时间:2024-01-08
作者:广东连越律师事务所
引言
互联网技术为网络经济的繁荣发展提供了强大的支持,移动端交易需求呈现高速增长态势,快捷支付业务应运而生,相比起传统的网上银行支付业务,用户在使用快捷支付业务时仅需在支付平台输入支付密码或关联银行卡即可完成资金划转,这使得快捷支付业务在支付领域具有极大的市场空间,逐渐成为最重要的付款方式之一。但在享受其便利的同时,暴露出了一些风险,因持卡人银行卡被“盗刷”造成持卡人资金损失,也给商业银行带来了合规法律风险;商业银行如何防范、化解快捷支付业务带来的法律风险,本文予以探析。
快捷支付业务概述
快捷支付是指将持卡人的银行卡账户同支付机构账户相关联的一项服务,本质上是一种支付授权,其意在于省去跳转网银支付等的繁琐程序,改善用户体验,提高结算效率。参与快捷支付业务的主体包括持卡人、商户、发卡行、第三方支付机构及网联平台(即网络支付清算平台),持卡人委托支付机构代其发起支付请求后,经网联平台向发卡行端口发送支付指令,发卡行继而根据指令划扣资金、向商户支付款项。因此,发卡行最终执行的是经验证身份的持卡人的支付指令,发卡行与持卡人之间是支付委托合同关系,发卡行与支付机构之间是清算委托合同关系。
快捷支付业务场景银行的合规法律风险
一、银行对持卡人身份验证程度不足给银行带来的法律风险
基于对交易便捷性与效率性的需要,许多银行会在电子银行个人持卡人服务协议中约定:“在本行设定的身份认证方式通过身份验证的电子银行操作均视为持卡人本人所为。”因此,在快捷支付业务场景下,持卡人以输入银行卡交易密码、手机动态验证码或人脸识别等单独或结合的形式,通过了与银行约定的身份认证方式;持卡人再与银行及支付机构分别签订授权协议,授权支付机构代持卡人向银行发出资金扣划指令请求,此后银行不再与持卡人逐笔进行交易确认。不难得出,身份验证方式的强弱与持卡人资金安全息息相关,对于银行潜藏着以下法律风险。
常见的法律风险之一,由于银行验证持卡人身份的方式过于简单,导致银行未能对异常交易行为实施充分的监控与防范。如在(2017)粤01民终17456号案中,法院经审理后认为,尽管建设银行白云路支行认为曾某收到了短信提示,建设银行白云路支行尽到了安全保障义务,但本案实际情形是通过验证的验证码并非曾某回应,在当前高新科技日新月异的情形下,以验证码方式保护结算账户的资金安全也存在风险。按照风险控制原理,对网银的性能、功能、可能的风险的预见以及预先规范加以阻却应是作为以盈利为目的的商事主体的建设银行白云路支行所应尽的职责,现建设银行白云路支行无证据证明其对这种异常交易行为实施了监控,也未能提供涉案电脑交易地点、资金去向及流转等关键事实,不足以判断涉案交易系曾某或其授权他人所为。因此判决建设银行白云路支行对曾某的资金损失承担70%的责任。
常见的法律风险之二,由于第三方支付机构或其他机构以持卡人名义伪造授权协议,导致银行审查不当,违规划扣持卡人资金。在(2015)温鹿商初字第5770号案中,法院认为,农业银行温州分行作为商业银行,应当保障存款人的合法权益不受任何单位和个人的侵犯。若非存款人本人或基于存款人授权,任何单位或个人不得支取存款人账户内款项。本案中,郑某在农业银行温州分行的存款100万元系因农业银行温州分行根据其与广州银联网络支付有限公司所签订的《代收付合作协议》之约定划扣,但无证据证明该笔代扣业务已获得郑某的授权同意。事实上,作为扣款依据的《承诺书》授权扣划内容部分系他人伪造。故而判决农业银行温州分行向郑某偿付存款本金及利息。
