且在案件审理过程中客户没有提出“相反的证据或理由”，从而认定接收银行所提供的安全程序在商业上是合理的⑧。

在Experi-Metal,Inc.v.Comerica Bank一案中，客户与接收银行的协议中所建立的安全程序要求客户输入用户名、四位数的个人识别码以及安全令牌上六位数的密码 （每60秒变化一次的随机产生的数字）。客户收到一封网络钓鱼电子邮件，指示客户登录以更新数字证书。客户点击了邮件中的链接，随后转到一个伪装成银行合法网站的钓鱼网站。在该网站上客户输入了个人识别码和安全令牌上的密码，随后受到钓鱼攻击。犯罪人立刻使用该客户的秘密信息连接到银行，发出了93个划拨到世界各地多个账户的电子支付指令，划拨资金总额高达190万美元⑨。在该案中银行主张其曾向客户提供了一项附加的安全程序，即电子支付指令需要指定的2个人批准，但是客户拒绝了此程序。但法院认为是否“需要额外用户的批准只是一项‘安全程序’内的选择。本案中的‘安全程序’就是安全令牌技术”⑨。因此，法院认为银行没有提供另一项具有商业上合理性的安全程序。虽然客户提供了专家证词，认为安全令牌技术不具有商业上的合理性，但法院仍然根据客户协议认定接收银行所采用的安全程序具有商业上的合理性⑨。

虽然Transamerica案中的客户没有提出反对的理由，但是法院以客户协议中客户同意安全程序具有商业上的合理性作为裁决理由，是对美国《统一商法典》第4A编4A-202(c)所规定的法院责任的放弃。如前所述，如果认为一个安全程序符合商业上合理性判断的第一个标准，那么必须同时满足2个条件⑥。然而，在这两个案件中，第一个条件都没有得到满足，法院仅仅根据客户协议判定安全程序具有商业上的合理性，显然是错误的。因此，在类似案件中，法院应适用第二个标准去判断安全程序是否具有商业上的合理性，而非仅仅依赖客户协议。

2.2.3 银行必须证明其“善意”行事 未经客户授权的支付命令的损失由客户承担的第5个条件要求银行证明其善意接受支付命令。美国《统一商法典》第4A编将“善意”定义为“事实上的诚实并且遵守公平交易的合理的商业标准”（honesty in fact and the observance of reasonable commercial standards of fair dealing）⑩。该定义包括主观要件“事实上的诚实”和客观要件“遵守公平交易的合理的商业标准”。虽然“公平交易”是个有宽泛意义的术语，因此必须在每个案件中分别对待，但是该定义关注银行行为的公平性，而非行事时的注意义务。“事实上的诚实”由主观标准去判断，法院必须考察与交易有关的事实。“遵守公平交易的合理的商业标准”由客观标准去判断，即根据普遍的商业标准去判断银行行为的公平性。

缅因州高等法院在Maine Family Federal Credit Union v.Sun Life Assur.Co.of Canada一案中提出了判断客观要件是否满足的方法，并且联邦第三巡回法院在2009年In re Jersey Tractor Trailer Training Inc.一案中也同样适用了此方法，即：首先，判断希望得到公平交易的结果所应采用的合理的商业标准是什么；其次，判断银行的行为是否与该交易的商业标准一致。

在前述的Experi-Metal,Inc.案中，客户主张银行没有善意行事。双方当事人对于银行满足主观要件即“事实上的诚实”没有争议，争议点在于银行是否“遵守公平交易的合理的商业标准”。法院在此案中也使用了上述方法判断客观要件是否满足。客户Experi-Metal,Inc.递交了专家证词，主张银行在处理欺诈的电子支付指令时没有达到商业标准。专家指出商业标准要求银行安装监视系统以检测欺诈活动。但是专家没有足够证据证明这个标准是希望得到公平交易结果所采用的合理的标准，因为其没能证明在案件发生之日有多少与Comerica银行规模相当的银行安装了此欺诈监视系统。

但是这些证据的缺少并不能表明银行已经“善意”行事，因为《统一商法典》规定证明银行“善意”行事的举证责任由银行自己承担。根据上述方法，法院认为在此案中银行应提供证据使法院确定银行在应对诸如本案的钓鱼事件时公平交易的合理的商业标准是什么以及银行的行为是否符合该标准。最终，由于银行无法提供以上证据，法院判决银行没有“善意”行事，因而应承担欺诈损失⑨。

2.3 对美国大额电子支付欺诈损失分担规则的评析

美国《统一商法典》第4A编有关欺诈损失分配的相关规则，既没有一概要求银行承担欺诈损失，也没有一概要求客户承担欺诈损失，而是根据不同的情形要求银行或客户承担责任。

有学者认为美国《统一商法典》第4A编关于欺诈损失应如何分担的规定过多地考虑了银行的利益，而忽视了银行客户的利益，显失公平[4]196。但也有学者认为这些欺诈损失分担规则是合理的[7]。笔者赞同第二种观点，理由如下：

