支付账户型第三方支付的非授权支付责任***
2021-04-25李建星
〔 DOI〕 10.19653/j.cnki.dbcjdxxb.2021.02.008
〔引用格式〕 李建星.支付账户型第三方支付的非授权支付责任——以德国支付服务相关法律为参照[J].东北财经大学学报,2021,(2):76-86.
〔摘要〕为积极面对由于互联网技术与电子支付发展带来的市场结构与交易方式的变化,德国支付服务法改革确立了以优待用户为导向的非授权支付责任分担规则。该经验立足于《德国民法典》的规范体系,也平衡了支付服务提供者与用户间的利益。此做法与中国新近施行的《中华人民共和国民法典》(以下简称《民法典》)中通过推进法定数字货币,促进数字经济发展的导向吻合,值得中国借鉴。针对支付账户型第三方支付,支付机构与付款人间存在电子货币发行关系,以及基于支付委托合同的资金关系、基于支付委托合同的托收关系。在非授权支付中,支付账户型支付机构应当按照严格责任向用户先行偿還资金,再根据用户是否存在过错,“反向”主张违反附随义务的损害赔偿。支付账户型支付机构应获得法定追偿,向其他支付机构及加害人追偿。《非银行支付机构网络支付业务管理办法》第7条主张支付机构与付款人间成立电子货币的消费保管合同,该规定与《民法典》、民法原理相悖。为了实现法律体系的协调,前述条文应删除“其实质为客户委托支付机构保管的、所有权归属于客户的预付价值”。
〔关键词〕支付委托合同;非授权支付;支付机构;支付账户;电子货币;第三方支付
中图分类号:F724.6;D922.28 文献标识码:A 文章编号:1008-4096(2021)02-0076-11
一、引 言
以微信账户支付、支付宝余额支付为代表的第三方支付逐渐成为中国人日常交易的主要支付方式之一。《中国支付清算行业运行报告(2018)》显示,2017年,支付机构共处理移动支付业务2 390多亿笔、金额105万亿多元,同比分别增长146.53%和106.06%。但是,支付的便捷化同时伴随着风险。根据“无讼案例”数据库的统计,2017年全国网络非授权支付案件有1 655件,2018年有1 106件,2019年有928件,所涉案件遍布全国各地。
学术界对支付机构法律关系的研究不应局限于监管分析[1-2],而是应立足于《中华人民共和国民法典》(以下简称《民法典》)与《中华人民共和国电子商务法》(以下简称《电子商务法》)所阐述非授权支付的法律体系。其根本意义有两方面:其一,有助于澄清上位法与下位法间的冲突,明确法律改革的方向。其二,在中国人民银行稳步推进法定数字货币的大背景下,先行确立非授权支付的法律框架,可以提升法定数字货币的信心,加速其推进速度,拓展数字经济的深度。非授权支付是指,未经用户以支付指令形式发出授权,支付服务提供者执行了支付行为,导致用户账户资金减少。例如,在2015年的“河南邦欣电子商务有限公司与国付宝信息科技有限公司服务合同纠纷”(以下简称“邦欣案”)中,国付宝为用户邦欣公司提供的支付账户发生非授权支付。再如,2018年10月,全国多地出现Apple Pay非授权支付,涉及用户预计超过700人(以下简称“Apple Pay案”)[3]。前述实践需求提出两项疑问:支付账户型支付机构与用户间存在何种法律关系?哪一方应承担非授权支付的责任?
依据《中国人民银行非金融机构支付服务管理办法》(以下简称《非金融支付办法》)第3条第1款,支付机构被定义为,提供第三方支付的经营者,属于非金融机构。根据行为模式的差异,支付机构可分为两类,即支付网关型支付机构与支付账户型支付机构[1]。后者为用户设立具有特定使用金额的支付账户作为电子簿记,用于记录预付交易资金余额、用户发起支付指令、反映交易明细信息。从定义可以看出,支付机构牵涉的法律关系极其复杂。2018年,全国人大常委会通过了《电子商务法》,第57条试图全面确立互联网非授权支付的法律框架。以《电子商务法》第57条为核心,将既有庞杂的支付服务相关规则进行梳理,整合成无矛盾的规范体系,是亟需的对中国经济发展需要的回应。另外,《电子商务法》的参与立法者明确表达出以欧盟“支付指令”为借鉴,设计中国非授权支付责任分配规则的意图[4]。德国为了遵循欧盟“支付指令”,在2009、2018年对《德国民法典》等一系列的法律进行了两次修订。尤其是,德国具化了欧盟“支付指令”中的非授权支付责任分配规则,亮点颇多,堪称范例。德国的这一立法例足以反映欧盟“支付指令”的原意,并可以被中国《电子商务法》第57条的解释与适用所借鉴。
有鉴于此,主文分为四大部分:第一部分介绍德国两次支付服务法改革的概况,揭示其中的法律原理,以促进中国支付法律规范的体系化与清晰化。第二部分通过分别阐明支付机构与付款人、收款人的具体合同性质,以确定当事人间的法律关系。第三部分以“邦欣案”为样本,根据《电子商务法》第57条,阐述各方当事人承担的非授权支付责任。第四部分以“Apple Pay案”为导入,讨论各支付机构间的追偿关系,以实现非授权支付的责任分散。最后是结论与建议。
二、德国支付服务法的改革进程
为了遵循欧盟指令的要求,在2009年前,德国就将《跨境转账指令》(Directive on Cross-Border Credit Transfers,Directive 1997/5/EC)纳入《德国民法典》。然而,该纳入并不成功,至今仍然遭受学者诟病,并被认为带来了法律解释上的混乱[5]。直到2009年,德国将欧盟的“支付服务指令”转化为本国的支付服务法,才步入正轨。
