现有司法解释为处理银行卡盗刷责任分配,凝聚了共识,提供了解释的文本基础,但仍有调整之余地。在调整范围上,真卡盗刷与伪卡盗刷不应被区分,应统一纳入《电子商务法》第57条第2款的非授权支付责任分配结构内。收单机构、特约商户不应直接对持卡人承担盗刷的赔偿责任。支付机构只应承担约定的“先行赔付”责任,不得承担相应的法定责任。在涉及网络支付功能时,持卡人的授权支付,必须结合格式条款订入的规则加以确定。通过法律续造,电信运营商的责任可获补足,收单行与从事收单业务的支付机构应同等视之。司法解释确立的法定追偿权主要功能在于补足约定追偿权,以及在收单行与发卡行分离时,确立发卡行对特约商户的追偿权。
导言
为了在银行卡支付各主体间分配盗刷责任,最高人民法院从2021年5月25日开始,施行《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》(法释〔2021〕10号,以下简称《银行卡解释》)。《银行卡解释》第4—15条避免了庞杂法律规范的各不相谋,为构建银行卡盗刷责任分配规则提供基础的解释文本。其中,第7条尤为关键。该条确立了盗刷责任分配的基本架构:第1、2款规定了发卡行就盗刷向持卡人先行偿付为主,第3、4款指明了持卡人与发卡行分担责任为辅助。另外,第11、12条通过当事人间的追偿权,落实风险分散。
整体而言,《银行卡解释》所架构的分层式责任分配规则,以持卡人的利益为依归,顾及了支付流程各主体的利益,值得称道。不过,囿于教义学构造与把握交易实践之欠缺,上述规定依然存在诸多不足。例如,《银行卡解释》第7条仅涉及伪卡盗刷与网络盗刷,与《电子商务法》第57条的适用范围存在龃龉。再如,第11条第1款规定,持卡人可以要求就盗刷存在过错的收单行或特约商户承担赔偿责任,就误解了当事人间的实际法律关系。
为指引《银行卡解释》的理解与适用,平衡当事各方的利益,有必要指明其中的不足,通过法律解释与法律续造,重塑盗刷责任分配规则。以此为引导,主文涉及《银行卡解释》调整范围、责任承担、责任分散结构三个方面的规则重塑。
一、调整范围的重塑
《银行卡解释》第15条第1款规定,“伪卡盗刷交易,是指他人使用伪造的银行卡刷卡进行取现、消费、转账等,导致持卡人账户发生非基于本人意思的资金减少或者透支数额增加的行为”;第2款规定,“网络盗刷交易,是指他人盗取并使用持卡人银行卡网络交易身份识别信息和交易验证信息进行网络交易,导致持卡人账户发生非因本人意思的资金减少或者透支数额增加的行为”。可见,《银行卡解释》的制定者将盗刷责任的分配划定在了伪卡盗刷与网络盗刷。不过,此限定是否周延与妥当,仍有疑惑。如果盗刷者使用真实的银行卡进行盗刷,是否也适用《银行卡解释》第7条的责任分配规则?又应如何与《电子商务法》相协调?
(一)真卡、伪卡盗刷应同等对待
1.学说与裁判现状
关于发卡行是否应向持卡人承担盗刷责任,学说与裁判实践存在彻底免责说、完全担责说、伪卡担责说三种观点。
(1)彻底免责说
《储蓄管理条例》第31条第2款:“储蓄机构受理挂失后,必须立即停止支付该储蓄存款;受理挂失前该储蓄存款已被他人支取的,储蓄机构不负赔偿责任。”换言之,此条文主张,在持卡人挂失之前,发卡行对于盗刷彻底免责。如今的学者一般立足于债权准占有理论主张,只要存在足以构成误认的权利外观,发卡行对真卡或伪卡的持有人付款,均可对真正持卡人免责。
(2)完全担责说
与彻底免责说截然相反的是完全担责说。该说提出,支付行为的开展并非按照持卡人的指示,故而发卡行须完全承担责任。同时,该说也否定将债权准占有理论作为免责根据,因为势必造成“全有全无”的僵硬法律效果,无法在当事人间进行责任分担。部分裁判者也持完全担责说。在“中国建设银行股份有限公司武汉永清小企业专业支行与万谦储蓄存款合同纠纷”中,裁判者论证道:“万谦在建行永清支行办理的银行卡在境外被盗刷,建行永清支行未能举证证明万谦故意或过失将密码泄漏,或其存在授权他人支取争议银行卡内存款的行为,说明建行永清支行为万谦发放的银行卡存在安全隐患。尽管建行永清支行已经采取使用三级密钥管理系统、安装摄像头、建设远程监控中心、履行告知义务、提供密码修改服务和24小时的电话挂失服务等措施,但依然不能免除其法律责任。”
(3)伪卡担责说
相对于上述二者,伪卡担责说处于主导地位。伪卡担责说立足于权利外观理论,提出因为发卡行无法审查出真卡盗刷,故而应免除持卡人的责任。在“魏礼娇诉中国农业银行股份有限公司上海三灶支行借记卡纠纷”中,裁判者认为:“若该第三人所持系真实借记卡,并输入正确密码,则考虑到当今社会普遍存在委托他人代为取款或消费之情形,银行在外观上无法将有权代取和无权盗取的情形加以区分,亦不能合理期待银行负有此项审查义务,故银行向第三人进行清偿的行为,应视为对真实债权人所为之清偿,发生消灭储户相应债权的法律后果。”从《银行卡解释》第7条,并结合第15条第1款的条文观之,制定者正是选择了伪卡担责说。
