平臺經濟用戶的責任規則重構
——基于未授權支付的研究

黃尹旭

一、問題的提出

未授權支付是指在未經用戶以約定方式授權的情況下，用戶以外的他人發出支付指令，導致用戶賬戶資金減少或授信額度被占的情況。歐盟修訂后的支付服務指令〔1〕Directive （EU） 2015/2366 of the Euroрean Рarliament and of the Council of 25 November 2015 on рayment services in the internal market, РSD2.采取的立場，是授權支付的核心是得到用戶的同意：僅在付款人同意執行付款交易時才認為付款交易是經授權的，在未經同意的情況下，支付交易應被視為未經授權。〔2〕See Directive （EU） 2015/2366, Art. 64.簡言之，未授權支付就是未得到用戶實質同意之支付。

未授權支付涉及多方主體，用戶作為被侵權人與通過未授權支付直接獲益的直接侵權人之間的法律處理較為簡單，適用一般侵權法和刑事法即為已足?！?〕參見萬志堯：《對第三方支付平臺的行政監管與刑法審視》，載《華東政法大學學報》2014 年第5 期，第40 頁。但尋找直接侵權人較為困難。因此，支付糾紛發生時，首先需要解決的是如何在原本的債權債務人之間分配損失。在我國《電子商務法》正式實施之前，未授權支付無法律明確統一規定，在司法適用和消費者保護方面存在諸多問題。因為請求權基礎存在差異空間，既有裁判多滑向基于過錯的侵權責任法路徑，此于因支付復雜性而常處于犯錯邊沿的用戶不利。銀行與非銀行支付機構雖然同為支付服務提供者，但處理思路有所不同。特別是《最高人民法院關于審理銀行卡民事糾紛案件若干問題的規定》（以下簡稱《銀行卡糾紛規定》）與《電子商務法》規范有所沖突，且制定程序有一定問題，應當予以進一步澄清。

《電子商務法》第57 條專門規定了未授權電子支付發生后用戶與電子支付服務提供者之間的責任承擔機制。同時第57 條涉及用戶和服務提供者之間的責任遷轉和反復，對于其他法律條文中不多見之“用戶過錯”規定，將用戶從平臺方獲取賠償置于全有或全無之境地——并不存在“完美”用戶，機械理解《電子商務法》第57 條規定內涵可能導致用戶重新陷入求償無門之窘境。因此，對《電子商務法》第57 條規范之“用戶過錯”加以詮釋、延展與續造具有特別意義?；凇坝脩暨^錯”的數字經濟時代平臺與用戶責任構造機理的范式闡釋亦可對《民法典》等一般性規范的理解和適用產生衍生價值。

二、未授權支付損失分配規則窘境與《電子商務法》的因應

（一）繁復的司法規則：銀行卡在支付交易中有無的意義

根據《電子支付指引（第一號）》的規定，電子支付是指“單位、個人直接或授權他人通過電子終端發出支付指令，實現貨幣支付與資金轉移的行為”。線下銀行卡取現交易的基本模式涉及發卡行和持卡人，在線下銀行卡消費交易中，還涉及特約商戶、收單機構、特約商戶的開戶行等?！?〕參見中國支付清算協會：《支付清算理論與實務》，中國金融出版社2017 年版，第185-189 頁。但研究銀行卡未授權交易責任承擔時只簡化討論取現交易模式。因為即使在消費交易模式中，特約商戶和收單機構的代理行為產生的責任依然由發卡行向持卡用戶承擔?！?〕參見廣東省東莞市第一人民法院（2013）東一法民二初字第5656 號民事判決書。相類似地，在未授權指令發出者（即直接侵權人）的責任之外，電子支付中的未授權支付責任承擔亦可簡化為“用戶—電子支付服務提供者”模式。這也是《電子商務法》第57 條主要規定用戶與電子支付服務提供者的法理邏輯所在。