根据《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》(以下简称《规定》)第四条,“发卡行、非银行支付机构主张争议交易为持卡人本人交易或者其授权交易的,应当承担举证责任。”因此银行在诉讼过程中如未能举证证明已在交易前有效审核持卡人授权的真实性,则可能导致银行承担赔偿持卡人资金损失的法律风险。
二、银行与持卡人签订的合同条款约定不明或银行未尽到告知义务给银行带来的法律风险
持卡人发生资金损失时,如何判定银行是否尽到安全保障和告知义务,双方签订的合同是否有网络支付功能的相关权利义务约定,以及虽有相关约定,但银行是否尽到告知义务是司法机关认定银行是否应承担法律责任的主要依据。
在(2019)沪民申713号案中,再审申请人冯某认为被申请人民生银行上海普陀支行未告知资金归集扣款无需密码、扣款后不发送资金变动的通知,要求其承担违约责任。被申请人民生银行上海普陀支行答辩称,与申请人签订的《跨行授权支付协议》中已清晰载明相关事项。再审法院经审查后认为,申请人冯某与被申请人民生银行上海普陀支行签订《跨行授权支付协议》,明确约定了资金归集扣款的权利义务,故当他行用户向民生银行发起扣款请求时,民生银行予以扣款有事实与法律依据,驳回了冯某的再审申请。
在(2020)冀01民终8272号案中,上诉人张某认为其没有授权被上诉人建设银行银都花园支行向中信银行转款,建设银行银都花园支行侵犯了其消费者权益,因此诉请判决建设银行银都花园支行承担赔偿责任。建设银行银都支行提供了《微信支付用户服务协议》,证明经上诉人授权同意,在微信余额不足时委托财付通支付科技有限公司直接对上诉人银行账户进行资金扣划和归集操作,建设银行银都支行仅仅依交易指令执行资金扣划。本案焦点为,建设银行银都支行对案涉资金的支出有无过错或瑕疵。法院认为,《微信支付用户服务协议》中明确告知开通微信余额支付以及快捷支付的潜在风险,但上诉人通过一系列的微信操作自愿开通了余额支付与快捷支付的功能,并绑定了案涉建行卡,上诉人以其行为认可并同意财付通支付科技有限公司在其微信零钱不足的情况下,可以扣划绑定银行卡内的相应款项,被上诉人按照上诉人交易指令完成转账交易,符合法律和合同规定,现有证据无法证实被上诉人在交易过程中存在过错,上诉人主张被上诉人实施了侵权行为没有充分依据,其要求被上诉人承担赔偿责任的诉请,法院不予支持。
三、持卡人的个人信息泄露导致银行卡遭盗刷给银行带来的法律风险
商业银行在提供金融产品和服务时获取了持卡人的个人信息,包括个人身份信息、账户信息、金融交易信息等。根据《个人信息保护法》第二十八条规定,上述信息属于持卡人的敏感个人信息,应受到银行的严格保护。快捷支付业务跨终端、跨平台使用的特点决定了该业务场景下的持卡人的个人信息容易存在泄露的安全隐患,且各支付机构信息系统安全保护水平参差不齐,网络上也常有不法分子非法拦截、窃取或攻击信息数据库,加之持卡人交易安全意识不足,银行卡遭盗刷的违法事件时有发生。根据法律规定,发生伪卡盗刷交易或者网络盗刷交易时,发卡行应赔偿持卡人的资金损失。如发卡行举证证明持卡人对银行卡、密码、验证码等身份识别信息、交易验证信息未尽妥善保管义务具有过错,发卡行主张持卡人承担相应责任的,人民法院应予支持。
风险防范及合规建议
一、从完善快捷支付业务授权协议内容的角度
在开通快捷支付服务时,商业银行应与持卡人建立清晰、完整的业务授权,得到持卡人知情并同意的确认性回复,以确保持卡人阅读并知晓了该种业务的规定。发卡行在与持卡人订立银行卡合同或者新增网络支付业务时,应完整告知持卡人身份识别方式、交易验证方式、交易规则等足以影响持卡人决定是否使用网络支付功能的内容,使持卡人全面准确理解该功能。
因此,授权协议中应包括对该服务内容的介绍,银行卡的关联、使用及注销程序,持卡人授权的对象、权限范围与限额,资金余额或透支数额变动的通知方式,用户合法妥善使用快捷支付业务的承诺,各方权利义务,交易风险提示,权益保障及隐私保护,不可抗力、免责及责任限制,信息收集、使用与共享,法律适用及管辖等条款,并对重点条款作特殊突出标识。