就上述三种学说而言,彻底免责说被放弃,当无疑问。根源在于,发卡行没有识别出伪卡,显然存在过错,不符合债权准占有的构成要件。完全担责说与伪卡担责说的根本差异是,发卡行承担责任的空间是否仅限于伪卡盗刷。伪卡担责说立论的理据在于,“最先进和最高端的机器也不能识别进行刷卡操作的到底是持卡人本人还是不法分子,或者是得到持卡人授权的受委托人”。可是,此理据在引入积极信赖保护理论时,仅着眼于发卡行一端的主观善意,却无视持卡人一端的可归责性。
2.真卡盗刷应适用《银行卡解释》第7条
既然分配盗刷责任还必须额外考虑持卡人的可归责性,就必须在判定责任承担者可归责性的诸种学说中,择一而定。由于诱因归责说对责任承担者的要求过低,容易造成利益不均衡,现在一般采纳过错归责说或风险归责说。不过,无论是立足于过错归责说还是风险归责说,持卡人对于盗刷均无可归责性。
立足于过错归责说,以持卡人过错判定是否具有可归责性,符合私法自治原则,体现每个人对自己行为负责的原理。不过,可归责性需要持卡人的何种过错,既要考量制度的内在运行逻辑,还要符合体系一致性。首先看无传达权的法律结构。无权传达人之表示原则上对本人不发生效力。盗刷者未经持卡人授权,向发卡行传达虚假的支付指令,自然不能约束持卡人,致其承担相应不利。其次,盗刷即便被判定为冒名行为,原则上也不能约束持卡人。由此,持卡人并未以自主意思发出支付指令,自然不得让后者承担权利外观责任。
风险归责说主张,应通过多元化因素及动态权衡,以确定责任承担者的风险控制范围。在不同案件中,持卡人既可能具有预防、控制权利外观形成的能力,也可能完全不具备前述能力。例如,在《中华人民共和国最高人民法院公报》案件“蔡红辉诉金才来信用卡纠纷案”中,盗刷者抢劫原告持卡人信用卡,到被告开设的珠宝店购买黄金饰品。此案件凸显了,即便在真卡盗刷中,持卡人也无法有效防范盗刷,摧毁权利外观,更难以向盗刷者追责。不过,制度架构理应抽离于就事论事的个案论证,转向在宏观层面综合衡量当事人的利益状况。德国联邦最高法院在1991年审理的一起信用卡盗刷案件中指出,在当事人间分配风险,关键在于综合衡量持卡人基于该盗刷行为所处的法律地位,以及当事人的风险转化可能性。持卡人在转移风险方面的劣势无法通过其他途径弥补。反之,发卡行具有更强的风险预防能力,并可以通过保险等方式移转风险。两相对比,在持卡人没有自主意思发出支付指令时,发卡行应承担盗刷风险。
比较法的普遍观点是发卡行不能径行就真卡盗刷免责。在日本最高裁2003年审理的一起涉及提款卡的盗用案件中,受害人的真实存折和汽车一起被盗,盗刷者利用存折和密码,通过存折机器支付的方法,从受害人的账户上提取款项。日本最高裁并未直接免除发卡行的责任,而是认定发卡行存在过失,否决其支付具有清偿效力。欧盟分别在2007年、2015年出台“支付服务指令”,要求各成员国以此为规则“原型”改革本国支付法。德国根据前述指令,在2010年、2018年两次修订《德国民法典》,在第675u条以下构建了完整的非授权支付责任分配规则。其中,第675u条第1句规定:“在非授权支付的情形,付款人的支付服务提供者对付款人无费用返还请求权。”该句指明了,在缺乏付款人的事前同意或事后追认的场合,支付服务提供者的必要费用偿还请求权均应予以排除。其并未区分非授权支付所涉及的介质,可以统一适用于银行卡盗刷、网络盗刷等非授权支付情形。
总言之,区别对待真卡盗刷、伪卡盗刷,乃是对法律上重要之点完全相同的两个法律事实,由不同的法律规范赋予不同的法律效果,属于碰撞式价值判断矛盾。所以,发卡行不得在真卡盗刷情形中获得优待,理应类推《银行卡解释》第7条,承担与伪卡盗刷同等的责任。
(二)非授权支付的统一处理
同等对待伪卡盗刷与真卡盗刷,合乎《电子商务法》统一处理非授权支付责任的立场。《电子商务法》第57条第2款前句规定:“未经授权的支付造成的损失,由电子支付服务提供者承担。”结合该句和《民法典》第577条可知,针对电子非授权支付,用户可以向电子支付服务提供者主张资金偿还请求权,要求其继续履行合同,执行支付行为,进而承担非授权支付的责任。此规则不区分非授权支付承载介质,甚至不考虑用户一端的过错或风险,统一要求电子支付服务提供者担责。其倾斜保护作为消费者的用户,也与《欧盟支付服务指令二》[Payment services(PSD2)(EU)2015/2366]等比较法发展方向保持协调。《欧盟支付服务指令一》[Payment services(PSD1)Directive 2007/64/EC]在2007年通过,并要求各成员国在2009年11月1日前转化为国内法。《欧盟支付服务指令二》在2015年通过,替代了《欧盟支付服务指令一》。其中,《欧盟支付服务指令二》第73条第1款规定:成员国应确保在不影响第71条的情况下,在发生非授权支付的场合,付款人的支付服务提供者应立即退还付款人非授权支付的交易金额,以及无论如何不得迟于知悉或被告知此支付的下一个工作日结束时,除非付款人的支付服务提供者有合理理由怀疑欺诈,并以书面形式将理由告知相关国家的主管部门。前述规则若适用,付款人的支付服务提供者将被扣划的支付账户恢复到未发生非授权支付的状态。同时,还应确保付款人支付账户的信贷计息日不得早于(账户金额)被扣划的日期。