銀行卡在電子支付中只發揮其內載的賬戶功能。然而，支付交易涉及銀行卡與否形成了不同的司法裁判思路。如《銀行卡糾紛規定》，最高人民法院一度也曾考慮制定非銀行卡支付的相關意見。特別是，《銀行卡糾紛規定》在責任形式和損失分擔規則上與《電子商務法》有一定沖突，且聲明“根據《中華人民共和國民法典》《中華人民共和國民事訴訟法》等規定”，〔6〕《銀行卡糾紛規定》于2019 年12 月2 日由最高人民法院審判委員會第1785 次會議通過，然而《民法典》于2020 年5 月28 日才經十三屆全國人大三次會議表決通過。并未明確依據《電子商務法》，其邏輯可能在于認為《電子商務法》支付相關條款只規制不涉及銀行卡的電子支付交易。而在監管部門規范非銀行支付機構備付金業務后，不涉及銀行卡的電子支付交易其實已經相對萎縮。

從理論而言，強行區分支付交易涉及銀行卡與否并無顯著意義。非經銀行賬戶在金融監管上有所不同，但并不構成民事責任承擔本質上的差異?！?〕參見黃尹旭、楊東：《金融科技功能型治理變革》，載《山東社會科學》2021 年第7 期，第143 頁。前置行政規制要求不同，并不影響因違規產生的請求權樣態。當然，銀行卡中的儲蓄卡背后依托的存款合同關系較為特殊，但存在將各種銀行卡交易和非銀行卡交易納入同一種法律關系的解釋路徑，如認為支付服務合同屬于承攬合同，在無特別規定時，又適用于委托合同的所有規定。〔8〕參見金?。骸墩撔庞每ê贤小耙暈楸救恕睏l款的法律效力》，載《東方法學》2015 年第2 期，第155 頁。可資借鑒的另一種解釋路徑是認為持卡人與發卡行之間的合意構成混合契約，包含存款、委托結算、信用借貸等多種法律關系?！?〕參見張雪楳：《銀行卡糾紛疑難問題研究》，載《法律適用》2015 年第3 期，第61 頁。后一種解釋可進一步理解為在支付活動中，用戶委托支付服務提供者處理多種事務，具體事務形成的具體法律關系可以個別處理。因此，支付服務中主要存在委托合同關系，這一理解可以推廣到幾乎所有類型的支付工具中。

另一個認為非銀行電子支付具有特殊性的理由在于特殊備付金規則打破“貨幣占有即所有”規則，使得銀行、非銀行支付機構與用戶形成不同法律關系?！斗倾y行支付機構網絡支付業務管理辦法》規定：“支付賬戶所記錄的資金余額不同于客戶本人的銀行存款，不受《存款保險條例》保護，其實質為客戶委托支付機構保管的、所有權歸屬于客戶的預付價值。該預付價值對應的貨幣資金雖然屬于客戶，但不以客戶本人名義存放在銀行，而是以支付機構名義存放在銀行，并且由支付機構向銀行發起資金調撥指令。”即貨幣交付后，以支付服務提供者名義混同存放于銀行，〔10〕依《支付機構備付金集中存管賬戶試點開辦資金結算業務的通知》等規定，支付機構備付金集中存管于中國人民銀行。用戶仍然所有虛擬賬戶內的貨幣價值。然而，正如《儲蓄管理條例》所規定的“儲蓄存款所有權”可以解釋為帶有支配權能的債權而非所有權，〔11〕參見陳承堂：《存款所有權歸屬的債法重述》，載《法學》2016 年第6 期，第105 頁。在非銀行支付中，用戶所有的仍舊是由存款貨幣和相關債權組成的貨幣符號。〔12〕參見王衛國：《現代財產法的理論建構》，載《中國社會科學》2012 年第1 期，第150 頁。不同之處僅在于用戶所有的并非是受到《存款保險條例》所保護的直接開立于銀行的存款賬戶，而是支付服務提供者的虛擬賬戶。銀行并不對虛擬賬戶單獨清算結算，因而監管部門強化用戶對于虛擬賬戶的支配權能，防范支付服務提供者濫用名義銀行賬戶。正是因為名義銀行賬戶權利被虛擬賬戶切割限制，才為人民銀行為用戶利益執行規制措施提供法理基礎。對債權的認知不因風險情況而發生變化，人民銀行的特殊規定只是為了防范風險，而并未改變民事關系的基本結構。

