网上支付中的民事责任研究,本文主要内容关键词为:民事责任论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
中图分类号:D923 文献标志码:A 文章编号:1009-8003(2007)05-0055-06
资金能否在网上流动关键在于是否存在合适的网上支付工具,是否存在合适的法律规则分配网上支付风险。到2000年为止,在美国互联网商业中,绝大多数零售业使用信用卡。此外,还有少量互联网交易使用借记卡。[1]在英国和澳大利亚,除使用银行卡外,尚有少量互联网交易使用电子货币。[2]网上支付中的最大风险是安全风险,从法律角度来看,在安全风险不可能消除时,建立一套合适的风险分配机制有利于网上支付及电子商务的发展。由于电子货币可以通过最高限额控制风险,因此本文仅涉及银行卡。
一、银行卡风险承担机制之经济分析
持卡人网上使用银行卡时最担心的问题是未获授权使用,如黑客截获银行卡账号并破解密码后使用。当一笔资金从持卡人账户中被提出并落入非预定接受者之手时,肯定性错误随之发生。非预定接受者可能是发起错误支付的盗贼或无辜的当事人。这种错误的直接损失是从账户中被提走的资金,通常为支付工具的面额。因此,对于肯定性错误而言,损失金额很容易确定,问题是如何分配已知损失。
有时,银行是惟一可以采取预防措施的当事人。有时,持卡人可能是惟一可以采取预防措施的当事人。当损失源自持卡人授权使用存取工具但遭滥用时,亦应主要由持卡人采取预防措施。假设持卡人将卡片交给另一当事人并告知密码,指示后者用卡不能超过一定限额但后者用卡时超过限额,这几乎等同给予某人空白支票。此时,由持卡人采取预防措施以避免损失的成本几乎为零。另一方面,由银行采取预防行为非常困难,因为持卡人已自愿让违法作恶者规避了银行提供的保护措施。当然,可以技术创新,但持卡人这类行为亦会限制其效率。由于所涉行为是有意的、自愿的,持卡人可能对责任规则做出反应。因此,损失减少规则倾向于由持卡人承担损失。然而,这种结果与损失分散原则直接冲突,后者继续倾向于由银行承担责任,原因在银行很容易分散损失。
大多数案件可能远远没有上述例子明显,原因在于银行和持卡人均可采取预防措施。例如,持卡人只要小心谨慎就可避免遗失借记卡而产生损失,银行可在卡片的设计上进行技术创新而减少损失。虽然持卡人遗失卡片难以避免,但当然可以避免将密码写在卡上。因此,持卡人可能会被认为是最便宜的损失避免者,因为只要不粗枝大叶即可。
然而,该论点忽视了技术创新及其后果。在减少信用卡和借记卡损失这一问题上,密码只是技术创新的起点而不是终点。研究人员正在开发一系列新颖的身份识别工具,部分工具依赖生理特征,诸如指长、签字速度和力量、掌纹和声纹,而其他工具依赖与密码相似但已有所改进的编码系统。这意味着对于持卡人采取更多预防措施可以避免损失的情形,银行同样有能力避免损失。
因此,对于大多数肯定性错误,双方都可能采取预防措施。持卡人几乎总能采取某些预防措施,而对于促使其采取预防措施的责任规则至少会做出部分反应。但银行通常可采取其他预防措施,并且技术创新可进一步减少损失。因此,对于肯定性错误,有效率的法律规则是让每一方承担足够责任以促使其采取符合成本效益原则的预防措施,即每一单位开支会最大程度地减少损失的预防措施。此外,如果损失不可避免,法律必须有效率地分散损失,必须确立使损失执行成本最小化的简单规则。