加之,《中国人民银行电子支付指引(第一号)》第2条第2款指明:“电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。”可见,银行卡盗刷从属于电子支付的非授权法律关系,自然应当遵循《电子商务法》第57条第2款前句的立场。所以,无论是真卡盗刷、伪卡盗刷,抑或网络盗刷,均应适用统一规则,即电子支付服务提供者应先行偿付。在法律适用路径上,针对真卡盗刷,在满足电子支付的前提下,持卡人完全可以不受《银行卡解释》在适用范围上的限定,寻求《电子商务法》第57条第2款前句的保护。由此,银行卡盗刷等非授权支付的责任分配规则,被统一归结于“电子支付服务提供者先行偿付,用户根据过错分担责任”。
进一步的问题是,如何确定非授权支付?《电子商务法》的参与制定者采取了主体标准,“非授权支付是指未经用户以约定的方式授权的情况下,用户以外的他人发出支付指令,导致用户账户资金减少或授信额度被占的情况”。《银行卡解释》第15条着眼于持卡人的主观意思,“账户发生非因本人意思的资金减少或者透支数额增加”。本文认为,对于非授权支付的界定,应以是否存在本人的主观授权意思为标准。比如,持卡人的代理人在其权限范围,对发卡行发出支付指令,向交易相对人转账100万元。此交易虽然不是持卡人所为,但仍属于授权支付。以银行卡盗刷为场景,按照持卡人是否作出主观授权意思为标准,可以区分出下述两种情形:
第一,通常情形。因为缺乏持卡人以主观授权意思发出支付指令,发卡行仍应就盗刷向持卡人先行偿付。例如,银行卡丢失、被盗后,盗刷者猜出了卡片密码;持卡人的个人信息与卡片信息被泄露,盗刷者据此制成伪卡。即便持卡人因受欺诈而传递了个人信息、卡片信息,也不能直接判定存在主观授权意思。例如,持卡人点击假冒短信中的链接,在链接网页上输入个人信息、卡片信息,或者因下载恶意木马软件被盗取个人信息。就此,均可纳入《银行卡解释》第7条与《电子商务法》第57条第2款的适用范围。
第二,少数情形。持卡人以主观授权意思发出支付指令,在符合债权准占有的其他要件时,发卡行构成表见清偿,得以免除对持卡人的责任。例如,持卡人在“钓鱼”网站上不但输入个人信息、卡片信息,还输入卡片密码等认证信息。再如,持卡人委托他人保管银行卡时,还告知了密码。另如,持卡人仅授权其雇员以信用卡支付公务支出,雇员却将信用卡用于个人生活。后面两种情形实际上已是超越授权支取资金,已经不属于盗刷,自然无须考虑《银行卡解释》第7条之适用与否。
二、责任承担结构的重塑
盗刷责任的承担结构可区分为两层。在第一层,《银行卡解释》第7条第1、2款授予了持卡人可以通过主张资金偿还请求权以及损害赔偿请求权,实现发卡行的先行偿付。与之类似,《德国民法典》第675u条第2句规定:“支付服务提供者负有将支付金额即时返还于付款人,且其金额已从支付账户扣款者,应将该账户恢复到如非授权支付而未为扣款状态之义务。”资金偿还请求权与我国《民法典》第927条的委托人对受托人的财产返还请求权有同等意义,属于委托法规则在支付合同中的合理延伸。据此,持卡人可要求发卡行通过涂销无权扣划、支付被盗刷存款本金等方式,偿还资金。这也就避免了持卡人向发卡行主张损害赔偿时,还须受到可预见性规则、减损规则等限制。在偿还本金之外,发卡行如果因为无权扣划,造成了持卡人的其他损失,仍应予以赔偿。在第二层,鉴于持卡人在第一层主张的是履行请求权,发卡行寻求责任分担,便无法采取与有过失的进路。不过,发卡行仍可基于持卡人违反附随义务,援引《银行卡解释》第7条第3款主张损害赔偿。对此双层结构应予以基本肯定,然而,当中仍有诸多细节问题,比如向持卡人承担责任的主体范围等,亟待进一步探讨。
(一)向持卡人承担责任的再构造
发卡行向持卡人先行偿付,也就承担了其他主体的破产风险与不履行风险。这对于保护持卡人的利益而言,应属最优的构造路径。在此基础上,《银行卡解释》第10条、第11条第1款另行规定,支付机构、收单行、特约商户也要对持卡人承担相应责任。基于禁止得利之原理,此类责任与发卡行先行偿付间存在互为排斥的关系。因为持卡人不应获得超过银行卡被盗刷的总额的利益(《银行卡解释》13条)。但是,前述主体对持卡人承担责任的依据与结构并不妥当。
1.支付机构不承担法定的“先行赔付”责任
