论移动支付方式下未授权支付的民事法律责任

张敏



论移动支付方式下未授权支付的民事法律责任

张敏

[摘要]作为电子支付重要方式的移动支付在改变了人们生活消费方式的同时，也带来了不安全的隐患，个人信息丢失、未授权支付的发生不仅损害了消费者的信息安全与资金安全，也极不利于移动支付产业链的健康持续发展。文章在分析移动支付过程的基础上，分析了移动支付方式下各主体间的法律关系，移动支付方式下未授权支付的归责原则、责任主体及责任方式，以期为支付人的信息安全与资金安全提供法律保障。

[关键词]移动支付；信息安全；归责原则；责任主体

信息技术的发展不仅仅改变了人们的工作习惯，也改变了人们的生活消费习惯，3G、4G以及智能手机从产生到普及的过程同样也是移动支付方式从产生到普及的过程。目前手机、PDA（掌上电脑即Personal Digital Assistant）等移动设备支付已成为现金、支票和信用卡三种传统支付方式之外的最为重要的新兴支付方式。移动支付随时、随地、方便和快捷的诸多特点正是它正越来越广泛地应用于人们日常生活中的重要原因。2012年6月21日中国移动与中国银联签署了移动支付业务合作协议，移动支付进入了两大巨头联手推动支付标准的大一统时代[1]。之后，移动支付产业发展强劲，2013年同比增长超过800%，2014年移动支付厂商推广微信红包、打车补贴、互联网理财等移动支付方式，使得移动支付成为大众更加易于采纳、接受并使用的支付方式。同时支付的主体以不限于银行和支付公司，已经逐渐扩展到电商、手机制造商以及物流公司，移动支付主体的多样化和支付的普遍性也对移动支付提出了安全要求[2]。

据易观智库调查，移动支付的安全隐患包括病毒、木马、钓鱼网站以及手机被盗、账户密码失窃等内部风险，和手机原生系统存在安全漏洞、厂商定制系统更新、维护和升级困难、软件或网站自身漏洞等外部风险，体现为盗版支付软件窃取用户名和密码、恶意二维码和钓鱼网站资金诈骗、欺诈短信、虚假WIFI网络、木马病毒窃取支付短信验证码及密码等风险形式[2]。基于移动支付开放性、包容性和匿名性的特征，支付过程复杂并涉及诸多责任主体，移动支付的安全更加无法保证，移动支付方式下未经授权支付的情况不但时有发生并且愈演愈烈。目前，移动支付作为电子支付的一种重要方式也成为理论界研究的热点问题，研究重点则集中于电子支付的概念与分类、电子支付使用行为意愿的实证研究、国内外关于电子支付的应用实践三方面[3]，对未授权支付情况下民事法律责任的归责原则、责任主体、责任内容等问题却鲜有研究。民事法律责任的承担是移动支付过程中的信息安全与付款人的资金安全的保证，也是推动移动支付业务健康持续发展的保证，这一问题的研究对于移动支付的理论研究与实践应用都有着重要的意义。

一、移动支付方式下的法律关系

（一）相关概念的界定

关于移动支付的界定，目前通行的是中国人民银行于2005年颁布的《电子支付指引(第一号)》①中国人民银行于2005年颁布的《电子支付指引(第一号)》指出，移动支付是指单位、个人直接或授权他人通过移动通信终端或设备(如手机、掌上电脑)发出支付指令，实现货币支付与资金转移的行为。的界定和中国银联②中国银联认为，移动支付是指用户使用移动手持设备，通过无线网络(包括移动通信网络和广域网)购买实体或者虚拟物品以及各种服务的一种新型支付方式。的界定，这两种界定明确了移动支付的主要特征：移动支付主体为单位或者个人；移动支付方式是通过移动通信终端或设备发出支付指令实现的；移动支付的目的是购买产品或者服务。据我国学者研究，我国目前主要存在移动运营商模式、银行模式、第三方支付模式、银行与运营商合作模式等四种手机支付模式[4]。笔者认为，移动支付有广义和狭义之分，广义的移动支付就是通过手机、PDA或笔记本电脑等来做付款的行为，就是以移动装置作为付款工具；而狭义的移动支付单指使用手机这种移动通信设备付款的行为。本文仅限于狭义的移动支付，即以手机为终端的手机支付。手机支付是以移动通信网络作为支付的工具和手段，将移动网络与金融系统相结合而为用户提供商品交易服务、缴费服务、银行帐号管理服务等多项金融服务，并通过手机短信通知、互动式语音应答、无线应用协议等形式实现银行转账、缴费和购物，完成商品交易。