首先，如果法律将欺诈损失的分担更多地归属接收银行，银行就会根据这些可能承受的损失估算服务成本，从而收取相应的费用，即风险成本最终由客户自己承担。而且，银行的风险越大，其向客户收取的服务费就越高，会导致整个大额电子支付价格提高，进而迫使部分客户放弃选择大额电子支付，因为低成本性原本是大额电子支付相对于传统支付方式的优势所在[8]。

其次，法律还允许有能力的客户通过协议限制银行有权强制执行支付命令或保留就支付命令的付款的范围③。在特定的协议中，银行可能与客户约定当无法找到欺诈人时，愿意与客户共同分担未授权支付命令造成的损失。虽然，银行在一般情况下不会与客户约定这样的条款，但不排除银行为了某些重要客户或其他情况签订类似协议的可能性。

3 关于我国大额电子支付欺诈损失分担的立法现状及建议

3.1 大额电子支付欺诈损失分担规则的立法必要性

尽管大额电子支付具有高速性和低成本性，但大额电子支付同样也使欺诈人可以更快更方便地获得更高金额的不法利益[9]。正是由于大额电子支付的高速性甚至是实时性，在发现欺诈后撤销电子支付指令几乎是不可能的。相对于传统的纸面支付方式而言，欺诈的潜在风险也就更高；欺诈一旦发生，损失也就更多。因此，欺诈造成的损失该如何分担，是大额电子支付的参与者最为关心的几个问题之一，也是他们对法律的最迫切需求之处。有了法律关于欺诈损失应如何分担的规定，在一定程度上创设了大额电子支付的稳定法律环境，使大额电子支付的参与者能够正确预见自己行为的法律后果，从而规范安全程序和自己的行为，使大额电子支付服务的提供者科学地估算服务成本，进而收取合理的服务费，这些确定性在大额电子支付中十分重要。从而促使参与支付的经济实体更多地选择大额电子支付这种支付方式。

3.2 我国大额电子支付欺诈损失分担的立法现状及评析

中国人民银行在2002年颁布的 《大额支付系统业务处理办法》（试行）、《大额支付业务处理手续》（试行）以及2009年颁布的《中国现代化支付系统运行管理办法》（试行）等系统规则只针对HVPS的业务处理过程和系统运行进行了一定规范，对于大额电子支付中出现欺诈所导致的损失分担并无规定。

我国目前仅有《电子支付指引（第一号）》（以下简称《指引》）涉及大额电子支付中发生欺诈后损失承担的规定。《指引》第45条规定：“非资金所有人盗取他人存取工具发出电子支付指令，并且其身份认证和交易授权通过发起行的安全程序的，发起行应积极配合客户查找原因，尽量减少客户损失。”这条规定表明我国已要求接收银行建立必要的安全程序对电子支付命令的来源进行认证，但这条规定存在诸多问题：

（1）没有明确此安全程序是银行单方面遵循的内部安全程序还是银行与客户协议设立的安全程序。如果此安全程序是银行与客户协议设立的安全程序，那么应对该安全程序是否具有商业上的合理性、银行是否善意行事、欺诈人与客户是否有某种关联等不同情形进行区别对待，而非一概规定由客户承担损失。如果此安全程序是银行单方面遵循的内部安全程序，那么客户并不受该安全程序的约束，应仅对其授权的支付命令承担责任，对于未授权的支付命令（即欺诈情形下的支付命令）不承担责任，应由银行承担欺诈造成的损失，而非仅仅配合调查。

（2）手段仅限于“盗取他人存取工具”。随着技术的不断发展，发出电子支付指令的工具已不仅仅限于存取工具，还有可能是计算机软件或其他类似的事物。将手段限制于“盗取他人存取工具”将会导致利用其他手段发出未授权电子支付命令的欺诈行为无法得到法律的规制。

（3）欺诈损失分配设计不合理。《指引》第45条规定只要通过发起行的安全程序的电子支付命令，客户都要受该支付指令的约束，承担欺诈所导致的损失。银行的义务仅限于“建立必要的安全程序”以防止欺诈，而在欺诈发生后并不分担损失。这样的欺诈损失分配设计显然不合理，一方面会导致银行怠于提供含有先进技术的安全程序，另一方面也会影响客户使用大额电子支付这种支付手段的积极性，并可能进一步影响交易的进行。