銀行卡支付與非銀行支付一個真正的不同之處在于：銀行卡作為有體對象表征無體財產權，得適用準占有規則。然而，司法裁判也并不傾向于適用準占有規則處理線下銀行卡糾紛?！?3〕參見王承堂：《偽卡交易損失的分配原理》，載《法學家》2018 年第5 期，第132 頁。在虛擬成為常態的數字經濟時代，為表征無體權利的有體物建立特殊規則已無必要?；阢y行卡有無而產生不同法律規則影響最大的尚不是民事領域。非銀行支付機構通過業務創新提供信用卡服務，但并不適用刑法關于信用卡的一系列規定，一定程度上縱容了犯罪，影響了我國的信用服務經濟秩序。綜上而言，電子支付服務的民事規則不因有無銀行卡而做原則性區別。既有裁判規則過于冗雜，產生了不當成本。

（二）用戶的窘境：基于過錯的謬誤

雖然支付主要涉及委托合同法律關系，但是用戶若受到侵害，在滿足一定條件下亦能提起侵權之訴。在《民法典》出臺前，銀行卡線下交易場景中發生的未授權支付，可依據《侵權責任法》第37 條要求銀行基于未盡到安全保障義務而承擔侵權責任?！?4〕參見張雪楳：《銀行卡糾紛中的民刑交叉問題研究》，載《商事審判指導》2011 年第3 期，第99 頁。在線上電子支付場景中發生的未授權支付，實踐中有兩種思路：其一是依據《侵權責任法》第36 條，電子支付服務提供者作為網絡服務提供者知道網絡用戶利用其網絡服務侵害他人民事權益，未采取必要措施的，與該網絡用戶承擔連帶責任；其二是依據《侵權責任法》第6 條，電子支付服務提供者有過錯侵害用戶權益，要求其承擔侵權責任。同時，電子支付服務提供者作為受托人卻執行未授權的支付指令，當然構成違約。因此，未授權支付案件往往涉及違約責任與侵權責任競合。〔15〕參見湖南省長沙市中級人民法院（2016）湘01 民終1990 號民事判決書。

實踐中，無論是侵權之訴，抑或違約之訴，法院對于未授權支付審理多趨同集中于雙方過錯的判斷?！?6〕參見羅培新、吳韜：《非授權交易中第三方支付機構的法律責任》，載《華東政法大學學報》2017 年第3 期，第85 頁。就侵權之訴而言，除另有規定，過錯是侵權人承擔責任的唯一歸責事由，是判斷侵權行為有責性的重要依據?！?7〕參見王澤鑒：《侵權行為》，北京大學出版社2016 年版，第4 頁。實踐中，原被告雙方主要爭議點就是被告是否對于未授權支付的發生存在過錯。〔18〕參見吉林省四平市鐵東區人民法院（2017）吉0303 民初892 號民事判決書。但將電子支付視為一項產品，〔19〕《侵權責任法》上的“產品”亦可能包含一些技術性智力產品，參見溫世揚、吳昊：《論產品責任中的“產品”》，載《法學論壇》2018 年第3 期，第78 頁。出現未授權支付可能是此產品有所缺陷，在侵權法上亦有適用產品嚴格責任之空間?！?0〕參見王承堂：《偽卡交易損失的分配原理》，載《法學家》2018 年第5 期，第138 頁。就違約之訴而言，電子支付指令是用戶作為委托人指示委托事項的重要意思表示，是委托合同的重要組成部分，〔21〕參見楊東、黃尹旭：《〈電子商務法〉電子支付立法精神與條文適用》，載《蘇州大學學報（哲學社會科學版）》2019 年第1 期，第67 頁。驗明支付指令是否經授權是受托人的主要義務之一。未授權支付在委托合同項下，可以解釋為，作為受托人的電子支付服務提供者，未得到作為委托人的用戶的實質個別授權，從而執行支付操作，受托人超越權限導致委托人受到損失，受托人有違注意義務應當承擔相應責任。根據《民法典》第929 條“超越委托權限”嚴格責任條款，在證明確屬未授權支付的前提下，電子支付服務提供者作為受托人應當賠償損失，在這個時候相關免責事項應當由受托人舉證。但受銀行卡盜刷案件審理慣性思維的影響，一些法官主要考察電子支付服務提供者是否履行作為附隨義務的安全保障義務，并一定程度代入基于過錯以及“誰主張誰舉證”的侵權法審判思維?！?2〕參見廣東省深圳市中級人民法院（2016）粵03 民終8178 號民事判決書等。在實踐中，亦有法院針對附隨義務違約堅持嚴格責任的審判思路（該判決較為重要，以下簡稱“北京判決”）?！?3〕參見北京市第三中級人民法院（2014）三中民終字第08153 號民事判決書。