对于移动支付中未授权支付，我国与移动支付相关的《电子签名法》《电子支付指引》和《非金融机构支付服务管理办法》并未对移动支付中未授权支付做出详细规定。美国在《电子资金划拨法》中规定“未授权的电子支付”是指“由消费者以外的未获发动支付指令实际授权的人所发动的，从该消费者账户划出资金而该消费者并未从该支付中受益的电子支付”。移动支付方式下未经授权支付是指实际支付人在未取得消费者授权的情况下将资金从消费者账户转出，而消费者对此拒绝追认。实践中则表现为支付工具密码丢失、被盗、黑客侵入盗用密码等情形，实际支付人以消费者的名义进行支付。也就是说，未授权支付发生在消费者个人信息泄露、被盗的情况下，按照未授权支付发生的时间，可分为二种情况：一是进入消费程序前，消费者信息泄露或被盗，导致实际支付人以消费者的名义完成消费过程、划出资金；二是消费者自行进入消费程序，但在消费过程九个步骤中的某个步骤信息泄露或被盗，后续过程由实际支付人操作完成，而消费者本人并不知情。

（二）移动支付过程及相关法律关系

关于移动支付的过程，我国学者均认为需经过以下九个步骤：（1）.消费者向商家发出购买请求；（2）.商家向支付平台发出收费请求；（3）.支付平台向第三方信用机构发出认证请求；（4）.第三方信用机构向支付平台发送认证结果；（5）.支付平台向消费者发出授权请求；（6）.消费者对支付平台授权；（7）.支付平台完成对消费者的收费；（8）.支付平台向消费者发送支付完成信息；（9）.商家向消费者交付商品[5]。具体过程详见下图③移动支付的步骤通常如下：（1）消费者向商家发出购买请求。消费者对拟购买的商品查询确定后通过移动通信设备将购买请求发送给商家。（2）商家向支付平台发出收费请求。商家在接收到消费者的购买请求之后，向支付平台发送收费请求。支付平台将消费者账号和本次交易序列号生成一个具有唯一性的序列号。（3）支付平台向第三方信用机构发出认证请求。支付平台把消费者和商家的账号信息发送给第三方信用机构，第三方信用机构对上述账号信息进行认证。（4）第三方信用机构向支付平台发送认证结果。第三方信用机构认证后将认证结果发送给支付平台。（5）支付平台向消费者发出授权请求。支付平台在收到第三方信用机构的认证结果后，如账号通过认证，支付平台商品或服务的种类、价格等把交易的详细信息发送给消费者，请求消费者对支付行为授权。如果账号未能通过认证，支付平台将认证结果发送给消费者和商家并取消本次交易。（6）消费者对支付平台授权。消费者核对交易信息无误之后，经授权信息发送给支付平台。（7）支付平台完成对消费者的收费。支付平台得到了消费者授权支付的信息之后，完成消费者账户和商家账户之间的转账，并将转账信息发送给商业机构、通知商家向消费者交付商品。（8）支付平台向消费者发送支付完成信息。支付平台将支付完成信息发送给消费者，并以此作为支付凭证。（9）商家向消费者交付商品。商家收到收费成功的信息后，将商品交付给消费者。。

图1　转移支付步骤图

通过上述过程可以看出，参与移动支付的主体包括消费者、商家、移动运营商、认证机构及支付平台、银行。支付过程中，消费者和商家作为买卖双方在整个过程中起着核心和主导作用，移动运营商、银行、认证机构及支付平台都是为消费者和商家的买卖行为服务并辅助完成买卖行为的。按照商法理论，消费者和商家的行为是第一种商，移动运营商、银行、认证机构及支付平台作为商中间人的行为是第二种商，因而分析移动支付中的法律关系也应从消费者与商家的买卖行为为中心进行考察。移动支付中存在以下二种法律关系：