(一)支付服务法的改革
在欧元已经成为欧盟单一货币的背景下,欧盟委员会从2002年开始,针对如何建立内部市场支付服务的全新法律框架展开了广泛磋商。然而,成果并不显著。在此过程中,因为支付系统在标准、账户编号等方面存在重大差异,造成了跨境的零售付款执行时间较长、成本较高,严重影响了欧盟统一市场的建立。
为彻底解决前述问题,欧盟在2007年正式颁布《内部市场支付服务指令》(以下简称《支付指令一》)。该指令包括了96条,既规定了适用范围、批准注册程序、透明度与信息标准等公法要求,又规定了当事人权利、义务等私法内容。其要求各欧盟成员国必须在2009年11月1日前转化为国内法。《支付指令一》仅规定了转化时间表,并未强制要求转化方式。所以,各欧盟成员国可以按照各自的国内法情况,落实《支付指令一》的各项要求。例如,法国采取了“融入”的方式,通过改革《金融法典》(Code Monétaire et Financier),将《支付指令一》转化为国内法。基于德国的“法教义学”传统,德国立法者则采取对既有法律体系冲击较小的立法方式,落实《支付指令一》的要求。
针对《支付指令一》的公法要求,德国采取了“新设”的方式,在2009年6月25日通过了《支付指令监管规定转化法》。该法律的核心是新设立《支付服务监管法》。《支付服务监管法》共35条,分为7章,全面地规定了监管职权、支付机构的许可程序,支付机构的安全性要求、年度报告等诸多制度。由此,德国联邦政府监管支付服务的法律框架被确立。
针对《支付指令一》有关当事人民事权利、义务的内容,德国采取了“融入”的方式。鉴于《德国民法典》在确定当事人民事法律关系方面的基础功能,在2009年前,立法者已经根据《跨境转账指令》修改了《德国民法典》,加入了第676a条至676h条。沿袭此思路,德国决定将《支付指令一》“融入”《德国民法典》第二编“债法”,具体举措有二:其一,彻底删除了前述的《德国民法典》第676a条至676h条。其二,在《德国民法典》“债法分论”第12节“委托、事务处理合同和支付服务”专门规定第三目“支付服务(Zahlungsdienst)”,全面规定支付关系当事人的各项民事权利、义务。
(二)支付服务法的再改革
德国在2018年对支付服务法的再改革,同样是由歐盟“支付指令”触发。鉴于网络技术的快速发展,新型支付服务提供者不断涌现,极大地改变了支付市场样态。相反,银行在支付业务中的领导者地位受到电子支付服务的冲击,重要性开始减弱。有鉴于此,欧盟在2015年再次颁布《内部市场支付服务指令》(EU 2015/2366,以下简称“《支付指令二》”),以全面取代《支付指令一》。该指令包括了6章,共117条,持续深化、细化支付服务的相关规则,并要求各欧盟成员国在2018年1月13日转化为国内法。
为遵循《支付指令二》的要求,德国联邦政府提出全面的修改方案,并在2018年1月12日完成了修订。再改革的直接原因是回应《支付指令二》的要求,深层原因则是积极面对由于互联网技术与电子支付发展带来的市场结构与交易方式的变化。根据德国在线零售市场的份额表明,新型的在线支付工具已成为传统支付方式的真正替代品。其中,PayPal在2017年德国电子商务销售的市场份额为19.9%,是仅次于支票和借记卡的第三大支付方式[6]。面对如此剧烈的市场变化,立法者必须预先提供确定规则,方能充分发挥电子支付的便捷性优势,避免当中的不利影响。
根据《支付服务指令二》的要求,德国引入了“第三方支付”的概念,并将支付服务提供者区分为支付启动服务提供者(Zahlungsausl?sedienstleister)与账户管理支付服务提供者(Kontoführende Zahlungsdienstleister)。支付启动服务被定义为,“支付启动服务提供者自行启动支付指令或根据用户的请求,向用户在另一支付服务提供者处保有的支付账户发出支付指令的服务”。德国的支付启动服务提供者在中国对应了支付网关型支付机构。相应之,账户管理支付服务提供者直接向用户提供账户。所以,德国的支付启动服务提供者在中国对应的既可以是银行,也可以是微信、支付宝等支付账户型支付机构。
三、支付机构与用户的法律关系
非授权支付直接冲击用户的资金安全,但实际加害人难以被发现、确定。为避免处于弱势地位的用户承担全部不利,在用户与支付机构间分担责任至关重要。中国学者一般将合理分散社会风险[7]及维护消费者权益[8]等政策考量,作为责任分配规则的立足点。前述学说虽然作出了妥当的价值衡量,却并未基于统一的法律架构,可能会破坏规则间的内在协调性。为了奠定统一的法律架构,必须细致分析支付机构与用户的法律关系。实际上,在支付关系中,用户既可以是付款人,也可以是收款人,因此,支付机构与用户间的关系也可以分为两种情形:支付机构与付款人间的两层关系、支付机构与收款人的托收关系。
(一)支付机构与付款人间的两层关系
⒈ 电子货币的发行关系