《银行卡解释》第10条的“支付机构”应限缩为支付网关型支付机构。在交易实践中,为用户执行资金移转的支付机构,可以区分为支付账户型与支付网关型两类。支付账户型支付机构通过自有的支付账户,为用户付款、收款,实现资金从账户到账户的移转,与银行卡没有必然关联。与银行卡存在直接关联的是支付网关型支付机构。此种支付机构在欧盟被称为“支付启动服务提供者”(《欧盟支付服务指令二》第4条第15项)。德国法学者指出,由于支付启动服务提供者一般不涉及资金移转,而必须借助银行的基础设施,因此,又可称之为“支付指令传输服务”。质言之,支付机构作为使者,向发卡行传达支付指令,并由发卡行完成支付行为。除常见的“支付宝”“微信”外,“快钱快捷支付服务”也属此类。例如,《快钱快捷支付服务协议》明确规定了:“您授权快钱有权扣划您相应银行卡账户中的款项;您授权银行卡发卡行有权根据快钱的指令扣划您相应银行卡账户中的相应款项。”具体有下述三个步骤:第一,持卡人通过支付机构,将个人的账号、密码等信息与“指示发卡行支付”的支付指令传达支付机构;第二,支付机构作为持卡人支付指令的使者,向发卡行传达该项指令;第三,在发卡行受领该指令后,按照内部操作流程完成支付。有鉴于此,《银行卡解释》第10条仅指向提供支付网关的支付机构,不涉及支付账户型的支付机构,更不会触及从事收单业务的支付机构。
支付机构在约定的“先行赔付”责任外,不应承担法定责任。《银行卡解释》第10条包括了三项意旨。其一,按照第1款,除了明确约定“先行赔付”外,支付机构就盗刷承担“先行赔付”责任的允诺也构成意思表示,应订入合同当中。其二,持卡人可以根据合同约定,要求支付机构承担“先行赔付”责任。按照“先行赔付”责任,无论支付机构是否存在过错,只要发生非授权支付,其均应向持卡人赔付。简言之,此为无过错的约定责任。其三,根据第2款,在约定的“先行赔付”责任外,支付机构还应承担有过错的法定责任。因为支付机构存在过错,违反附随义务,持卡人可以对其主张损害赔偿请求权。此意旨立足于支付机构与持卡人间成立支付委托合同,支付机构不单负有执行持卡人的支付指令、完成资金移转的主给付义务,还有保障持卡人安全使用银行卡的附随义务。倘若支付机构提供的网络支付身份认证方式,使用的网络支付系统、设备等存在安全缺陷导致银行卡被盗刷,属于有过错违反附随义务,持卡人享有损害赔偿请求权。但是,此立场在规范评价上,并不妥当。
此立场背后隐含的前提是,支付机构传递了盗刷者的支付指令,发卡行作出无权扣划行为,减少了借记卡持卡人的本金或增加了信用卡持卡人的透支款,造成了持卡人的损失。然而,从规范评价的角度观之,持卡人并无损失。以借记卡关系为例,持卡人将现金货币交给发卡行,形成消费借贷关系,持卡人仅享有支取款项的债权。发卡行获得了货币的所有权,可以通过借贷等途径,自由支配该部分货币。此为银行业的经营基础。既然发卡行享有货币所有权,那么,盗刷者通过支付机构,侵害的就是发卡行,而非减少了持卡人的财产总额。在持卡人要求发卡行偿还资金为主导的责任承担结构下,持卡人没有损失,就不能向支付机构主张损害赔偿。至于支付机构承担约定的“先行赔付”责任,指示发卡行向持卡人支付被扣划的本金或返还透支款,其实是为发卡行承担责任。二者间仍可依照约定,落实追偿关系。可见,《银行卡解释》第10条第2款实则流于具文。
2.收单行、特约商户不承担独立责任
最高人民法院曾经在2018年发布了《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定(征求意见稿)》(以下简称《征求意见稿》)。当中的第12条规定:“因收单机构、特约商户等主体未尽审核义务导致伪卡盗刷,持卡人诉请发卡行承担违约责任,发卡行承担责任后向存在过错的收单机构、特约商户追偿的,人民法院应予支持。”可见,此条文否定了收单行、特约商户等主体对持卡人的独立责任,判定其只需承担对发卡行的追偿责任。但是,《银行卡解释》调整了规制方向,第11条第1款规定:“在收单行与发卡行不是同一银行的情形下,因收单行未尽保障持卡人用卡安全义务或者因特约商户未尽审核持卡人签名真伪、银行卡真伪等审核义务导致发生伪卡盗刷交易,持卡人请求收单行或者特约商户承担赔偿责任的,人民法院应予支持。”此规定隐含的基础是,收单行、特约商户违反了对持卡人的义务,应承担独立的损害赔偿责任。例如,制定者认为,“特约商户在与持卡人成立买卖或者服务法律关系时,接受持卡人以银行卡方式付款,负有审核用卡人是否为伪卡交易的义务。其未尽到审核义务导致伪卡盗刷的,对持卡人构成侵权,应承担侵权赔偿责任”。然而,该见解背离了当事人间的具体法律关系,作出了错误的法律构造。
首先,《银行卡解释》第11条第1款的立论基础失当。持卡人与收单行、特约商户不存在合同关系。发卡行与收单行间存在收单委托合同关系,收单行负有为发卡行执行收单事务的主给付义务。例如,在银行卡提现中,收单行甲银行向持卡人提供自动提款机,以便后者可以使用乙银行发行的借记卡提取现金。盗刷者持有银行卡,冒用持卡人的名义在甲银行处提款。该项存在瑕疵的法律行为并不能约束持卡人。所以,持卡人与收单行间并无合同关系。同理,盗刷者冒用持卡人的名义,与特约商户交易,也无法形成持卡人与特约商户间的合同关联。