第一，买卖合同法律关系。移动支付中首先是消费者和商家之间的买卖合同法律关系，这是移动支付的基础和前提条件，也是移动支付的核心和实现目的，移动支付中所有的其他行为都是围绕买卖合同展开的，也是以买卖合同的履行作为行为目的。

第二，服务合同法律关系。移动运营商、银行、认证机构及支付平台虽然都是为买卖行为服务的，但根据提供服务的对象不同可分为单向服务合同法律关系和双向服务合同法律关系二类：一是单向服务合同法律关系。移动支付中移动运营商和银行是单向为消费者提供服务的，他们分别与消费者之间存在服务合同关系，即移动运营商与消费者之间的移动通讯服务合同关系，银行与消费者之间的金融服务合同关系。二是双向服务合同法律关系。移动支付中认证机构和支付平台则是为消费者和商家双方提供服务的，认证机构是对消费者信息进行认证并为双方提供认证服务的，因而认证机构与消费者和商家之间分别存在认证服务合同法律关系；支付平台是运营商为辅助消费者和商家完成移动支付过程而设置的平台，负责整合移动运营商和银行等各方资源并协调各方关系，同时传递各种授权请求、消费者账户信息和交易记录并负责支付结算。支付平台与消费者和商家之间分别存在认证服务合同法律关系、支付结算服务合同关系。

二、移动支付方式下未授权支付的归责原则

未经授权的移动支付情况下资金未经消费者授权而被划出是明显的侵犯消费者财产权的行为，实际支付人毫无疑问应承担侵权责任，情节严重的情况下还应承担刑事责任，但只有少数情况下消费者及时发现并通知商家、支付平台、第三方信用机构等移动支付参与主体停止消费过程并追回款项，大多数情况是无法查到实际支付人、已划出的款项也无法追回，在这种情况下要确定消费者的损失究竟由消费者、商家、支付平台、第三方信用机构哪一个承担或共同承担，则应首先确定移动支付方式下未授权支付的归责原则。

（一）我国法律确定的民事法律责任归责原则

在民法体系中，违约责任的归责原则通常包括过错责任原则和无过错责任原则，侵权责任的归责原则还包括推定过错责任、公平责任原则，但在具体司法实践中往往存在着归责原则并用的情况。大陆法系的《法国民法典》第114条与《德国民法典》第275条确立了过错原则是最主要的民事责任原则。英美法系采取严格责任，如美国《合同法重述》第2版第260条（2）项中的规定。在我国，《合同法》确定的归责原则也是以过错责任为主、无过错责任为辅的复合归责原则[6]。过错责任原则主要适用于缔约过失责任、预期违约责任、合同无效责任中的损害赔偿责任、加害给付责任、损害赔偿的违约责任，包括实际违约责任中的一般损害赔偿和惩罚性赔偿责任及之后契约责任。无过错责任归责原则仅适用于无效合同责任中的返还财产和适当补偿责任，违约责任的继续履行、采取补救措施以及违约金责任。

（二）移动支付方式下未授权支付的归责原则

关于移动支付方式下未授权支付的归责原则，我国合同法并无明确规定，与移动支付相关的《电子签名法》和《电子支付指引》也未对移动支付中未授权支付等归责原则做出规定。笔者认为，移动支付方式下未授权支付的情况下应适用“以过错推定原则为主，无过错责任原则为辅”的归责原则。原因如下：

1.移动支付过程中，消费者的个人信息及购买请求在移动运营商、银行、认证机构及支付平台之间传递以完成移动支付所需的各个步骤，消费者与移动运营商、银行、认证机构及支付平台之间也分别存在着合同关系，移动运营商、银行、认证机构及支付平台有义务保证消费者的个人信息安全，如果发生消费者信息泄露，则由上述各机构自己承担举证责任，证明自己已经履行了保证消费者信息安全的义务，否则应向消费者承担相应的民事法律责任。另外，对于消费者也应适用推定过错责任，消费者如不能证明自己已尽了充分的注意义务并采取措施保护自己的个人信息，应自行承担责任。