支付账户型第三方支付的创设者PayPal开设了虚拟的支付账户,用户可以通过充值等方式获得账户余额,并以余额对实际交易进行支付[9]。针对“PayPal提供支付账户可否定性为发行电子货币”这一关键问题,欧盟及其成员国曾经存在重大争议。一种观点认为,PayPal仅是提供虚拟账户系统进行转账服务[10],不构成发行电子货币。另一种观点持相反意见,主张支付账户的提供者实质向用户发行了电子货币[11]。欧盟在2000年第一次颁布《电子货币指令》(Directive 2000/46/EC),并在2009年更新了《电子货币指令》(Directive 2009/110/EC)。后者可称为《欧盟电子货币指令二》。其最终采纳了“PayPal提供支付账户属于发行电子货币”这一意见。在《欧盟电子货币指令二》的第7、8项立法理由指明,电子货币包括了可通过电子货币特定账户远程持有的特定货币价值及预付价值,并因为能被他人所接受而可用于支付目的。如此广泛的定义,足以将支付账户余额纳入电子货币的涵盖范围,提供该账户的PayPal随之属于电子货币的发行者。
在中国,支付账户中的余额也属于电子货币。按照《欧盟电子货币指令二》第2条第2项、《德国支付服务监管法》第1条第2款第1句,“电子货币”具有下述四个特征:以包括磁力在内的电子方式存储,具有特定货币价值,以持有人对发行人的请求权为基础,为电子货币发行者以外的自然人或法人接受。支付账户中的余额符合前述特征。其一,支付账户是通过互联网开设,主要借助移动支付的方式实现资金移转,属于以电子方式存储。其二,用户的支付账户余额与人民币的货币价值相等。其三,用户通过充值或收款等方式获得账户余额,构成对支付机构的债权请求权,并可通过“提现”的方式实现对支付机构的请求权。其四,在现时交易实践中,当事人普遍接受支付账户的余额具有现金替代功能,可以像现金一样使用与支付。鉴于余额的电子货币属性,提供支付账户的支付机构即属于电子货币的发行者。换言之,支付账户型支付机构与用户间存在电子货币发行关系。
⒉ 基于支付委托合同的资金关系
按照传统民法的指示给付关系[12],支付机构为付款人实施支付行为的法律关系可称为资金关系(Deckungsverh?ltnis)。资金关系的定性,在中国学界存在较大争议:有学者持复合法律关系说;还有持第三方支付服务合同说;较多学者持委托保管说[13],该说以《非银行支付机构网络支付业务管理办法》(以下简称《网络支付办法》)第7条为依据,主张支付机构与付款人间成立电子货币的消费保管合同(《民法典》第901条)。
本文主张,除了电子货币发行关系外,支付机构与付款人间仅存在委托合同。为了简化法律适用,回归民法规范体系,德国立法者虽然遵循《支付指令一》的要求,在《德国民法典》第675f条第2款规定了“支付服务框架合同”(Zahlungsdiensterahmenvertrag),但仍将其视为委托合同的一种特殊情形。具体表现为,一方面,在“支付服务框架合同”下,支付服务提供者不仅负有为用户管理账户的义务[14],还要服从、执行用户的支付指令;另一方面,该指令属于用户单方发出的、须受领的意思表示。其内容是要求支付服务提供者执行具体的支付行为。据此,在中国,支付机构与付款人间仅成立委托合同,并不存在电子货币的消费保管关系。具体理据有以下三点:
第一,委托保管说依据的部门规章与《民法典》、民法原理相悖。《网络支付办法》第7条规定,“支付账户所记录的资金余额不同于客户本人的银行存款,不受《存款保险条例》保护,其实质为客户委托支付机构保管的、所有权归属于客户的预付价值”。《非金融支付办法》第24条第1款的态度基本一致,“支付机构接受的客户备付金不属于支付机构的自有财产”。由于电子货币不属于特定物,因而委托保管说的支持者推演出,支付机构与付款人间存在电子货币的消费保管合同。然而,该推论并不妥当。《民法典》第901条,“保管人保管货币的,可以返还相同种类、数量的货币;保管其他可替代物的,可以按照约定返还相同种类、品质、数量的物品”。该条阐明了,与一般保管合同的寄存人仍享有保管物之所有权不同,消费保管的寄存人丧失保管物之所有权,将所有权移转给保管人[15],保管人只须向寄存人返还相同种类、品质、数量的物品。可见,前述部门规章与消费保管的寄存人丧失货币所有权之原理相悖。
第二,《网络支付办法》第7条的立法目的与条文表述不匹配。该条为了避免支付机构须向付款人支付利息,与非金融机构的定位相冲突,进而采纳了电子货币消费保管关系。但是,该表述并非明智选择。《德国支付服务监管法》第3条第2款第2句明确规定,通过电子货币发行而存在的电子货币与账户余额无须计息,持有人也不能获得与持有期限相关的任何利益。易言之,德国为防止电子货币冲击既有的银行业体系,采取了法律拟制的方式,直接排除付款人对支付机构的利息请求权。有鉴于此,中国《网络支付办法》无须“舍近求远”,应明文排除付款人的利息请求权,而非求助于消费保管合同。
第三,除保管合同外,多个有名合同均涉及物之保管义务,如行纪人应保管买入或卖出之物(《民法典》第953条)。该种保管义务仅属于一部分的合同内容,而非合同关系之主要目的[16]。在委托合同中,受托人不但须履行“为委托人处理事务”的主给付义务,还负有基于诚信原则等原因发生的各項从给付义务。由此,支付机构负有为付款人保管电子货币的从给付义务,无须“叠床架屋”,另外订立保管合同。
