【引言】
2014年3月24日,中国工商银行回应其调低支付宝“快捷支付”限额一事,并指出自2011年开始快捷支付一直处于“违法”状态,而银行为此承担了相关法律风险。对此,马云在其微博上发文声援支付宝,支付宝员工也发布长微博进行反驳。本文从法律角度对“快捷支付”的法律本质、“快捷支付”各参与方权利义务关系进及其可能引发的相关风险进行了初步分析。
一、“快捷支付”法律本质及各方权利义务
1、“快捷支付”的法律本质
所谓“快捷支付”,是指将用户1的银行卡账户同支付宝账户进行关联的一项服务。关联后,用户仅需使用支付宝账户即可完成交易支付,支付资金从用户的银行卡账户中扣除的一项服务功能。因该功能操作便捷,省去了支付时跳转网银支付页面、使用U盾或密码器等步骤,获得了较多人使用。
“快捷支付”功能需用户自行通过支付宝申请开通,申请方式为:用户在其支付宝账户中添加“银行卡”后或直接点击“开通快捷支付”按钮,选择发卡行,填入“姓名”、“证件及号码”、“银行卡卡号”、“手机号码”及用该手机获得的校验码,接下来点击“同意协议并开通”即可使用“快捷支付”功能。用户所同意的协议即为支付宝事先拟定的《支付宝快捷支付服务协议》。以工商银行与支付宝的“快捷支付”为例,各参与方之间的关系如图1所示。
2、用户与银行间的法律关系与权利义务
用户与银行之间的关系主要是在存款的基础上,因电子银行服务业务而形成的电子银行服务合同关系。银行在与用户签订电子银行服务相关协议后,应当按照约定的方式及用户发出的指令完成相应的资金操作。在此过程中,银行还负有验证用户身份的义务,即采取约定方式验证资金操作的指令发出者为用户本人或经用户合法授权的人。所谓“经用户合法授权”,是指用户应当使银行知晓其对第三方机构进行资金划扣的授权是用户本人所为。这种“使银行知晓”的方式可以是用户与银行当面签订相关文件,或通过用户与银行事先约定的身份认证方式进行身份验证。同时,对于每次用户或用户授权的第三方机构向银行发出资金操作指令,银行依然负有义务按照与用户约定的身份验证方式来验证其身份。
3、用户与支付宝间的法律关系与权利义务
用户开通并使用支付宝“快捷支付”功能,主要基于其与支付宝公司之间的《支付宝快捷支付服务协议》。根据该协议,支付宝有权根据客户的指令委托银行或第三方从银行卡中划扣资金给收款人。该协议明确规定,客户授权支付宝有权留存其在支付宝网站填写的相应信息,并授权支付宝查询该银行卡信息,包括且不限于借记卡余额、信用卡账单等内容。由此可以看出,“快捷支付”实则为支付宝公司根据用户的授权及委托,代用户从其银行卡中划扣资金的一项服务,在此过程中,用户与支付宝公司的法律关系为授权委托关系。支付宝公司除拥有上述权利外,还应当负有验证用户身份信息、保障用户账户安全、按照用户指令进行相关资金操作等义务。
二、用户资金被盗的风险承担
根据上文所述,用户在使用“快捷支付”进行支付时,其过程是用户委托支付宝向其银行卡所属银行发送资金划扣指令,银行根据该指令进行相应的资金划扣操作(详见上图)。因此,若用户的资金在“快捷支付”的过程中被盗,要具体区分不同环节的各方过错来划定责任。
银行对用户资金的划扣依据必须是用户或经用户授权的第三方所机构发出的指令。那么,银行对用户身份的认证,以及对用户授权第三方机构有效性的认证,成为了关键。根据《中国工商银行电子银行章程》的规定,中国工商银行根据电子银行业务类型的不同,提供一种或多种认证方式供客户选择。该章程与《中国工商银行电子银行个人客户服务协议》均规定了按照客户在工商银行设定的身份认证方式通过身份验证的电子银行操作均视为客户本人所为。因此,用户所发出的资金划扣指令必须通过该用户与银行协议约定的身份认证方式进行,如银行卡交易密码、手机动态密验证码等。若用户采取非约定的身份认证方式向银行发出资金支付指令,银行不应准许且有权拒绝相关资金的划扣请求,否则应视为银行违反了其与用户之间的协议约定,应当承担由此引发的风险责任。