2.相对于移动运营商、银行、认证机构及支付平台，消费者无论在信息掌握、技术安全、经济能力，还是在举证责任的能力上都处于弱势地位，在移动支付方式下发生未授权支付的情况，消费者要证明是哪一个机构未能履行信息安全义务致使信息泄露，是根本不可能的，推定过错责任确定了移动运营商、银行、认证机构及支付平台的举证责任，将更有利于保证消费者的资金安全。

3.在消费者与移动运营商、银行、认证机构及支付平台均能证明自己无过错的情况下，则应对移动运营商、银行、认证机构及支付平台适用无过错责任，由各机构共同向消费者承担责任。从风险防范的能力与信息安全保证的角度来看，各机构具有比消费者绝对强大的预见能力、风险防范能力以及损害补救的能力，对各机构适用无过错责任，能够督促各机构积极改进自身的信息安全技术，设备方面配备相应的计算机信息网络、装备，人员方面配备相应技术人员和管理人员，同时管理方面健全安全保密管理制度及相应的技术保护措施，这将更加有力于保证消费者信息安全、推动移动支付产业的健康持续发展。

三、移动支付方式下未经授权支付的责任主体

在分析了移动支付中未授权支付的归责原则后，责任主体问题也浮现出了水面。在移动支付方式下的未授权支付情况，消费者与移动运营商、银行、认证机构及支付平台之间都有可能成为责任的承担主体。

（一）消费者是责任主体

如因消费者自身原因致使其个人信息泄露而导致在移动支付中发生未授权支付的情况消费者应当自己承当责任。在交易之前，消费者与支付平台，也就是银行和移动运营商已达成协议，通过安全程序保证以消费者的名义发送给银行的支付命令的真实性。如果进入消费程序前或消费程序进行中，由于消费者个人原因导致信息泄露或被盗，使得实际支付人能够顺利通过安全程序并划走消费者的资金，消费者应当对自己个人信息泄露的行为负责并自行承担相应的损失。

（二）移动运营商、银行、认证机构、支付平台中的一个或几个是责任主体

如果在交易过程中，移动运营商、银行、认证机构、支付平台中的一个或几个没有使用合理的、必要的、充分的安全技术与程序，或者是已经使用了安全技术与程序，但在交易过程中被破坏了，导致了消费者的信息泄露，产生了未授权支付的情况，按照过错推定原则，哪一个或哪几个机构不能够证明其使用了必要充分的安全技术与程序，而且安全技术与程序没有被侵害破坏，这个或这几个机构应对消费者承担相应的法律责任。

（三）移动运营商、银行、认证机构、支付平台共同承担连带法律责任

在发生移动支付方式下的未授权支付情况后，如果消费者能够证明自己无过错，移动运营商、银行、认证机构、支付平台各机构也能证明自己无过错，那么由谁来对消费者的损失承担责任呢？这种情况下应适用无过错责任，由各机构共同对消费者承担连带法律责任，消费者可以选择其中任何一个或几个机构要求其赔偿全部损失。如能够查到是哪一个或几个机构导致信息泄露，则由这一个或几个机构承担全部责任，如无法查清，各机构之间则应平均分担责任，已经向消费者承担责任的机构可以向其他机构追偿。

四、移动支付方式下未经授权支付的责任方式

我国民法规定的民事责任方式共有十种，违约责任主要是财产责任，有强制实际履行、支付违约金、赔偿损失等等，在移动支付方式下的未授权支付情况下，其责任方式主要是赔偿损失。

（一）移动支付方式下未经授权支付的责任方式——赔偿损失

根据《合同法》第107条①《合同法》第107条规定，“当事人一方不履行合同义务或者履行合同义务不符合约定的，应当承担继续履行、采取补救措施或者赔偿损失等违约责任。”的规定，在移动支付方式下未授权支付的情况下，强制实际履行对于消费者已产生的损失而言并无任何益处，对消费者而言，未授权支付造成的是财产损失，以财产责任作为承担责任的方式应是最有效的责任方式。