据上述分析,支付机构与付款人签订的开户合同,还包括了以支付机构为受托人的支付委托合同[17]。此结论的实益在于,可以借助《民法典》就委托合同的相应规则构建资金关系。具体表现为:其一,支付机构根据委托合同享有处理付款人支付事务之权限(《民法典》第920条),而不构成非法干涉付款人事务。其二,付款人发出的付款指令实质属于委托人指示,支付机构负有根据付款人指令执行付款行为的主给付义务(《民法典》第922条第1句)。其三,付款人授权支付是承认支付机构执行支付行为的法律效果归属于其自身,认可支付机构对其享有委托费用偿还请求权(《民法典》第921条),相反,执行非授权支付的支付机构即不享有对付款人的费用偿还请求权。
(二)支付机构与收款人的托收关系
支付机构为收款人收取资金的法律关系,可称为托收关系(Inkassoverh?ltnis)。支付账户型第三方支付的核心特征是,资金从账户到账户的移转[18]。支付机构还须为收款人收款,方能履行其合同义务。《“支付宝”服务协议》对收款环节明确约定,“自您因委托‘支付宝代收相关款项并入账到您的‘支付宝账户”。据此,中国同样应以委托合同为核心构建支付机构与付款人间的托收关系。支付机构负有义务为收款人收款,增加其账户余额。
支付机构与收款人的托收关系有时需要银行的介入。支付机构与用户的法律关系如图1所示。
倘若收款人试图提现,将资金划转到其名下的银行账户,支付机构还必须借助银行作为履行辅助人,方能履行支付委托合同。《支付机构客户备付金存管办法》第3条第1款,“支付机构接收的客户备付金必须全额缴存至支付机构在备付金银行开立的備付金专用存款账户”。可见,该规定强制支付机构与特定银行签订备付金协议,由后者协助其完成相应的支付行为,该特定银行被称为备付金银行。支付机构收到收款人的提现指令后,可依据备付金协议向备付金银行发出支付指令;备付金银行在审核支付指令无误后,向收款人指定的银行账户移转资金。
据此,备付金银行为支付机构履行支付委托合同的履行辅助人。履行辅助人是根据债务人的意思,在履行债务人所负担的债务时,作为辅助人员行为的人[19]。支付机构须就备付金银行的违约行为承担责任。例如,备付金银行因系统失误,迟延执行收款人的提现指令造成收款人的损失,收款人仅可向支付机构主张损害赔偿,而不得向备付金银行主张。
四、支付机构与用户的非授权支付责任分配
针对支付机构与用户的非授权支付责任分配,《电子商务法》第57条第2款已经有所规定,“未经授权的支付造成的损失,由电子支付服务提供者承担;电子支付服务提供者能够证明未经授权的支付是因用户的过错造成的,不承担责任”。但是,此规定仍流于粗疏,不足以指引裁判实践。下文将借鉴《德国民法典》的经验,以“邦欣案”为样本,围绕《电子商务法》第57条,探讨支付账户型第三方支付中的非授权支付责任规则。
(一)支付机构的责任承担
⒈ 《德国民法典》的责任先行承担规则
出于倾斜保护消费者的需要,《支付指令一》第60条规定“支付服务提供者须立即向用户退还未经授权的付款交易金额”,由此阐明了“支付服务提供者对非授权支付负责”的规范立场。《德国民法典》循此立场,在第675u条分成两个层次予以规定:第一个层次,重申了支付服务提供者就非授权支付不享有对用户的费用偿还请求权;第二个层次,指明了支付服务提供者须向用户先行偿还资金。据此,用户享有资金的偿还请求权,有权要求支付服务提供者采取支付现金、涂销无权扣款等方式,将账户恢复到未发生非授权支付的状态。相对应,支付服务提供者有义务将非授权支付的总额即时偿还给用户。在2018年的《德国民法典》第675u条第3句中,打上了技术“补丁”。由此,支付服务提供者偿还资金的时间要求被明确至不得晚于被告知发生非授权支付的下一个工作日。
由此可见,德国采取的法律构造是,在非授权支付的场合,无须考虑用户的过错,其均可要求电子支付服务提供者返还资金。换言之,无论电子支付服务提供者是否存在过错,都应就非授权支付先行承担责任,向用户偿还资金。
⒉ 《电子商务法》框架下的责任先行承担
支付机构先行承担责任符合倾斜保护用户的价值导向。但是,在《电子商务法》出台前,支付机构按照何种标准承担责任并不明确。部门规章与裁判实践各行其是。有的部门规章从用户角度出发主张:支付机构承担非授权支付的责任,以用户无过错为前提。例如,《网络支付办法》第19条,“支付机构应当建立健全风险准备金制度和交易赔付制度,并对不能有效证明因客户原因导致的资金损失及时先行全额赔付,保障客户合法权益”。相反,有的裁判者从支付机构出发判定:支付机构存在过错是责任先行承担的根据。
例如,在“邦欣案”中,为了阐明国付宝须承担责任,裁判者论证道,“国付宝公司对用户信息负有保密义务,保证对用户信息进行严格的管理及保护。国付宝公司就涉案密码的重置未能履行应尽的注意义务,导致了邦欣公司支付密码的泄露,不符合安全保障义务和保密义务的要求,构成违约”“国付宝公司未尽审查注意义务,构成违约,邦欣公司因国付宝公司的违约行为遭受了财产损失6万元,因此,国付宝公司应就此承担赔偿损失的民事责任”。比较观之,《网络支付办法》第19条与“邦欣案”裁判者的共识在于,非授权支付造成了用户的损失,支付机构应承担此损失;区别在于,支付机构承担损失是取决于用户过错,抑或自身过错。
《电子商务法》确立了支付机构承担责任的依据与标准。《电子商务法》第57条第2款前段,“未经授权的支付造成的损失,由电子支付服务提供者承担”。该款完全突破了《网络支付办法》第19条与上述裁判实践的框架,重塑了支付机构先行承担责任的标准,具体有二。