解释这种规则的起点是,应在持卡人有能力采取预防措施时提供避免损失的部分动力。但反应因素表明存在一个最佳责任点,超过该点即使责任增加,持卡人不会再采取更多的损失避免行为。超过该点应由银行承担全部损失,因为银行能分散损失并开发新的技术以抵消本身及持卡人粗枝大叶而产生的损失。损失执行原则表明应设立固定金额的责任限制,持卡人和银行都应严格承担所分配的部分损失。因此,对于双方均可采取预防措施的肯定性错误,经济上有效率的规则是持卡人只需要承担限额责任。持卡人严格承担限额以下的责任,而银行严格承担限额以上的责任。我们称之为“持卡人限额责任”规则。
在绝大多数案件中,双方均可采取预防措施,因而将适用持卡人限额责任规则。在制定这种法律规则时,将责任限制确定在有效率的水平上是一个主要问题。美国联邦法律中的各种限额显然是猜测和政治妥协的结果。采用更为合理的方法需要获取市场数据或由市场产生的经验数据。如果经验证据表明,持卡人采取的预防措施根本不是对责任的反应或缺乏弹性,那么经济学原则将倾向于由银行承担严格责任;如果经验证据表明恰恰相反,必须面对将责任限额准确地定在何处这个难题。
由于现在无法获得相关数据,我们只能推测某些可能的选择。也许持卡人对法律确定的支付损失分配规则无任何反应。该主张并不奇怪,持卡人可能根本不知道责任规则,但因避免承担责任之外的原因而采取预防措施。持卡人可能根本不会对责任规则做出反应这一点表明,银行对所有肯定性错误带来的损失应承担严格责任,或持卡人责任的法律限制应定在名义责任之上。
另一种可能是,持卡人采取的预防措施与责任规则之间具有部分弹性。为做出反应,持卡人需要知道法律将某些支付损失已分配给他,而且不能严重低估损失发生的可能性。如果存在以上情况,将责任限制提高到象征性责任以上将大大减少损失并使持卡人采取更多预防措施。然而,随着责任的增加,持卡人采取预防措施的增长速度在递减,即持卡人采取预防措施并未有多少增加,不能分散的损失越来越多,这给持卡人带来的压力亦越来越大。此时,最佳的责任规则是将持卡人责任限制在一个数量较大但又不太多的金额上。该规则模仿大多数私人保险合同的做法,因为持卡人对最初损失承担严格责任直到某一限额为止与保单中的免赔额相似,而银行应对超过限额的损失承担严格责任。[3]
二、银行卡风险承担机制之比较
根据我国《银行卡业务管理办法》,如果借记卡遗失或被盗,持卡人承担挂失手续办妥前的全部责任。这意味着持卡人对借记卡挂失手续办妥前的未获授权使用承担“无过错责任”。《办法》对信用卡未获授权使用无规定,因此信用卡发卡银行可在章程或协议中自由地“约定”挂失责任及丢失密码的责任,法律无任何限制。
根据中国人民银行于2005年发布的《电子支付指引(第一号)》,因银行原因导致客户资料信息被泄露或篡改的,造成客户损失,银行只有止损、通知和协助义务而无赔偿责任;未获授权使用,银行亦不承担责任。客户承担了所有电子支付风险,指引对其责任无任何限制,而客户责任建立在“无过错责任”之上。①
依据中国银行《长城人民币信用卡章程》,挂失手续办妥之前、办妥之后当天和次日发生的未获授权损失均由信用卡持卡人承担。《长城国际卡“网上信用卡服务”用户条款》规定,持卡人必须妥善保管网上信用卡服务的个人密码及用户名称,并对使用该密码及用户名称所进行的所有活动负全部责任。根据以上规定,不论持卡人是否有过错均须承担责任,这种责任建立在“无过错责任”之上。②而《长城国际信用卡申领合约(个人卡)》规定,除非持卡人能够提供有效、真实的相反证明,所有记录即视为持卡人使用国际卡的记录,持卡人应承担由此产生的欠款。该规定表明,举证责任由持卡人承担。