3.3 对我国大额电子支付欺诈损失分担的立法建议

3.3.1 立法层级 《指引》是中国人民银行以规范性文件的形式颁布的，属于部门规章，行政色彩浓厚，缺乏灵活性和整体视角，法律层级较低。《最高人民法院关于裁判文书引用法律、法规等规范性法律文件的规定》第四条规定：“民事裁判文书应当引用法律、法律解释或者司法解释。对于应当适用的行政法规、地方性法规或者自治条例和单行条例，可以直接引用。”由此可见，在无法找到欺诈人而处理大额电子支付欺诈损失分担的案件中，法院并不能将《指引》作为其裁判的依据。因此，建议以法律法规的形式规定大额电子支付欺诈损失分担规则。

3.3.2 立法规定 大额电子支付是信息技术应用于支付结算领域的新成果，大额电子支付中的欺诈所导致的损失在当事人之间如何配置，难以在传统法律中找到答案。我国相关法律应借鉴美国《统一商法典》第4A编有关欺诈风险分配的相关规则，“使用准确和详细的规定来分配责任、界定行为标准、分配风险和建立责任限制，而不是使用宽泛的规定、灵活的原则”[9]。由于我国大额电子支付欺诈损失分担规则同样规定了“安全程序”，但规定得过于简单。因此，借鉴美国《统一商法典》第4A编的规定对于我国现有法律几乎没有冲击。

我国相关法律应区分大额和小额电子支付欺诈损失分担规则，大额电子支付欺诈损失规则应规定：大额电子支付的客户和接收银行应设立安全程序以识别支付命令的真伪。安全程序由客户和接收银行协议设立，应具有商业上的合理性。接收银行证明其接受支付命令是按善意行事且符合安全程序和限制接受以客户名义签发的支付命令的任何书面协议或客户的指令，支付命令视为由客户签发。同时，借鉴美国《统一商法典》第4A编规定客户不承担损失的两种例外情形。此外，借鉴美国《统一商法典》第4A编的正式评述和美国司法实践中的经验，对“安全程序”、“商业上的合理性”和“善意”进行进一步明确，以指导法官在司法实践中正确适用欺诈风险分配规则。

注释：

①美国《统一商法典》第4A编4A-108。本文美国《统一商法典》第4A编条文的翻译均来自刘颖著：《电子资金划拨法律问题研究》，法律出版社2001年版，第510-536页。

②See U.C.C.art.4A Prefatory Note--Why Is Article 4A Needed.

③美国《统一商法典》第4A编4A-203(a)。

④UCC§4A-201 cmt.

⑤Skyline International Development v.Citibank,F.S.B.,706 N.E.2d 942,945(Ill.App.1998).

⑥美国《统一商法典》第4A编4A-202(c)。

⑦UCC§4A-203 cmt.4.

⑧Transamerica Logistic,Inc.v.JPMorgan Chase Bank,N.A.,2008 WL 8053509,1(S.D.Tex.July 21,2008).

⑨Experi-Metal,Inc.v.Comerica Bank,2010 WL 2720914(E.D.Mich.July 8,2010).

⑩美国《统一商法典》第4A编4A-105(d)：“第1编中的一般定义和解释原则适用于本编通编”；美国《统一商法典》第1编1-201(20)。

[1]刘颖.大额电子支付的法律基础[M].北京:北京邮电大学出版社,2001.

[2]中国人民银行清算总中心网页 [EB/OL].(2012-11-05).[2014-05-28].http://www.cncc.cn/zfqsxt/200812/t20081218_719.html.

[3]中国人民银行支付结算司.2013年支付体系运行总体情况[EB/OL].(2014-02-17)[2014-05-28].http://www.pbc.gov.cn/image_public/UserFiles/goutongjiaoliu/upload/File/2013%E5%B9%B4%E6%94%AF%E4%BB%98%E4%BD%93%E7%B3%BB%E8%BF%90%E8%A1%8C%E6%80%BB%E4%BD%93%E6%83%85%E5%86%B5.pdf.

[4]刘颖.电子资金划拨法律问题研究[M].北京:法律出版社,2001.

[5]刘颖.支付命令与安全程序——美国﹤统一商法典﹥第4A编的核心概念及对我国电子商务立法的启示[J].中国法学,2004(1):164-167.

[6]ROB`GARVER.The Cost of Inaction[J/OL].(2010-07-01).[2014-05-30].http://www.americanbanker.com/magazine/120_7/thecost-of-inaction-1021271-1.html.

[7]PAUL S.TURNER.TheUCC DraftingProcessandSix Questions about Article 4A:Is There a Need for Revisions to the Uniform Funds Transfers Law?[J].LYLALR,1994,28:351.

[8]刘颖,李莉莎.利益视角下的大额电子资金划拨法[J].河北法学,2008(6):53-55.

[9]SALVATORE SCANIO&ROBERT W.LUDWIG.Surging,Swift and Liable Cybercrime and Electronic Payments Fraud involving Commercial Bank Accounts:Who Bears the Loss[J].JINTLAW,2013,16（10）:3-6.