第一,“逆转”了损失承担者,未经授权的支付造成的损失判定为支付机构的损失。支付机构未经用户授权而执行支付行为,该行为的法律效果不得归属于用户,也没有获得对用户的费用偿还请求权,而且,支付机构执行了非授权的支付行为,自身财产减少[20]。据此,用户账户余额的降低不再属于用户的损失,而是支付机构的损失。
第二,不再考虑支付机构的过错,未经授权的支付造成的损失均由支付机构承担。《电子商务法》的参与立法者明确指出,基于保护用户的立法价值取向,要求电子支付服务提供者按照严格责任承担非授权支付的损失[4]。此结论放弃了《网络支付办法》第19条与“邦欣案”的裁判理由,采取了与德国一致的法律构造。依此,支付机构的过错已经不作为责任承担的考量因素。换言之,即便支付机构就非授权支付没有过错,仍应自行承担损失。
支付机构承担责任主要体现为,用户基于履行请求权要求其偿还资金。既然中国已经采取了与德国一致的过错标准,那么为了确保内在体系的协调性,也要吸纳用户的资金偿还请求权。《电子商务法(草案)》(初次审议稿)第32条第1款规定,用户有权主张电子支付服务提供者“返还资金”,以恢复到发生非授权支付前的经济状态。据此,用户可以依照委托合同的财产返还请求权[20],并结合《电子商务法》第57条第2款前段,要求支付机构通过涂销无权扣款、支付现金等方式偿还资金,而且,在偿还资金之外,支付机构因无权扣款造成用户存在其他损失,仍应予以赔偿。
(二)用户的责任分担
⒈ 《德国民法典》的责任分担规则
为了平衡双方利益,基于用户须分担部分非授权支付损失的基本观念,《德国民法典》第675v条根据《支付指令一》的要求规定:倘若用户违反对支付服务提供者的附随义务,支付服务提供者有权对用户主张损害赔偿。损害赔偿具体又可分为限额责任与无限额责任两种。
第一,用户承担限额责任。在2018年德国对支付服务法再改革之前,第675v条将用户的限额责任确定为150欧元,并区分出两种适用情形:第一种情形,遗失有形的支付认证工具,用户无须过错即应该向支付服务提供者赔偿;第二种情形,没有遗失有形的支付认证工具,以用户未履行妥善保管义务为前提。后者指向网上银行与银行卡被复制发生非授权支付等场合[21]。两种情形区别在于,第一种要求用户丧失对原始支付认证工具的占有,第二句无此要求。在2018年的改革后,德国根据《支付指令二》第74条第1款的要求,将用户限额责任之上限下调到50欧元。其目的具体有二:其一,无需裁判者个别计算损害[22],有助于降低诉讼成本,尽快结束当事人间的责任关系。其二,让用户必须分担一定的责任,有助于刺激其更好地保管支付工具[23],避免发生非授权支付。
第二,用户因为过错违反附随义务,须承担无限额责任。承担《德国民法典》第675v条第2款无限额责任的前提在于,用户存在欺诈、故意或重大过失违反妥善保管支付认证工具之义务,造成了支付服务提供者损失。同时,为了刺激支付服务提供者使用更高级的用户认证技术,提供可靠、安全的支付服务[24],立法者还在该条第4款新增了一项免责事由。具言之,假如支付服务提供者没有进行严格的用户身份验证,用户不单可以免除限额责任,还可以免除无限额责任,除非用户存在欺诈意图。
⒉ 《电子商务法》框架下的用户责任分担规则
中国既有裁判实践判定,当用户存在与有过失时,须承担非授权支付的责任。例如,“邦欣案”的裁判者主张,“在受害方对于损失的发生亦存在过错的情况下,应扣减违约方的赔偿额。本案中,邦欣公司对于损失的发生具有过错,应减轻国付宝公司的赔偿责任。对于减轻的数额,本院综合考虑国付宝公司的违约情节,邦欣公司的过错程度,双方对于损害发生的原因力强弱等因素,酌情确定为3万元”。可见,该裁判意见立足于用户向支付机构主张损害赔偿,进而判定用户因为与有过失分担非授权支付的责任。为了避免法律效果过于僵硬[25-26],以及坚持自我责任的原则,《电子商务法》第57条第2款后段也规定了责任分担的规则,“电子支付服务提供者能够证明未经授权的支付是因用户的过错造成的,不承担责任”。该句的理解与适用理应参照《德国民法典》,由“支付服务提供者有权对用户主张损害赔偿”的进路。
本文主张的理据有二:其一,出于非授权支付责任分配的政策考量,旨在敦促各方主动防范非授权支付,从源头上予以阻却。为实现此目的,非授权支付责任分配的具体构造应当能够刺激用户妥善保管支付工具与个人信息。《德国民法典》与中国的裁判实践就用户分担责任的机理而言,存在根本分歧。德国实质主张用户妥善保管支付工具与个人信息,是其附随义务,但在中国,属于不真正义务。两相比较,德国的进路更有利于刺激用户主动防范,从源头上预防非授权支付,降低非授权支付的发生机率。其二,支付机构已经自行承担非授权支付的损失,向用户及时偿还资金,故而用户已经不存在损失,由支付机构向用户主张损害赔偿,才合乎支付机构责任先行承担的规制方向,因此,《电子商务法》第57条第2款后段所体现的责任分担规则可理解为,支付机构向因过错违反附随义务的用户主张损害赔偿请求权。倘若按此规则,“邦欣案”的裁判理由须作出两点重大“转向”:
第一,由邦欣公司向国付宝主张损害赔偿,转变为国付宝基于邦欣公司违反附随义务主张损害赔偿,进而实现责任分担。所谓附随义务是指,为履行给付义务或保护当事人人身或财产上利益,于契约发展过程中基于诚信原则而发生的义务[27]。依据《民法典》第509条第2款,当事人须依合同之性质、目的和交易习惯履行通知、协助、保密等义务。《电子商务法》第57条第1款第1句也有类似规定,“用户应当妥善保管交易密码、电子签名数据等安全工具”。用户的附随义务具体表现为:遵循支付机构的要求,审慎、明确且含义清晰地发出支付指令,以确保付款行为的成功实施;须采取支付机构所认同的安全手段,审慎、妥善地保存账户、密码,避免被他人滥用。如果邦欣公司未妥善保管支付账户的密码,支付机构可依据《电子商务法》第57条第2款后段,向其主张损害赔偿。同时,用户承担损害赔偿责任的过错程度被抬高。虽然,《电子商务法》第57条第2款后段并未沿袭《德国民法典》区分为限额责任与无限额责任。不过,立法者依然优待用户。参与立法者将《电子商务法》第57条第2款后段“用户的过错”进一步抬高至“故意或者重大过失”[4]。换言之,《电子商务法》免除了用户因为重大过失以下过错的损害赔偿责任。该构造足以优待用户。
第二,由判定用户的与有过失,转变为判定支付机构的与有过失。支付机构的与有过失取决于其违反不真正义务,应自行承担损失。概观既有法律规范,支付机构存在下述三种不真正义务:其一根据《网络支付办法》第17条第1句,在操作前、操作中向用户提示风险,根据用户风险等级、日常交易行为等因素,在设定的交易限额内确定交易风险提示额度,并对交易风险提示额度进行动态管理;根据交易场景,向用户提示各种疑似风险交易。其二,根据《非金融支付办法》第33、34条,完善信息系统以保护用户隐私,保护经营者的商业秘密,妥善保管消费者的身份基本信息等。其三,根据《电子商务法》第57条第3款第1句,支付機构应采取措施防止损失扩大。按此,在知悉发生非授权支付或收到用户通知后,支付机构未采取冻结账户、拒绝交易等有效措施,即构成违反减损规则,因此,国付宝就涉案密码重置功能未能履行应尽的注意义务,导致了邦欣公司支付密码泄露,其损害赔偿请求权受到与有过失规则、减损规则的限定。裁判者应根据《民法典》《电子商务法》,综合考虑当事人的过错程度、对于损害发生的原因力强弱等因素,酌情确定支付机构的损害赔偿额。
总言之,根据《电子商务法》第57条第2句,非授权支付的责任分配体现为两个请求权的“对向”关系:用户对支付服务提供者的资金偿还请求权,以实现责任先行承担;支付服务提供者对用户的损害赔偿请求权,以落实责任分担。
五、支付机构间的责任分散
“Apple Pay案”在支付账户型支付机构的基础上,加入了支付网关型支付机构的新变量。加害人盗取了用户的Apple Pay账号,向与该账号绑定的支付宝账户发出支付指令,通过购买游戏点卡的方式实现非授权支付。Apple Pay提供了支付网关型第三方支付,支付宝提供了支付账户型第三方支付,两者均属电子支付服务提供者。哪一方应向用户偿还资金?倘若仍由提供支付账户型的支付宝向用户返还资金,势必造成为Apple Pay承担责任的局面。由此,有必要透过责任分散达到分散支付账户型支付机构风险的目的。
(一)责任分散的原因
责任分散的原因首先在于,即便是因为支付网关型支付机构引致非授权支付,仍应由支付账户型支付机构向用户先行偿还资金。当中的机理有三:其一,用户通常无法识别也不能证明发生非授权支付的原因在于哪一方支付服务提供者,而且,用户也不具备技术手段证明哪一方应当为非授权支付负责。其二,即便支付账户型支付机构对非授权支付没有过错,但其仍然向无权受领资金的第三人支付资金,因而该支付机构对用户的责任并未被免除。其三,支付网关型支付机构并不管理用户的支付账户,无法及时向用户偿还资金,相反,支付账户型支付机构直接管理用户的支付账户,可以及时向用户偿还资金。两相比较,支付账户型支付机构承担损失更有利于落实保护用户的立法政策。以此反观“Apple Pay案”,即便是因为Apple Pay賬号被盗取而发生非授权支付,提供支付账户的支付宝仍应承担非授权支付的损失,应向用户及时偿还资金。
上述理由也合乎《德国民法典》的规范立场。《支付服务指令二》第73条第2款规定,倘若是支付启动服务提供者的原因导致非授权支付,账户管理支付服务提供者仍有义务向用户退还非授权支付的资金总额。该规范立场受到了诸多质疑:支付启动服务提供者是由用户选择,却要账户管理支付服务提供者为其承担风险,有违正义[27]。但是,与其说欧盟追求合乎常理的法律结构,毋宁说,是出于优待用户的法政策考量才规定账户管理支付服务提供者承担单独责任,而且,由账户管理支付服务提供者向用户偿还资金,也避免了用户向欧盟境外的支付启动服务提供者追责的困难。所以,德国新增的《德国民法典》第675u条第5句明确规定,如果非授权支付是由支付启动服务提供者启动的,仍由账户管理支付服务提供者向用户偿还资金。反观中国的法律适用,由于支付账户型支付机构已经承担先行偿还资金的重责,为避免风险累积影响其经营意愿,授予其向支付网关型支付机构的追偿权即属当务之急。
责任分散的缘由还在于,现行法未规定追偿权的依据与法律结构。既有部门规章着眼于银行向支付网关型支付机构的追偿权,强制要求两者必须达成内部追偿协议。例如,《电子支付指引(第一号)》第42条第2款,“因第三方服务机构的原因造成客户损失的,银行应予赔偿,再根据与第三方服务机构的协议进行追偿”。再如,《中国银监会、中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》第七条与之类似,“商业银行在与第三方支付机构签订业务合作协议时,应就非商业银行直接进行客户身份认证的批量扣款或电子支付,与第三方支付机构就赔付责任达成一致”。但是,前述规定均无法适用于“Apple Pay案”。因为Apple Pay划拨的支付宝属于支付账户型支付机构,而不是银行。所以,已经先行承担责任的支付宝,可能会因为与Apple Pay间缺乏追偿协议,无法分散责任。巨大规制漏洞由此凸显。