英国《银行业守则》规定,在持卡人的信用卡遗失或被盗或有人获悉密码通知银行前,对于信用卡被盗用所造成的损失,持卡人最多承担50英镑的责任。在持卡人无需亲临现场就能完成的交易中,即远程交易中,如果有人未获持卡人授权而使用其信用卡,持卡人无需承担任何责任。如果持卡人使用借记卡“未能尽到合理注意”③并由此导致了损失,持卡人可能要承担责任,而信用卡中无此规则。不过,如果持卡人的行为不构成重大过失,持卡人无需承担责任。根据以上规定,英国持卡人对于信用卡未获授权使用需要承担“无过错责任”但享有“责任限制”。远程使用信用卡无需承担任何责任,即“无责任”。借记卡持卡人原则上亦享有“责任限制”,但如果持卡人存在过错,则不享有责任限制。
依据《信贷诚实法》和美联储Z条例,持卡人对未获授权使用信用卡负责必须满足下列条件: (1)持卡人已接受信用卡;(2)责任不超过50美元;(3)发卡机构就潜在责任向持卡人发出过说明通知;(4)发卡机构向持卡人说明了在信用卡丢失或被盗窃时通知发卡机构的方法;(5)未获授权的使用发生在持卡人就信用卡丢失或被盗通知发卡机构前;(6)发卡机构提供了一种技术方法,依该方法持卡人可确认其就是已获授权使用该卡之人。如果持卡人声称一项收费未获授权,发卡机构有责任证明以上每项条件均已满足。由此可见,美国持卡人对于信用卡未获授权使用需要承担“无过错责任”但享有“责任限制”。而且,一旦发生争议,举证责任由发卡机构而不是持卡人承担。
《电子资金划拨法》及美联储E条例规定,持卡人对借记卡未获授权使用的责任限制应分为三种情形且分段计算:第一,如果持卡人在获悉借记卡遗失或被盗之日起2个营业日内通知发卡机构,责任限额为50美元;第二,如果持卡人在获悉借记卡遗失或被盗之日起2个营业日内未通知发卡机构,责任限额为500美元;第三,如果持卡人在发卡机构将定期对账单传送之日起60天内未报告未获授权的电子资金划拨,则无责任限制。根据以上规定,持卡人对借记卡未获授权使用原则上需要承担“无过错责任”,但享有“责任限制”。不过,在例外情况下不享有“责任限制”。
澳大利亚《电子资金划拨行为法》规定,如果发卡银行能证明持卡人的欺诈或疏忽是损失发生原因,或在知晓支付工具发生滥用、遗失或被窃或密码的安全性遭破坏后不合理的迟延通知是损失原因,持卡人应承担通知发卡银行前发生的损失。如果持卡人不存在欺诈或疏忽或不合理的迟延通知且未获授权交易需要密码,持卡人最多承担 150澳元的责任。在决定持卡人应否承担责任时,须考虑所有合理证据,包括所有发生的交易之合理解释。以上规定说明澳大利亚在银行卡责任承担问题上未对借记卡和信用卡做出不同规定,而是统一适用相同规则。如果持卡人不存在疏忽或未有不合理的迟延通知行为,持卡人需要承担“无过错责任”但享有“责任限制”。然而,如果持卡人存在过错,则不享有“责任限制”。
三、我国银行卡风险承担机制之完善路径
我国银行卡立法的效力层次不高,对持卡人保护得很不够。行政规章要求借记卡持卡人承担挂失前的全部风险。《电子支付指引(第一号)》的规定基本相同,甚至规定因银行过错而导致持卡人损失,银行无赔偿义务。中国银行制定的格式合同更是让持卡人承担信用卡挂失前、挂失当天及次日的全部风险,不公平性昭然若揭。
民事责任归责原则主要有过错责任、推定过错责任、无过错责任和公平责任。如果银行卡支付适用过错责任,并由持卡人举证银行有过错,由于银行卡支付基本上是小额支付,持卡人无动力起诉银行。即使举证责任转移由银行承担,如果仍要持卡人主动起诉,考虑到要缴纳诉讼费、律师费,持卡人亦要投入时间和精力,持卡人仍有可能无动力提起诉讼。再假设法律规定持卡人胜诉后,可能获得诉讼费、律师费和必要补偿,法院审理案件的成本可能超过诉讼收益。对整个社会而言,这种制度设计仍将无效率。如果法律规定持卡人一旦提出银行卡支付未获授权,银行就有义务更正错误,银行就必须通过诉讼来主张该项支付已获授权。这种制度设计虽然解决了持卡人提起诉讼动力不足的问题,但同样基于成本效益考虑,银行可能不会起诉持卡人,而且还可能产生持卡人的道德风险问题。银行很可能通过提高收费的方式将风险转嫁给全体持卡人,或通过保险将风险转嫁给保险公司。即使银行起诉持卡人,诉讼收益与银行、持卡人及法院在这种案件中所耗去的成本相比将是微不足道的。不论银行目的如何,这种诉讼对于整个社会而言不宜鼓励。