1、手机动态验证码交易方式下的风险
用户授权第三方机构进行银行卡资金划扣,其实质为第三方机构代理用户向银行发出相应指令请求。第三方支付机构经授权后进行的每次资金操作时,银行仍然负有义务来按照与用户约定的身份验证方式来自行验证操作者的身份,除非银行与用户另有约定。但目前“快捷支付”的操作流程中,只有支付宝对用户的身份验证环节——即手机动态码验证,并没有银行对用户及支付宝(用户的代理人)身份验证。因此,若因该环节银行未履行身份验证义务而造成了用户账户被盗的情况,则银行可能需要承担相应责任。
2、银行卡交易密码验证方式下的风险承担
若某用户在银行预留的身份认证方式仅为“银行卡交易密码”一种方式,则银行仅能够通过操作人输入的银行卡卡号及密码来识别其的身份为该用户。若银行采取其他方式(如手机动态密码、口令卡等)而非“银行卡交易密码”方式来认定操作人为该用户,则应当承担该用户银行卡资金被盗用的风险责任。同理,用户授权支付宝进行银行卡资金划扣时,银行也应当仅依据操作人通过“银行卡交易密码”方式发出的指令来认定操作者为用户本人,否则应当承担由此引发资金被盗用的风险责任。
3、用户未妥善保管相关身份验证信息的风险承担
对于用户来说,其应当妥善保管相关身份验证信息及设施。如果是因为用户的故意或过失造成其身份验证信息及设施的泄露与遗失,从而导致其资金被盗,那么用户也应当对此承担相应的责任。对此,支付宝及工商银行在与用户签订的的相关协议中均作出了相关约定与风险提示。
4、支付宝赔付风险
支付宝针对“快捷支付”资金被盗推出了赔付服务。当用户未违反相关协议约定且因不能归责于用户的原因,造成银行卡内资金通过“快捷支付”服务出现损失的,用户可向支付宝申请补偿。但根据《支付宝快捷支付服务协议》的规定,用户在此情形下能做的仅为向支付宝发出通知并按要求提供相关的申请材料,具体的赔付方式将由支付宝自行决定,赔付结果也有很大的不确定性。
此外,若支付宝未按照约定的身份认证方式来验证用户身份而导致用户资金被盗,则支付宝需承担相应的责任。此外,针对黑客攻击、不可抗力等因素造成的损害赔偿,《支付宝服务协议》、《中国工商银行电子银行章程》等协议均作出了免责约定。
三、新形势下金融服务的价值平衡
随着科技的发展,金融行业也在不断对其产品和服务进行改进和创新。在互联网技术普及之后,用户对金融服务的便捷性需求有了较大的提升。然而,金融服务的便捷性与安全性始终是相互对立的两方面,在一定程度上呈现出此消彼长的关系。为此,有些金融服务的提供者一味地迎合用户对便捷性的需求,无限制地降低安全性要求,从而引发了安全标准问题;有些金融服务的提供者一味地坚持安全性标准,从而丧失了许多良好的用户体验。这两种做法都是不可取的。在金融服务尤其是互联网金融的创新发展过程中,平衡“便捷”与“安全”的关系,便成为了重要的一个环节。金融服务各方应当不断提升相应的技术、改进相关的制度,做到在提升用户体验的同时,尽可能地降低随之而来的风险。简言之,金融服务的提供方,应当在保证用户资金安全的前提下,不断提升服务的便捷性。否则,金融服务的提供方可能就是舍本逐末了。
免责声明:本文并非我们针对性的专业法律意见,仅供我们的客户和内部员工参考使用。鉴于相关权利义务的分析需依赖于有关工商银行与用户间的合同,我们也尽最大可能进行了检索,能够公开检索到的包括了章程和协议。但如用户和工商银行签署了其他法律文件的,则可能影响我们的结论和判断。因此,如您遇具体纠纷或案例,还应针对性地进行分析和研判。如有需要,敬请与我们联络。
1银行称其服务对象为“客户”,本文中我们把“用户”和“客户”统称为“用户”。