其次,《银行卡解释》第11条第1款的法律构造也存在偏差。制定者也意识到收单行与持卡人间不存在合同关系,但依然主张,“收单行作为银联成员,负有根据银联规则接受同为银联成员的发卡行的客户即持卡人在其银行卡交易系统、设备进行交易的义务。在履行该义务时,收单行负有保障持卡人在进行银行卡交易时人身和财产安全的义务。如果收单行未尽到上述义务,导致伪卡盗刷,则应对持卡人承担侵权赔偿责任”。制定者诉诸交往安全义务,要求收单行就此承担侵权责任。从原理上,交往安全义务指在自己与有责任的领域内,开创或持续某一危险源之人负有依情形采取必要且具期待可能性的防范措施,以保护第三人免于遭受此种危险的义务。其主要包括了使潜在受威胁者具有自我负责地处理该危险之可能性,以及作用于危险源两种义务。后者又包括有选任义务跟监督义务。倘若制定者坚持认为,收单行在选任特约商户、监督自身设备上存在过错,理应承担侵权责任,尚且存在一定的正当性。收单行作为向公众提供金融服务的特许经营者,承受较高的交往安全义务,符合风险与收益匹配的原理。不过,此推论绝对不能拓展至特约商户。因为特约商户仅是提供商品或服务的一般经营者,不应负有防范持卡人支付权限被滥用的义务。
其实,在收单行或者特约商户未尽审核义务等,导致发生盗刷的场合,二者的独立责任实属冗余。缘由在于,与持卡人存在合同关系的发卡行承担责任即可。根据支付委托合同,发卡行的主给付义务在于为持卡人执行资金移转。在银行卡提现中,收单行属于发卡行执行支付委托合同的履行辅助人;在银行卡支付中,收单行、特约商户都是发卡行的履行辅助人。收单行、特约商户通过审核持卡人的个人信息、卡片信息与给付现金等方式,协助发卡行完成给付义务。假如收单行、特约商户未能严格审核持卡人的身份信息,导致发生盗刷,仍由发卡行承担责任(《民法典》第593条),向持卡人偿还资金。例如,在“中国农业银行股份有限公司东莞大朗支行与欧阳芳、深圳市国金珠宝首饰有限公司借记卡纠纷”中,裁判者即阐明,“农业银行大朗支行作为经营存、贷款等业务的专业金融机构,应当对其发行的银行卡具有鉴别真伪的能力,并应采取技术手段防范借记卡被复制和伪造,特约商户或收单行作为代理人未能识别伪卡的法律责任亦应由农业银行大朗支行承担,故农业银行大朗支行应对案涉存款被盗取承担相应责任”。
比较法持同样的观点。在一起特约商户没有严格审核持卡人签名,造成信用卡被盗刷的案件中,德国联邦最高法院论证道,因为特约商户是由发卡行与信用卡系统选定的,不谨慎特约商户与不忠诚职员的风险应归因于发卡行。而且,持卡人无法选择与监管特约商户,也不能防范后者造成的风险。所以,发卡行应承担盗刷责任。该判决正确地阐明了,发卡行须为其支付委托事务的履行辅助人——收单行、特约商户承担责任。
综上所述,《银行卡解释》第11条第1款规定的持卡人对二者的请求权,须进行目的性限缩,至少应当排除特约商户对持卡人的责任。而且,要证成收单行的独立责任,还要求制定者证成其具有交往安全义务,或通过法律文件确立收单行负有此项义务。
按照收单行、特约商户均不承担独立责任的进路,在持卡人要求发卡行先行偿付的诉讼中,二者也就不应作为共同被告。例如,在“原告覃莹莹因与被告中国工商银行股份有限公司牡丹卡中心长沙分中心发生信用卡合同纠纷”中,裁判者即采取了此种观点,“本案的基础法律关系为合同关系,合同的双方为持卡用户覃莹莹和发卡银行工商银行,依据合同相对性原理,东莞市万江银泉茶叶经营部不是合同的当事方,工商银行认为应当追加东莞市万江银泉茶叶经营部(特约商户)为共同被告的请求,本院不予支持”。
不过,收单行、特约商户还是可以作为第三人参与诉讼的。《银行卡解释》第11条第2款认为,“持卡人请求发卡行承担责任,发卡行申请追加收单行或者特约商户作为第三人参加诉讼的,人民法院可以准许”。此规定允许收单行、特约商户被追加为无独立请求权的第三人。无独立请求权第三人参与诉讼,须以与案件处理结果有法律上的利害关系为前提。根据《银行卡解释》第11条第3款,发卡行败诉后,会向收单行、特约商户追偿。所以,二者与诉讼存在义务性关系,既可以被追加为第三人,也可以根据《民事诉讼法》第56条第2款主动申请参加。
(二)责任分担规则之合意认定
发卡行可以向持卡人主张违反附随义务的损害赔偿请求权,从而实现责任分担。此责任分担规则,在网络盗刷的领域,须以持卡人同意使用网络支付功能,或者知道并理解新增网络支付功能为前提。《银行卡解释》第8、9条从反面作出了正确的规定。倘若发卡行未履行告知持卡人银行卡具有相关网络支付功能义务,或者未完全告知影响使用决定的新增网络支付功能的内容,持卡人可以该网络支付条款的不订入为由,拒绝分担盗刷责任。不过,从下表可知,在不能完全适用《银行卡解释》第8、9条的第Ⅱ、Ⅲ种情形,如何进行法律适用,还有待探讨。
表1 网络支付业务订入之法律适用
未履行告知义务未完全履行告知义务订立合同/开通网络支付业务功能Ⅰ:第8条Ⅱ:不明订立合同/新增网络支付业务Ⅲ:不明Ⅳ:第9条第Ⅱ种情形,发卡行未完全履行告知持卡人银行卡具有相关网络支付业务功能的义务,该功能是否直接不订入支付委托合同,规定并不明确。开通网络支付业务功能一方面便利持卡人的支付,另一方面也加大了网络盗刷的风险。因此,此开通条款显然与持卡人存在重大的利害关系。《消费者权益保护法》第26条第1款规定:“经营者在经营活动中使用格式条款的,应当以显著方式提请消费者注意。”依此,发卡行未能以显著方式告知持卡人已经开通了网络支付功能,该网络支付功能依然不订入支付委托合同。