支付违约金这一责任形式的前提条件是双方存在合同关系、一方违约，违约方按照合同的约定向守约方支付违约金。但在移动支付方式下未授权支付的情况下，虽然消费者与移动运营商、银行、认证机构及支付平台等主体将都存在着合同法律关系，但可能并无书面的合同，或者有书面的合同但对违约行为和违约金的比例数额等问题并未约定，更可能移动运营商、银行、认证机构及支付平台等主体在整个过程中并无违约行为，如以此要求支付违约金确有困难。

在移动支付方式下未授权支付的情况下，对于消费者的损失，采用赔偿损失的责任方式则是最为有效并便于实行的责任方式。一方面，消费者的损失是财产损失，以赔偿损失的方式是使消费者的财产回复到原来状态的便捷有效的方式；另一方，消费者的损失是确定的数额，采用赔偿损失的责任形式，赔偿数额便于准确无误地计算和确定，避免双方之间不必要的争议，使消费者尽快实现损失填补的目的。

（二）移动支付方式下未经授权支付的损失赔偿范围

对于消费者的损失范围，是仅以从消费者账户划走的资金本金为限，还是包括相应的利息？按照我国合同法第113条①《合同法》第113条规定：“当事人一方不履行合同义务或者履行合同义务不符合约定，给对方造成损失的，损失赔偿额应当相当于因违约所造成的损失，包括合同履行后可以获得的利益，但不得超过违反合同一方订立合同时预见到或者应当预见到的因违反合同可能造成的损失。”规定，消费者的损失范围除本金外，还应当包括消费者与各机构确定合同关系时预见到等可得利益，但实际上，消费者通过移动支付的方式是为了购买商品，除此之外并无其他可得利益，因而消费者的损失范围应以本金为限。

另外，按照我国《合同法》第119条②《合同法》第119条规定：“当事人一方违约后，对方应当采取适当措施防止损失的扩大；没有采取适当措施致使损失扩大的，不得就扩大的损失要求赔偿。当事人因防止损失扩大而支出的合理费用，由违约方承担。”规定，在移动支付方式下未授权支付的情况下，无论是消费者，还是移动运营商、银行、认证机构、支付平台，如发现消费者信息泄露、存在未授权支付等情况下，都应及时通知其他各方并采取补救措施，避免损失的发生、扩大，避免消费者信息继续泄露。如消费者在发现信息泄露、未授权支付的情况下未能及时采取措施或未能及时通知其他机构，则无权要求就扩大等损失进行赔偿。但如消费者采取了相应的措施，则可以要求其他机构承担合理的费用。

[参考文献]

[1]中国移动联姻中国银联移动支付标准大一统时代来临[EB/OL].http://money.163.com/12/0622/08/84JCRKC-800253B0H.html，2015-05-31.

[2]易观分析：移动支付安全需求增长迅速将成手机安全软件重点发力方向[EB/OL].http://www.analysys.cn/yjgd/ 4786.shtml，2015-05-31.

[3]王一涵，芦文娟.国内外电子支付研究述评[J].经营与管理，2014，（11）.

[4]郝慧丽.移动支付的法律风险及其监管对策[J].电子商务，2014，（18）.

[5]王荣庆.浅析移动支付[J].科技论坛，2005，（10）.

[6]房绍坤.违约损害赔偿.民商法问题研究与适用[EB/OL]. http://www.lawbook.com.cn/flsz/sz_view.asp?no =1128，2015-05-31.

[责任编辑：刘烜显]

[基金项目]司法部2015年度国家法治与法学理论研究项目（15SFB5033）；西安市科技局2015年软科学项目[SF1501-(3)]

[中图分类号]D923.8

[文献标识码]A

[文章编号]1004- 4434(2016)03- 0089 -05

[作者简介]张敏，西北工业大学人文与经法学院副教授，硕士，陕西西安710072