另外,当银行对协议内容及相关规则制度进行变更时,若该变更会对已办理该业务的持卡人产生影响,应及时以正确有效的途径告知持卡人,并重新取得持卡人对此的确认。
二、从优化业务流程角度
商业银行在办理签约业务时,应改变只重结果不重过程的现象,规范业务操作,建立完善的风险防范体系,通过识别、评估、控制和监控风险,保障业务操作的稳健性和安全性。
(1)着重审核服务协议的签章信息,确保该快捷支付业务已获得持卡人的授权同意。
(2)交易前应采用双(多)因素审核持卡人身份信息。
(3)改变默认或简单勾选同意的形式,采取适当的网络技术设置,如强制弹窗、自动播放或设置阅读时长的方式,使持卡人充分知悉快捷支付义务模式、流程、风险及各方权利义务。
(4)在内部系统设置风险预警,加强对交易数据的监控和分析,对重复的、大额的或其他异常情形的交易行为采取风险提示等有效的风险管控措施。
(5)以短信、微信、邮件或其他与持卡人协议约定的方式,向持卡人及时推送资金变化情况,以充分履行提醒义务。
(6)加强个人金融信息保护,采取有效的加密技术、身份认证技术、访问控制措施,建立完善的个人金融信息分类分级保护制度,检测监控常态化,实现个人金融信息全流程的生命周期保护。
总结
互联网技术为网络经济的繁荣发展提供了强大的支持,移动端交易需求呈现高速增长态势,快捷支付业务应运而生,相比起传统的网上银行支付业务,用户在使用快捷支付业务时仅需在支付平台输入支付密码或关联银行卡即可完成资金划转,这使得快捷支付业务在支付领域具有极大的市场空间,逐渐成为最重要的付款方式之一。但在享受其便利的同时,暴露出了一些风险,因持卡人银行卡被“盗刷”造成持卡人资金损失,也给商业银行带来了合规法律风险;商业银行如何防范、化解快捷支付业务带来的法律风险,本文予以探析。
快捷支付业务概述
快捷支付是指将持卡人的银行卡账户同支付机构账户相关联的一项服务,本质上是一种支付授权,其意在于省去跳转网银支付等的繁琐程序,改善用户体验,提高结算效率。参与快捷支付业务的主体包括持卡人、商户、发卡行、第三方支付机构及网联平台(即网络支付清算平台),持卡人委托支付机构代其发起支付请求后,经网联平台向发卡行端口发送支付指令,发卡行继而根据指令划扣资金、向商户支付款项。因此,发卡行最终执行的是经验证身份的持卡人的支付指令,发卡行与持卡人之间是支付委托合同关系,发卡行与支付机构之间是清算委托合同关系。
快捷支付业务场景银行的合规法律风险
一、银行对持卡人身份验证程度不足给银行带来的法律风险
基于对交易便捷性与效率性的需要,许多银行会在电子银行个人持卡人服务协议中约定:“在本行设定的身份认证方式通过身份验证的电子银行操作均视为持卡人本人所为。”因此,在快捷支付业务场景下,持卡人以输入银行卡交易密码、手机动态验证码或人脸识别等单独或结合的形式,通过了与银行约定的身份认证方式;持卡人再与银行及支付机构分别签订授权协议,授权支付机构代持卡人向银行发出资金扣划指令请求,此后银行不再与持卡人逐笔进行交易确认。不难得出,身份验证方式的强弱与持卡人资金安全息息相关,对于银行潜藏着以下法律风险。
常见的法律风险之一,由于银行验证持卡人身份的方式过于简单,导致银行未能对异常交易行为实施充分的监控与防范。如在(2017)粤01民终17456号案中,法院经审理后认为,尽管建设银行白云路支行认为曾某收到了短信提示,建设银行白云路支行尽到了安全保障义务,但本案实际情形是通过验证的验证码并非曾某回应,在当前高新科技日新月异的情形下,以验证码方式保护结算账户的资金安全也存在风险。按照风险控制原理,对网银的性能、功能、可能的风险的预见以及预先规范加以阻却应是作为以盈利为目的的商事主体的建设银行白云路支行所应尽的职责,现建设银行白云路支行无证据证明其对这种异常交易行为实施了监控,也未能提供涉案电脑交易地点、资金去向及流转等关键事实,不足以判断涉案交易系曾某或其授权他人所为。因此判决建设银行白云路支行对曾某的资金损失承担70%的责任。