第Ⅲ种情形,在订立银行卡合同或者新增网络支付业务时,发卡行未告知持卡人身份识别方式等足以影响决定使用该功能的内容,如何适用法律也不明确。为了获取竞争优势,发卡行通过系统升级,扩大、新增银行卡的网络支付业务的行为并不罕见。例如,招商银行就曾经将个人网上银行专业版升级为“超级网银”,可以“一站式”地管理全部银行账户。系统升级、新增网络支付业务,等同于发卡行单方面变更支付委托合同。诚然,出于市场竞争、支付技术发展的必要性或发卡行自身发展的需求,允许其单方变更合同条款有利于减少双方的缔约及交易成本。不过,如果不对单方变更条款加以限制,发卡行显然可以利用该条款严重侵蚀持卡人的权利,限制意思自治。有鉴于此,在电子商务中,《电子商务法》第34条明确要求,针对电子商务平台经营者修改平台服务协议和交易规则,经营者可以选择不接受修改内容,要求退出平台,并按照修改前的服务协议和交易规则承担相关责任。该条虽然适用于电子商务平台经营者与平台内经营者间,但当中蕴含的利益状态与银行卡所涉的双方并无不同。其一,同样存在强势方利用优势地位单方修改协议,而弱势方无力抵抗修改行为;其二,根据“契约必须严守”原则,当事人间应尊重之前的协议。所以,《电子商务法》第34条应当类推至发卡行单方变更合同条款的场合。申言之,在持卡人拒绝接受发卡行单方变更合同条款时,该条款不能产生约束力。“举轻以明重”,发卡行未告知持卡人身份识别方式等足以影响决定使用该功能的内容,新增网络支付业务所致之不利,更不应施加于持卡人。
三、责任分散结构之重塑
盗刷责任分散,主要体现为当事人间可以相互追偿。《银行卡解释》第11条第3款规定了发卡行对存在过错的收单行、特约商户的追偿权,第12条规定了各主体对盗刷者的最终追偿权。此为法定追偿权。不过,法定追偿权的规则如何适用,理应得到详尽阐明。另外还存在的疑惑是,发卡行、收单行、特约商户、盗刷者的追偿关系是否完备,是否还有必要纳入其他主体?
(一)既有追偿规则的展开
在上述法定追偿权的“冰面”之下,还存在各方通过合同方式分配盗刷责任,可称之为约定追偿权。那么,法定、约定追偿权间如何配合呢?
1.发卡行与收单行、特约商户的追偿关系
在《银行卡解释》出台前,发卡行与收单行、特约商户的追偿关系一般通过当事人的约定予以调整。根据收单行与发卡行是否属于同一银行,可以进一步区分为两种情形。首先,在收单行与发卡行合一时,发卡行/收单行与特约商户签订了收单委托合同。《银行卡收单业务管理办法》第11条要求:“收单机构应当与特约商户签订银行卡受理协议,就可受理的银行卡种类、开通的交易类型……差错和争议处理等事项,明确双方的权利、义务和违约责任。”换言之,作为收单行的发卡行,可以通过约定自行调整与特约商户间的追偿关系。当中倘若有追偿权的约定,理应直接适用。然后,在收单行与发卡行分离时,分别存在发卡行与收单行间、收单行与特约商户间的合同关系(见图1)。若其中包含了追偿权的约定,就应直接遵循当事人的合意。
《银行卡解释》第11条第3款与第1款构建了法定追偿权。其构成要件包括了:其一,仅适用于“在收单行与发卡行不是同一银行的情形”;其二,前提是发卡行已经向持卡人承担了责任;其三,收单行或者特约商户存在过错。此法定追偿权的规范意义有二:
第一,补足约定追偿权。如果上述当事人在合同中未就追偿权作出约定时,或者约定不明时,法定追偿权即可填补当事人的约定。例如,在《银行卡解释》施行前,在“广发银行股份有限公司广州环市东支行、张立元与李治强、李忠、郑友芳、吴玉珍、中国工商银行股份有限公司梅州分行追偿权纠纷”中,广发银行环市东支行是李本汉持有银行卡的发卡行,工商银行梅州分行是美博房地产所涉刷卡交易的收单行,美博房地产是工商银行梅州分行的特约商户,由于当时缺乏法定追偿权的规定,裁判者引入附随义务的违反标准予以判定。就此案例,如今的裁判者可以依据《银行卡解释》第11条第3款,允许作为发卡行的广发银行环市东支行向收单行工商银行梅州分行追偿。
假如约定追偿权与法定追偿权的事实构成或法律效果不一致时,应当如何适用呢?例如,发卡行与收单行约定,放弃过错标准,只要盗刷发生在收单行的应负责之范围内,发卡行即可向收单行追偿。基于追偿约定是当事人合意构造的法律安排,更符合交易需求,理应得到优先遵循。可见,《银行卡解释》第11条第3款具有任意性,容许当事人约定排除或调整之。
相较于发卡行对收单行、特约商户的损害赔偿请求权,法定追偿权在诉讼时效上具有优势。诚然,发卡行可基于二者未履行维护交易安全的附随义务,主张损害赔偿,实现风险分散。例如,特约商户未尽审核义务,导致收单行向发卡行承担责任。此请求权的诉讼时效应从二者违反义务时起算。不过,法定追偿权属于《银行卡解释》第11条第4款另行授予的权利,而非继受于持卡人的请求权。其诉讼时效应从“发卡行承担责任后”起算。两相比较,“发卡行承担责任”的时点,必然后于收单行、特约商户违反义务。依此,发卡行拥有更多的时间行使权利,避免受到诉讼时效抗辩权之阻却。