(二)《德国民法典》的责任分散规则
在2018年的再改革中,德国修订了《德国民法典》第676a条第1款。该款阐明账户管理支付服务提供者在对用户偿还资金后,可以通过向其他支付服务提供者、支付启动服务提供者、中介处理人主张损害赔偿,以实现追偿。换言之,账户管理支付服务提供者被授予了向其他主体的法定追偿权。该法定追偿权由两点构成:其一,倘若是在其他主体责任范围内发生非授权支付,先行偿还资金的账户管理支付服务提供者可行使法定追偿权,无论该主体是否存在过错[28]。其二,单就支付启动服务提供者而言,其对责任范围内发生的非授权支付,须举证证明获得授权等各项责任排除事由。
可见,上述法定追偿权的实益有二:其一,支付启动服务提供者被纳入了追偿权的适用范围,大大分散了账户管理支付服务提供者的经营风险。其二,鉴于该追偿权不以支付启动服务提供者的过错为前提,并采取了举证责任倒置,更有利于落实风险分散。
(三)责任分散的法律结构
本文主张,理应按照上述德国的追偿结构,授予支付账户型支付机构对支付网关型支付机构的追偿权。不过,为兼顾法律体系的稳定性,须在近期、远期分别采取不同举措。
在近期,用户对支付账户型支付机构的债权转让,可以作为追偿权的依据。以“Apple Pay案”为例,Apple Pay与用户也存在支付委托合同[4],负有保障用户安全的附随义务。倘若Apple Pay设定的网络支付身份认证方式、使用的网络支付系统、设备等存在安全漏洞,导致用户支付账户发生非授权支付,用户依然有权向存在过错的Apple Pay主张违反附随义务的损害赔偿请求权。如果用户并未向Apple Pay主张权利,而是要求提供支付账户的支付宝偿还资金,即表示了向支付宝转让对Apple Pay损害赔偿请求权的意思。支付宝在向用户偿还资金后,即受让了用户的请求权(《民法典》第545条),依此向Apple Pay追偿。同理,盗领他人银行存款,即属故意以悖于善良风俗之方法加害于他人。该种利益状况与加害人造成支付账户的非授权支付并无不同,均是加害人通过技术手段谎称是真实的用户,故而应当等同视之。支付宝也可通过受让用户对加害人的恶意背俗损害赔偿请求权,向加害人实现最终的追偿。
在远期,应当授予支付账户型支付机构法定追偿权。以债权转让作为追偿权的依据,其不足在于,支付账户型支付机构必须举证证明支付网关型支付机构与加害人存在过错,妨碍了责任分散功能的落实,因此,授予支付账户型支付机构法定追偿权具有不可替代性。下述两条进路,择一选定即可:其一,修订《电子支付指引(第一号)》第42条第2款,扩张其适用范围,强制要求支付账户型支付机构与支付网关型支付机构达成追偿的内部协议。其二,参照《德国民法典》第676a条第1款,授予支付账户型支付机构对支付网关型支付机构的法定追偿权,并由后者证明具有免责事由。
六、结论与建议
本文围绕《电子商务法》第57条,以格式合同文本、法律规范、交易实践为素材,论述了支付账户型第三方支付所涉的法律关系,指明了非授权支付责任,进而得出两项结论:
第一,在法律关系层面,支付账户型支付机构与付款人间存在电子货币发行关系与基于支付委托合同的资金关系,而支付机构与付款人间存在基于支付委托合同的托收关系。
第二,在非授权支付责任层面,支付账户型支付机构应当按照严格责任,通过向用户偿还资金等方式,先行承担责任;根据用户是否存在过错,由支付机构向用户主张违反附随义务的损害赔偿,以实现责任分担;支付账户型支付机构还可以向其他支付机构及加害人追偿。
另外,为实现法律体系内部的协调性,本文提出下述两点建议:
第一,为释除公众的疑惑,《网络支付办法》第7条应修订为:“支付账户所记录的资金余额不同于客户本人的银行存款,不受《存款保险条例》保护。支付机构不得根据资金余额向客户发放利息”。《非金融支付办法》第24条也须作出相应修订。
第二,为降低支付账户型支付机构的追偿标准,或是修订《电子支付指引(第一号)》第42条第2款,强制要求支付账户型支付机构与支付网关型支付机构达成追偿的内部协议,或是立法授予支付账户型支付机构对支付网关型支付机构的法定追偿权,并由后者证明具有免责事由。
人类共同体的知识总量,向来是普适性知识与地方性经验的合力结果。德国关于非授权支付的责任分配规则,在“金融安全与支付便捷”“倾斜保护用户与激励当事人主动防范”“维持法律体系的稳定性与落实法政策”这三对相反立场间,均获得了精妙的平衡,可以作为可推广的普适性知识。鉴于中国互联网事业的世界前沿地位,以《电子商务法》第57条为准则,植根于法律实践的“中国方案”可以为非授权支付责任分配,提供有益的地方性经验。普适性知识与地方性经验的交流、互动,共同扩展了人类的认知范围。
参考文献:
[1] 杨松,郭金良.第三方支付机构跨境电子支付服务监管的法律问题[J].法学,2015,(3):95-105.
[2] 励跃.中国支付体系[M] .北京:中国金融出版社,2017.84-87.