如果银行卡支付适用推定过错责任,首先要解决的问题是推定银行还是持卡人存在过错。如果持卡人或银行存在明显过失,推定其存在过错未尝不可。但如果持卡人或银行的过错不明显,要证明哪一方存在过错成本巨大。而且,哪一方要证明对方存在过错都不容易甚至不可能。这导致持卡人或银行主张权利的动力不足。更何况有时持卡人或银行均不存在过错。适用推定过错责任无法解决此时产生损失的责任承担问题。即使能解决推定谁存在过错问题,只能起到举证责任转移的效果。推定过错责任亦难以解决持卡人或银行起诉动力,当事人过错证明,当事人及法院诉讼成本,诉讼成本大于诉讼收益等问题。因此,适用过错推定责任对于整个社会而言仍然是无效率的制度设计。
如果银行卡支付适用公平责任,首先需要有持卡人或银行提起诉讼。然而,由于银行卡支付基本上小额支付,不论最初损失是由持卡人或银行承担,他们提起诉讼的动力都不足。即使有持卡人或银行起诉,法院需要考虑何谓“公平”。这需要法院作大量事实调查并综合考虑各种因素,由此导致法院诉讼成本巨大。因而即使适用公平责任,也难以解决持卡人或银行主张权利的动力,更难以解决当事人及法院需要花费较多诉讼成本。这种制度设计对于整个社会而言还是无效率的规则。
如果银行卡支付适用无过错责任,即严格责任,首先要解决的问题是由谁承担严格责任。由银行承担严格责任可强而有力地保护持卡人,但如果持卡人不承担任何责任,恐怕会放纵持卡人的疏忽行为。如果由持卡人承担严格责任,无论从法理上,还是从促进经济发展,达到最高经济效率来说,绝对不合适。我国银行卡持卡人在报失前要承担全部损失,这意味着持卡人承担“严格责任”,但这只是现行行政规章和发卡银行的规定。这些规定体现在发卡银行制订的格式合同中,属于一种格式免责条款。
从其他国家或地区法律规定来看,银行卡持卡人一般承担“无过错责任”但同时享有“责任限制”。就信用卡而言,英国、美国、澳大利亚均规定持卡人需要承担无过错责任,但同时享有责任限制。英美两国不考虑信用卡持卡人是否有过错一律适用享有责任限制的无过错责任。但是,澳大利亚法律规定,如果持卡人存在过错,则不享有责任限制。这意味着持卡人此时需要承担“过错责任”。然而,正如以上所述,银行卡支付适用过错责任会产生种种问题,这是一种无效率的制度设计。因此,我国信用卡支付责任规则不宜借鉴这些国家的规定而在例外情况下适用过错责任。
值得一提的是,英国持卡人在远程使用信用卡时不需要承担任何责任。这亦是欧盟《远程货物销售指令》的要求,说明在所有欧盟国家都是如此。该制度设计富有效率,所有损失由银行承担。此时不会产生任何争议,也无需通过诉讼来解决损失分担问题。然而,银行肯定会将损失以提高收费的形式转嫁给持卡人,或以投保的形式转嫁给保险公司。这样,持卡人最终仍需承担部分损失。最大问题在于,如果持卡人不承担任何责任,恐怕必然放纵持卡人的疏忽行为,并导致持卡人保护过度。远程使用信用卡,特别是通过开放式网络如互联网使用信用卡风险很大,由银行承担所有风险意味着其必须为持卡人的粗枝大叶行为“埋单”。因此,我国信用卡支付责任规则不宜借鉴英国及欧盟的此项规定。