第二,确立发卡行对特约商户的追偿权。通过法定追偿权,分散盗刷当事人的风险,在欧盟国家的立法中较常见。例如,《德国民法典》第676a条第1款规定:“支付服务提供者依第675u、675y、675z条规定责任之原因,在其他支付服务提供者或中介处理人应负责之范围内,支付服务提供者得对该支付服务提供者或中介处理人请求赔偿因履行第675u、675y、675z条规定支付服务提供者之请求权而生之损害。”此追偿权授予支付服务提供者在缺乏合同关系的场合,向其他当事人追偿。支付服务提供者甚至可以向在执行支付行为时完全不知悉的中介处理人,行使追偿权。《银行卡解释》第11条第1款已经将追偿权的适用范围限定在“收单行与发卡行不是同一银行”。由于发卡行与收单机构的分离,特约商户与发卡行间不存在直接合同关系。在缺乏法定追偿权的背景下,发卡行只能求助于不当得利的救济。如今,发卡行可以直接行使法定追偿权,要求存在过错的特约商户承担责任。此追偿权有助于实现风险分散,并强化了特约商户的审核义务。
2.对盗刷者的最终追偿权
盗刷者应为盗刷责任的最终承担者。《银行卡解释》第12条规定:“发卡行、非银行支付机构、收单行、特约商户承担责任后,请求盗刷者承担侵权责任的,人民法院应予支持。”由因果关系层面视之,针对不同主体,此条文的适用存在差异。其一,虽然盗刷者的盗刷恶意针对的是持卡人,但其也实际导致了发卡行总体财产的减少。故而,盗刷者应赔偿发卡行的纯粹经济损失。其二,支付机构并未因为盗刷者的行为而直接发生损失。不过,因为该主体对持卡人承担了约定的“先行赔付”责任,满足了持卡人的利益,故而总体财产也减少了。其三,同理,收单行、特约商户原本不会因为盗刷行为存在损失,但是,此二者向发卡行承担责任后,也存在损失,得向盗刷者追偿。简言之,支付机构、收单行、特约商户得根据《银行卡解释》第12条向盗刷者追偿的原因并非盗刷行为导致其存在直接损失,而是其承担“先行赔付”责任或追偿责任后,方才发生总体财产减少,进而须向盗刷者追偿。
(二)追偿主体的补足
1.发卡行与支付机构间的互相追偿关系
发卡行与支付机构间的追偿关系,体现在以下两种情形中:第一种,因为支付机构的过错导致网络盗刷,发卡行在向持卡人先行偿付后,应可向支付机构追偿;第二种,因为发卡行的过错导致网络盗刷,支付机构在向持卡人承担约定的“先行赔付”责任后,有必要向发卡行反向追偿。既有文献仅触及第一种情形,且存在重大缺陷。一种意见以侵权关系解释发卡行向支付机构的追偿责任基础。具体而言,支付机构未尽安全保障义务,侵害了发卡行的债权,造成纯粹经济损失。此意见的缺陷在于,支付机构仅不存在故意加害发卡行的主观恶意,无法达到纯粹经济损失的要求。另一种裁判观点则认为,支付机构属于发卡行的履行辅助人。但是,该观点不单有违发卡行与支付机构间的具体法律关系,更没有揭示追偿权的法律依据。
两者间的追偿关系,通常依靠约定补足。《中国人民银行电子支付指引(第一号)》第42条第2款规定:“因第三方服务机构的原因造成客户损失的,银行应予赔偿,再根据与第三方服务机构的协议进行追偿。”《中国人民银行电子支付指引(第一号)》施行于2005年,支付机构在当时尚未成为法律名词。不过,前述的“第三方服务机构”当然可以囊括支付机构。由此,前款规定实则强制要求发卡行与支付机构为持卡人执行支付事务前,必须在内部就赔付责任达成一致。同时,此款规定也揭示了,内部赔付责任具有任意性,双方可以约定调整之。在约定追偿权之外,基于对方未履行合同内含的保护交易安全之附随义务,发卡行与支付机构可以互相通过主张损害赔偿,实现风险分散。
在上述第二种情形中,还必须处理不同请求权间的优先关系。因为支付机构还可受让持卡人对发卡行的请求权,作为追偿权的依据。例如,《支付宝安全保障规则》规定:“支付宝或保险公司在向您支付补偿款项或理赔款项的同时,即刻取得您可能或确实存在的就前述损失而产生的对第三方的所有债权及或其他权利,包括但不限于就上述债权向第三方追偿的权利。”倘若持卡人请求权的事实构成与法律效果不同于发卡行与支付机构间的追偿约定,应如何适用?后者应获得优先适用。缘由在于,追偿约定是当事人合意构造的法律安排,更符合交易需求;而且,双方的追偿约定还隐含了支付机构放弃获得优于追偿约定的请求权之意思,以此换取划拨银行账户的权限。
2.发卡行对从事收单业务的支付机构之追偿权
根据《银行卡收单业务管理办法》第3条第2款,收单机构系指为跨行交易提供资金结算的银行业金融机构或支付机构。据此,从事收单业务的经营者,既可以是银行,也可以是支付机构。例如,“拉卡拉”“快钱”等支付机构即主营此类业务。可见,除了提供支付网关与支付账户外,支付机构还可以为特约商户收单,开展资金结算业务。《征求意见稿》第12条统一调整收单行与从事收单业务的支付机构。但是,《银行卡解释》第11条仅涉及收单行的责任承担,并未涵盖从事收单业务的支付机构。其内在妥当性存疑。