常见的法律风险之二,由于第三方支付机构或其他机构以持卡人名义伪造授权协议,导致银行审查不当,违规划扣持卡人资金。在(2015)温鹿商初字第5770号案中,法院认为,农业银行温州分行作为商业银行,应当保障存款人的合法权益不受任何单位和个人的侵犯。若非存款人本人或基于存款人授权,任何单位或个人不得支取存款人账户内款项。本案中,郑某在农业银行温州分行的存款100万元系因农业银行温州分行根据其与广州银联网络支付有限公司所签订的《代收付合作协议》之约定划扣,但无证据证明该笔代扣业务已获得郑某的授权同意。事实上,作为扣款依据的《承诺书》授权扣划内容部分系他人伪造。故而判决农业银行温州分行向郑某偿付存款本金及利息。
根据《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》(以下简称《规定》)第四条,“发卡行、非银行支付机构主张争议交易为持卡人本人交易或者其授权交易的,应当承担举证责任。”因此银行在诉讼过程中如未能举证证明已在交易前有效审核持卡人授权的真实性,则可能导致银行承担赔偿持卡人资金损失的法律风险。
二、银行与持卡人签订的合同条款约定不明或银行未尽到告知义务给银行带来的法律风险
持卡人发生资金损失时,如何判定银行是否尽到安全保障和告知义务,双方签订的合同是否有网络支付功能的相关权利义务约定,以及虽有相关约定,但银行是否尽到告知义务是司法机关认定银行是否应承担法律责任的主要依据。
在(2019)沪民申713号案中,再审申请人冯某认为被申请人民生银行上海普陀支行未告知资金归集扣款无需密码、扣款后不发送资金变动的通知,要求其承担违约责任。被申请人民生银行上海普陀支行答辩称,与申请人签订的《跨行授权支付协议》中已清晰载明相关事项。再审法院经审查后认为,申请人冯某与被申请人民生银行上海普陀支行签订《跨行授权支付协议》,明确约定了资金归集扣款的权利义务,故当他行用户向民生银行发起扣款请求时,民生银行予以扣款有事实与法律依据,驳回了冯某的再审申请。
在(2020)冀01民终8272号案中,上诉人张某认为其没有授权被上诉人建设银行银都花园支行向中信银行转款,建设银行银都花园支行侵犯了其消费者权益,因此诉请判决建设银行银都花园支行承担赔偿责任。建设银行银都支行提供了《微信支付用户服务协议》,证明经上诉人授权同意,在微信余额不足时委托财付通支付科技有限公司直接对上诉人银行账户进行资金扣划和归集操作,建设银行银都支行仅仅依交易指令执行资金扣划。本案焦点为,建设银行银都支行对案涉资金的支出有无过错或瑕疵。法院认为,《微信支付用户服务协议》中明确告知开通微信余额支付以及快捷支付的潜在风险,但上诉人通过一系列的微信操作自愿开通了余额支付与快捷支付的功能,并绑定了案涉建行卡,上诉人以其行为认可并同意财付通支付科技有限公司在其微信零钱不足的情况下,可以扣划绑定银行卡内的相应款项,被上诉人按照上诉人交易指令完成转账交易,符合法律和合同规定,现有证据无法证实被上诉人在交易过程中存在过错,上诉人主张被上诉人实施了侵权行为没有充分依据,其要求被上诉人承担赔偿责任的诉请,法院不予支持。
三、持卡人的个人信息泄露导致银行卡遭盗刷给银行带来的法律风险