[3] 央视调查.苹果iPhone手机用户遭盗刷 均为免密[EB/OL]. https://www.guancha.cn/economy/2018_10_12_475228.shtml,2021-01-13.
[4] 电子商务法起草组.中华人民共和国电子商务法条文释义[M].北京:法律出版社,2018.183-187.
[5] Spindler, G.,Zahrte,K.Zum Entwurf für Eine ?berarbeitung der Zahlungsdiensterichtlinie (PSD II)[J]. Bank-und Kapitalmarktrecht,2014,14(7):265-271.
[6] Omlor,S.E-Geld im Reformierten Zahlungsdiensterecht[J]. Zeitschrift für Wirtschaftsrecht,2017,27(9):1836-1842.
[7] 彭冰.銀行卡非授权交易中的损失分担机制[J].社会科学,2013,(11):86-96.
[8] 黎四奇.二维码扫码支付法律问题解构[J].中国法学,2018,(3):110-131.
[9] Hoenike, M.,Szodruch, A.Rechtsrahmen Innovativer Zahlungssysteme für Multimediadienste[J]. Multimedia und Recht, 2006,9(8):519-526.
[10] Leible, S.,Sosnitza ,O.Versteigerung im Internet [M]. Heidelberg:Verl. Recht und Wirtschaft, 2004.Rn.440-442.
[11] Kokemoor,A.Aufsichtsrechtliche Rahmenbedingungen für die Vertragsgestaltung bei der Ausgabe und Verwaltung von Elektronischem Geld[J]. Bank- und Kapitalmarktrecht,2003,3(21):859-867.
[12] 王泽鉴.不当得利 [M].北京:北京大学出版社,2015.211-215.
[13] 杨立新.电子商务交易中电子支付服务损害赔偿责任及其规则[J].中州学刊,2019,(2):45-56.
[14] Casper, M.§675 f.[A]. Henssler,M.Münchener Kommentar zur BGB [C]. München::C.H.Beck, 2012.Rn.1-8.
[15] 李建星.加速到期条款之内容规制[J].暨南学报(哲学社会科学版),2020,(9):118-132.
[16] 崔建远.合同法[M].北京:北京大学出版社,2016.622-624.
[17] 李建星,施越.电子支付中的四方关系及其规范架构[J].浙江社会科学,2017,(11):52-60.
[18] Harman,D.Neue Instrumente des Zahlungsverkehrs:PayPal & Co. [J]. Bank-und Kapitalmarktrecht,2018,18(11):457-465.
[19] 王洪亮.债法总论[M].北京:北京大学出版社,2016.245-248.
[20] 李建星.互联网非授权支付的责任分担规则[J].法律科学,2020,(4):84-99.
[21] Scheibengruber, C.Zur Zul?ssigkeit und Sinnhaftigkeit der Verlagerung des Missbrauchsrisikos bei Zahlungsdiensten auf die Nutzer [J]. Bank- und Kapitalmarktrecht,2010,10(1):15-21.
[22] Hofmann, C.Das Neue Haftungsrecht im Zahlungsverkehr [J]. Bank- und Kapitalmarktrecht,2018,18(2):62-69.
[23] Grundmann, S.Zahlungsgesch?ft[A].Canaris,C.Staub HGB Kommentar Band10/2[C]. München:de Gruyter,2012.Rn.430-440.
[24] Omlor,S.Online-Banking Unter Geltung der Zweiten Zahlungsdiensterichtlinie (PSD II) [J]. Bank-und Kapitalmarktrecht 2019,19(3):105-114.
[25] 解亘.冒领存款纠纷背后的法理[J].浙江社会科学,2013,(2):80-86.
[26] 王泽鉴.民法学说与判例研究[M].北京:北京大学出版社,2016.375-379.
[27] Terlau,M.Die Zweite Zahlungsdienstrichtline[J]. Zeitschrift für Bankrecht und Bankwirtschaft,2016,18(2):122-136.
[28] Omlor, S. §676a.[A]. Rieble,J.Staudingers Kommentar zur BGB[C].Berlin:de Gruyter, 2017. Rn.5-9.
Unauthorized Payment Responsibility for Account-Based Third-Party Payment:Taking German Payment Service Related Laws as Reference
LI Jian-xing
(School of Law,East China Normal University,Shanghai 200333,China)
Abstract:In order to actively face the changes in market structure and transaction methods brought about by the development of Internet technology and electronic payment, Germany's payment service law reform has established rules for sharing responsibility for unauthorized payments based on preferential treatment of users. This experience is based on the normative system of the "German Civil Code" and also balances the interests of payment service providers and users. This approach is consistent with China′s newly implemented "Civil Code" through the promotion of legal digital currency to promote the guidance of the digital economy, and it is worth learning from China. For payment account-based third-party payment, there is an electronic currency issuance relationship between the payment institution and the payer, as well as the financial relationship based on the payment commission contract and the collection relationship based on the payment commission contract. In the case of unauthorized payment, the payment account-type payment institution shall first repay the user′s funds in accordance with strict liability, and then based on whether the user is at fault, "reversely" claim damages for breach of collateral obligations. Payment account-type payment institutions shall obtain statutory recourse and seek reimbursement from other payment institutions and the perpetrator. Article 7 of the "Administrative Measures for Online Payment Services of Non-bank Payment Institutions" advocates the establishment of electronic currency consumer custody contracts between payment institutions and payers. This provision is contrary to the Civil Code and the principles of civil law. In order to achieve the coordination of the legal system, the aforementioned provisions should delete the phrase "the value of prepayments entrusted by the customer to the custody of the payment institution and the ownership of which is vested in the customer".
Key words:payment commission contract; unauthorized payment; payment institution; payment account; electronic money; third-party payment
(責任编辑:邓菁)