此类支付机构造成的盗刷风险,并不低于收单行。针对从事收单业务支付机构引发盗刷的刑事风险,在2019年9月11日,公安部刑侦局宣布,将联合银联等支付产业各方,严厉打击POS机违规贩卖、银行卡账户买卖、ETC二合一联名卡盗刷等犯罪行为。由此类支付机构引发的民事纠纷更是屡见不鲜。持卡人的借记卡就曾经被盗刷者利用“快钱”的自助终端进行了盗刷。支付机构与特约商户因为盗刷所产生的纠纷,在持续发生。例如,在“北京经纬智慧信息科技有限公司与现在(北京)支付股份有限公司委托合同纠纷”中,经纬智慧公司是提供商品或服务的特约商户。现在支付公司是从事收单业务的支付机构,主要为特约商户提供支付场景整合服务方案,满足支付需求。现在支付公司通过其电子支付服务平台,为经纬智慧公司提供收单的电子支付服务。在发生盗刷后,发卡行先根据盗刷额向持卡人先行偿付,再扣除现在支付公司的保证金。随后,现在支付公司向经纬智慧公司追偿。
可能有观点会主张,从事收单业务的支付机构,可以纳入《银行卡解释》第10条的规制范围。但是,此观点缺乏正当性。因为支付机构承诺“先行赔付”本就不属于行业常态,而且,从事收单业务的支付机构,更加不会向持卡人承诺“先行赔付”。例如,《快钱用户服务协议》就没有“先行赔付”的承诺,而是明确规定了,“这些风险均会给您造成经济损失,除非可证明本公司对损失的形成存在故意或重大过失,本公司将不承担任何责任”。当中原因在于,此类支付机构与持卡人没有合同关系。此类支付机构未与持卡人签订合同,既不会为其支付行为提供支付账户服务,更无法触及持卡人的银行账户,与《银行卡解释》第10条所指涉的“支付网关型支付机构”截然不同。相反,此类支付机构与特约商户签订收单委托合同,为其接收款项开展清算服务(见图2),应被定性为为特约商户执行收款行为的履行辅助人。
图2 从事收单业务的支付机构所涉之支付流程
据此,从事收单业务的支付机构应与收单行处于同一法律地位。然而,《银行卡解释》对此应当调整之事宜表示沉默,缺乏适当规则,进而存在法律漏洞。基于“同等事项同等处理”的正义要求,《银行卡解释》第11条的追偿规则,应类推适用至从事收单业务的支付机构。
3.发卡行对电信运营商间的追偿权
《征求意见稿》第20条曾经规定:“他人冒用持卡人的名义更换手机用户身份识别卡,电信运营商未尽审慎审核义务予以更换,导致持卡人未能收到银行卡账户变动手机短信通知,持卡人请求电信运营商赔偿相应损失的,人民法院应予支持。”《银行卡解释》并未设置调整电信运营商责任的规定。
在交易实践中,持卡人可以在电子银行中开通“账号支付”,是由电信运营商提供通过手机短信验证码进行支付的服务。因电信运营商未能严格审核持卡人的身份信息或者系统不完善等原因导致盗刷的案例并不罕见。在“中国移动通信集团吉林有限公司与黎明、中国建设银行股份有限公司长春三道街支行合同纠纷”中,裁判者全面地论述道,“黎明与移动公司之间成立电信服务合同关系,移动公司负有完善业务、维护系统安全的义务,因移动公司业务和系统不够完善,所提供的短信过滤和短信仓库业务存在安全问题,且被他人不法利用,导致黎明与该手机号码相关联的银行卡内资金发生损失,移动公司未尽到电信服务义务而构成违约,应承担黎明的损失”。鉴于《银行卡解释》的制定者没有对责任主体进行通盘考虑,导致电信运营商的相关规则阙如,构成法律漏洞,理应予以填补。
具体填补路径,无须采取《征求意见稿》第20条的规制路径。该条实质上认为,电信运营商因为过错导致持卡人的损失,应承担独立的损害赔偿责任。此考量之谬误,与《银行卡解释》第10条的相同。正如支付机构无须承担法定责任之原理,电信运营商未尽严格审核义务,实际造成了发卡行的损失。
其实,在发卡行先行偿付为主导的背景下,电信运营商所涉的法律关系,主要包括了两种情形:发卡行向电信运营商追偿和电信运营商向盗刷者追偿。前者可以通过类推《银行卡解释》第11条第3款,授予发卡行对存在过错的电信运营商追偿权;后者可以类推第12条予以补足,使得已经向发卡行承担责任的电信运营商可以向盗刷者追偿。
结语
综上,《银行卡解释》关于银行卡盗刷责任分配的相关规则,应作出以下调整:(1)在调整范围上,不区分真卡盗刷与伪卡盗刷,统一纳入《电子商务法》第57条第2款的非授权支付责任分配结构内。(2)在责任承担结构上,支付机构只应承担约定的“先行赔付”责任,收单行、特约商户不应直接对持卡人承担盗刷的赔偿责任。在涉及网络支付功能时,持卡人的授权支付,必须结合《民法典》《消费者权益保护法》《电子商务法》等展开讨论。(3)在责任分散结构上,《银行卡解释》第11条的核心功能是,补足发卡行与特约商户、支付机构间的追偿权。支付网关型支付机构、从事收单业务的支付机构及电信运营商的追偿关系,均应通过类推适用的方式,予以法律漏洞续造。
法律文本不是理论与实践的“终结者”。《银行卡解释》的施行,对于统一裁判实践,澄清当事人的利益结构,确立了基本的共识。但是,其受制于文本的内在不足,仍无法平息学说与裁判争议,更不应阻却理论探究之深入。尤其是支付科技的提升、数字经济的发展,必然为《银行卡解释》创设更多的适用场景。唯有解释论的持续更新,方能赋予《银行卡解释》源源不断的生命力。