就借记卡而言,英国、澳大利亚法律规定基本一致。如果持卡人不存在过错,则需要承担“无过错责任”但享有“责任限制”。然而,如果持卡人存在过错,则不享有责任限制。但是,美国法律规定有所不同。持卡人获悉借记卡遗失或被盗之日起 2个营业日内通知发卡机构享有50美元责任限制,未在此期间通知享有500美元责任限制,但在对账单传送之日起60天内未报告未获授权的电子资金划拨,则无责任限制。该规则过于复杂,不宜借鉴。而且,如果持卡人要在对账单传送之日起60天内报告,则必须审查对账单。这意味着持卡人有义务审查对账单。不过,对持卡人课以对账单审查义务并不一定合适,英国、澳大利亚借记卡持卡人无此义务,而英国、美国和澳大利亚信用卡持卡人亦无此义务。持卡人审查对账单的真实动机可能不是旨在避免责任,而是为保持账户可用,或审查是否存在应由银行承担责任的错误。笔者以为,无论从保护持卡人权益角度,还是从成本与效益角度,在银行卡法律制度中,不宜确立持卡人负有对账单审查义务。
值得探讨的问题是,借记卡要不要保留持卡人有过错时无责任限制这个例外。英国、澳大利亚均承认这个例外,但美国不承认。这个例外实质上适用了民法中的过错责任原则,但正如以上所述,银行卡支付适用过错责任会带来种种问题。因此,笔者认为银行卡支付中不宜保留这个例外。这一来,借记卡支付责任规则与信用卡支付责任规则都适用享有责任限制的无过错责任,即“限额责任”。这是一种行之有效的制度设计。持卡人需要承担一定责任以促使其保持必要的谨慎。而银行需要承担限额以上的责任,亦可促使其谨慎处理持卡人的支付指令,为其研发更好的技术以防止欺诈提供动力。
英国、澳大利亚在银行卡法律制度上采用合并立法体制,而且澳大利亚在具体规则上亦未对借记卡和信用卡做出区分。在美国,银行卡法律制度采用分别立法体制,并且信用卡持卡人享有的责任限制较低,而借记卡持卡人区分不同情况分别享有50美元、500美元责任限制或无责任限制。
有美国学者就指出:第一,以功能不同为据而区分信用卡和借记卡,理由并不很充分。两者具有类似功能,而分担损失风险亦具有相同目标,即促使各方采取符合成本效益原则的预防措施。第二,在一个信用卡只为具有经济优势地位的人拥有的社会,区分信用卡和借记卡可能产生社会成本和政治成本。第三,由于可以推定信用卡和借记卡持卡人之间在社会地位和经济地位上存在差异,大多数国家的借记卡使用人很可能是不太老练的持卡人,因此在出现欺诈等情况时更需要获得救济与保护。[4]
笔者认为,分别立法体制不利于降低立法成本,导致相关规则不统一,并在持卡人中间产生混乱。更为重要的是,从保护持卡人权益角度而言,借记卡一旦发生风险,持卡人蒙受的损失并不见得比信用卡风险小。因而,我国不宜借鉴分别立法体制,亦不宜为借记卡和信用卡制订不同的规则。笔者建议,我国《银行卡条例》,甚至未来银行卡法律继续采用现行行政规章中的合并立法体制,并为借记卡和信用卡制订相同的责任规则。由于信用卡和借记卡直接与持卡人账户相连,对于持卡人来说,风险比较大,设立相对比较低的责任限额比较合适。就中国目前情况而言,笔者认为,银行卡未获授权使用时持卡人承担责任限额在1000元内比较合适。
有的学者指出,若第三方欺诈或假冒付款人名义,只要银行能证明其在安全程序上是合理可靠的,名义付款人需对无权支付命令承担责任。[5]尽管有的学者认为,在价值取向上,有关法制应注意对持卡人,尤其是个人持卡人的保护,但又认为法律分配风险时应向银行作倾向性的保护。[6]这些学者对持卡人保护问题并未给予足够的注意。
如何平衡银行与持卡人的利益是一个需要仔细考虑的问题。网上支付的最大风险是安全风险。尽管有了安全电子协议与安全套接层协议,但谁也无法保证黑客或罪犯不能从网上截获有关支付信息。有的计算机专家就指出,没有完美的计算机安全,安全不是一个目标而是一个追求过程。[7]持卡人的力量是渺小的,机构的力量是强大的。让持卡人承担全部风险反而会使电子商务及网上支付举步维艰,安全技术得不到迅速发展,而相关保险业务亦无法发展起来。因为,如果持卡人认为网上支付是不安全的,或会给自己带来无法预料的损失,就不会或少从事网上交易或网上支付。因此,明智的做法是让银行及商家承担因未获授权交易而产生的大部分甚至全部风险。