即使不考慮委托合同及產品責任因素，沒有限制的過錯原則和“誰主張誰舉證”的舉證規則適用于未授權支付也與國際支付實踐和立法主流趨勢不符。美國法上采用用戶有限責任的方式，即持卡人承擔一定的有限責任，超過此限度的損失則完全由金融機構承擔。美國《誠實借貸法》和《電子資金轉移法》都規定了用戶的責任上限。〔24〕參見彭冰：《銀行卡非授權交易中的損失分擔機制》，載《社會科學》2013 年第11 期，第94 頁。美國消費者金融保護局《12 CFR 1005 條例》規定：只有在金融機構提供了法律要求的披露時，消費者才可以在一定限制范圍內對涉及消費者賬戶的未經授權的電子資金轉移承擔責任。消費者在發現未授權支付及時通知金融機構（可以合理延遲）的情況下承擔不超過50 美元的責任，未及時通知金融機構的情況下承擔不超過500 美元的責任?！?5〕See 12 CFR§1005. 6.歐盟РSD2規定，如果用戶聲稱發生未授權的支付，支付服務提供者需要證明支付交易得到認證且不受其他缺陷的影響，或者應提供證據證明某些支付服務用戶存在欺詐或重大過失。如果付款用戶在付款前無法知曉支付工具的丟失、被盜或挪用，或者損失是由支付服務提供者的員工、代理人或分支機構或其業務外包的實體的作為或不作為造成的，則用戶不用承擔任何責任；如果用戶沒有欺詐，抑或非因故意、重大過失而未履行相應法定義務，則用戶至多承擔50 歐元的未授權支付責任?！?6〕See Directive （EU） 2015/2366，Art.69.& Art.72. & Art. 74.

就效率層面而言，主流裁判規則苛責用戶，不利于金融消費者保護，也不利于促進技術提升?！?7〕參見彭冰：《銀行卡非授權交易中的損失分擔機制》，載《社會科學》2013 年第11 期，第93 頁。一般認為過錯責任能夠激勵用戶提高自我保護意識，但實際上激勵效果并不明顯，成本大于收益。因為電子支付技術的發展，支付業務流程和侵財犯罪的復雜程度日益上升，用戶很難僅靠自身力量保護自己的財產，用戶不是未授權支付事件中最節約的成本避免者。〔28〕參見王承堂：《偽卡交易損失的分配原理》，載《法學家》2018 年第5 期，第141-142 頁。電子支付侵財案件難以僅依靠提高防范意識而避免，用戶無法在事前防范侵害，也無法匯聚材料有效證明事件發生的前后事實，無法有效承擔舉證責任。因此，不僅過錯責任的設置失當，將主要舉證責任課予用戶也非公平。

（三）《電子商務法》第57 條對困境的回應

《電子商務法》對于電子支付的規定在支付流程上無涉是否適用銀行卡，在主體上并未區分銀行與非銀行支付機構，而統一規定為電子支付服務提供者。實踐中銀行開展的電子支付才是主流。中國人民銀行2005 年頒布的《電子支付指引（第一號）》的主要規制對象也是商業銀行。《電子商務法》貫徹市場經濟平等原則，有利于形成統一規則，避免單純因主體不同而設置不同規則形成規制洼地。