商业银行在提供金融产品和服务时获取了持卡人的个人信息,包括个人身份信息、账户信息、金融交易信息等。根据《个人信息保护法》第二十八条规定,上述信息属于持卡人的敏感个人信息,应受到银行的严格保护。快捷支付业务跨终端、跨平台使用的特点决定了该业务场景下的持卡人的个人信息容易存在泄露的安全隐患,且各支付机构信息系统安全保护水平参差不齐,网络上也常有不法分子非法拦截、窃取或攻击信息数据库,加之持卡人交易安全意识不足,银行卡遭盗刷的违法事件时有发生。根据法律规定,发生伪卡盗刷交易或者网络盗刷交易时,发卡行应赔偿持卡人的资金损失。如发卡行举证证明持卡人对银行卡、密码、验证码等身份识别信息、交易验证信息未尽妥善保管义务具有过错,发卡行主张持卡人承担相应责任的,人民法院应予支持。
风险防范及合规建议
一、从完善快捷支付业务授权协议内容的角度
在开通快捷支付服务时,商业银行应与持卡人建立清晰、完整的业务授权,得到持卡人知情并同意的确认性回复,以确保持卡人阅读并知晓了该种业务的规定。发卡行在与持卡人订立银行卡合同或者新增网络支付业务时,应完整告知持卡人身份识别方式、交易验证方式、交易规则等足以影响持卡人决定是否使用网络支付功能的内容,使持卡人全面准确理解该功能。
因此,授权协议中应包括对该服务内容的介绍,银行卡的关联、使用及注销程序,持卡人授权的对象、权限范围与限额,资金余额或透支数额变动的通知方式,用户合法妥善使用快捷支付业务的承诺,各方权利义务,交易风险提示,权益保障及隐私保护,不可抗力、免责及责任限制,信息收集、使用与共享,法律适用及管辖等条款,并对重点条款作特殊突出标识。
另外,当银行对协议内容及相关规则制度进行变更时,若该变更会对已办理该业务的持卡人产生影响,应及时以正确有效的途径告知持卡人,并重新取得持卡人对此的确认。
二、从优化业务流程角度
商业银行在办理签约业务时,应改变只重结果不重过程的现象,规范业务操作,建立完善的风险防范体系,通过识别、评估、控制和监控风险,保障业务操作的稳健性和安全性。
(1)着重审核服务协议的签章信息,确保该快捷支付业务已获得持卡人的授权同意。
(2)交易前应采用双(多)因素审核持卡人身份信息。
(3)改变默认或简单勾选同意的形式,采取适当的网络技术设置,如强制弹窗、自动播放或设置阅读时长的方式,使持卡人充分知悉快捷支付义务模式、流程、风险及各方权利义务。
(4)在内部系统设置风险预警,加强对交易数据的监控和分析,对重复的、大额的或其他异常情形的交易行为采取风险提示等有效的风险管控措施。
(5)以短信、微信、邮件或其他与持卡人协议约定的方式,向持卡人及时推送资金变化情况,以充分履行提醒义务。
(6)加强个人金融信息保护,采取有效的加密技术、身份认证技术、访问控制措施,建立完善的个人金融信息分类分级保护制度,检测监控常态化,实现个人金融信息全流程的生命周期保护。
总结
快捷支付业务所涉的主体众多,虽然银行仅发挥作为非银行支付机构的结算中心的作用,但金融消费者往往将银行作为被告起诉,要求银行对其资金损失承担赔偿责任。为防控快捷支付类业务衍生的营运风险,商业银行应当切实履行相关义务,构建完善的风险防范系统,增强员工的风险意识,对消费者进行快捷支付业务知识普及,实现经营收益与资金安全的有效管理。
本文作者:
蒋泽用,连越律师事务所合伙人律师,具有数据领域多项资质:EXIN认证DPO&ISO、中国信息安全测评中心认证的注册个人信息保护专业人员(CISP-PIP)、深圳数据交易所认证的数据交易合规师(DEXCO)。任广东省律师协会合规与风控专业委员会副主任,是中国信通院“个人信息保护合规审计推进小组”首批专家组成员。为客户提供数据领域的刑事诉讼、民事侵权、行政复议等诉讼与非诉法律服务。
郑润禧,连越律师事务所律师,专注于民商事诉讼及仲裁、政府及企业法律顾问领域。