四、完善我国银行卡风险承担机制之具体建议
从长期目标来看,我国银行卡责任规则应建立在有责任限制的无过错责任之上。银行卡未获授权使用时持卡人承担的责任应限制在1000元以内,至于超过限额以上的损失由发卡银行承担。
从中期目标来看,我国银行卡责任规则应兼采无过错责任和过错责任。无过错责任应设立限制,而责任限制与长期目标中的责任限制一致。如果持卡人存在过错,则不享有责任限制,但应由银行举证证明持卡人有过错。除举证责任由发卡银行承担外,关键在于确认哪些情况下持卡人有过错。银行卡遗失或被盗或密码泄露不见得就能认定持卡人存在过错,因为任何持卡人无法保证银行卡或密码绝对安全。英国、澳大利亚主要将因持卡人不慎而导致密码泄露认定其存在过错。笔者建议,发生下列情况可认定持卡人存在过错: (1)因行为不慎而导致密码泄露者;(2)未在信用卡上签名导致第三人冒用者;(3)出租、转让、转借银行卡者;(4)银行卡遗失或被盗后怠于通知者; (5)办理挂失手续后,未提出发卡银行请求的文件、拒绝协助调查或有其他违反诚信原则者。此外,还可以确认持卡人有义务审查对账单并报告未获授权交易,并规定对账单传送之日起60天内仍未报告者,发卡银行有权认为账单正确无误。
从近期目标来看,由法院运用《合同法》和《消费者权益保护法》来解释银行卡章程、使用规定及领用合约中的格式条款,对部分条款作限制解释,并宣布部分条款无效。[8]例如,一些银行规定,对于电话挂失只协助防范,不承担任何责任。其实,电话挂失与书面挂失在本质上都是当事人要求挂失的明确意思表示。因此,只要银行接到挂失请求,就负有立即止付,确保持卡人财产安全的义务。中国银行要求个人卡自递交“注销卡申请书”之日起45天内,仍应继续承担被注销卡产生的债务或风险损失。该条明显加重了持卡人的责任,属于银行单方面制订的不公平规定,旨在将不合理风险转嫁给持卡人。中国银行规定,违反章程及个人卡使用规定而产生的一切后果均由持卡人负责。中国银行要求持卡人承担一切责任显然是不公平的,因为中国银行可能也存在过错,如未履行信息披露义务或告知义务。中国银行还强调,任何情况下都不会对未能传输或删除资料、未能传送或储存信息承担任何责任。这明显属于中国银行制订的免除其责任的“霸王条款”。以上规定因违反《合同法》和《消费者权益保护法》,法院应宣布这些条款无效。
收稿日期:2007-05-12
注释:
①单笔支付金额和每日累计支付金额限制有助于减少客户损失。《电子支付指引(第一号)》规定,银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币。
②中国银行在银行卡章程和协议中还规定,持卡人有保管义务、通知义务、对账单审查义务、签名义务,禁止转借、转让、出租银行卡及一切违反章程的行为。一旦违反这些义务即认定持卡人存在“过错”,并承担由此产生的“过错责任”。
③持卡人应尽的合理注意有:不将支票簿和借记卡放在一起;不允许任何人使用卡、密码、口令或其他安全信息;应谨慎选择新密码;牢记安全信息;不将安全信息写在纸上或记录下来;采取合理步骤确保信用卡安全;保证信用卡收据安全并谨慎处理;不将账户细节或安全信息透露给任何人。
标签:信用卡论文; 借记卡论文; 信用卡风险论文; 银行风险论文; 信用卡安全论文; 法律规则论文; 支付安全论文; 网上支付论文; 限额设计论文; 法律论文; 对账单论文; 发夹论文; 银行论文;