更為重要的是，《電子商務法》第57 條扭轉了既有裁判運用過錯責任的損失分配規則的傾向。《電子商務法》規定“未經授權的支付造成的損失，由電子支付服務提供者承擔；電子支付服務提供者能夠證明未經授權的支付是因用戶的過錯造成的，不承擔責任”。此規定應理解為將特定人過錯作為免責事由的嚴格責任。基于過錯的侵權法與基于契約的合同法在數字生態系統中日漸成為笨拙的工具?！?9〕參見楊東、黃尹旭：《元平臺：數字經濟反壟斷法新論》，載《中國人民大學學報》2022 年第2 期，第117 頁。原因在于私法調整的是平等主體之間的關系，而科技造成的能力鴻溝形成了難以通過工業經濟時代私法工具調整的不平等，〔30〕參見［德］托馬斯·維施邁爾：《人工智能系統的規制》，馬可譯、趙精武校，載《法治社會》2021 年第5 期，第110 頁?？陀^上需要國家更多介入，作為結果，《民法典》中規制型規范越來越多，作為侵權法例外的嚴格責任在立法中亦日益多見。技術創新業已成為避免風險最廉價的方式，應當給最有能力創新的電子支付服務提供者設置更多法律責任，以促進其推動技術進步，降低社會避免風險之成本?！?1〕See Robert D. Cooter & Edward I. Rubin, “A Theory of Loss Allocation for Consumer Рayments”, 66 Texas Law Review 63, 84（1987）.電子支付服務提供者將他人貨幣價值控制于自己之下而使該貨幣價值產生風險，也因保管獲得收益，其作為保管人具有控制風險之能力和義務，也可以通過規模化支付業務及建立賬戶安全保險等措施分散風險，已經符合承擔嚴格責任的正當性基礎。〔32〕參見王澤鑒：《侵權行為》，北京大學出版社2016 年版，第627 頁?！峨娮由虅辗ā返?7 條將未授權支付的歸責原則設置為電子支付服務提供者的嚴格責任，并要求電子支付服務提供者承擔“用戶過錯造成非授權支付”免責事由的舉證責任，有效地解決了既有法律框架中用戶救濟較難的情況?？紤]到電子支付服務提供者阻止未授權支付損失擴大的能力最高，《電子商務法》第57 條也規定電子支付服務提供者發現或者被通知未授權支付發生時，應當采取措施止損，如果未能采取有效措施，應當對損失擴大部分承擔責任。

《電子商務法》第57 條消弭了請求權基礎不同帶來的損失分配規則差異。違約與侵權在競合時差異極小，競合實益有限?！?3〕參見葉名怡：《違約與侵權競合實益之反思》，載《法學家》2015 年第3 期，第124 頁。請求權自由競合的觀點亦日益受到批評，主要因為合同法及侵權法各有特別規定，原告若自由選擇，法規目的可能落空?！?4〕參見葉名怡：《再談違約與侵權的區分與競合》，載《交大法學》2018 年第1 期，第20 頁。實踐中就存在未授權支付案件原告先提起侵權之訴，在法院釋明后轉為違約之訴的情況?！?5〕參見湖南省長沙市中級人民法院（2016）湘01 民終1990 號民事判決書。繼而，有論者提出當采請求權規范競合說，即行為請求權人只有一個請求權，但可有數個支撐該請求權的規范?！?6〕參見王澤鑒：《民法學說與判例研究》，北京大學出版社2015 年版，第599-600 頁。就此，《電子商務法》第57 條并未限定請求權形式，而為用戶的主張提供統一規范基礎?！峨娮由虅辗ā返?7 條改善了舉證責任問題。其明確規定了電子支付服務提供者承擔對于用戶過錯導致未授權支付的舉證責任，但對于誰來證明支付授權與否卻無明確規定。如果電子支付合同約定由用戶承擔舉證責任，又課予了用戶過多責任。雖然舉證責任倒置一般需要法律明確規定而無法直接適用，然而仍可結合經驗法則和公平原則的指導，并參考РSD2 等域外法規定的舉證規則，在實務中依照既有法律實現舉證責任在用戶與電子支付服務提供者之間輪替。

首先，電子支付服務提供者應舉證證明合同有效成立，即電子支付服務提供者有效認證用戶身份、支付指令要素等符合合同及技術標準所要求的形式化外觀。根據《最高人民法院關于適用〈中華人民共和國民事訴訟法〉的解釋》第91 條第1 款的規定，主張法律關系存在的當事人，應當對產生該法律關系的基本事實承擔舉證證明責任，因此，主張合同關系成立并生效的一方當事人對合同訂立和生效的事實承擔舉證責任。電子支付服務提供者應至少證明合同成立，即依照形式有效指令完成支付。歐盟РSD2 也規定，如果用戶拒絕授權已執行的支付交易或聲稱支付交易未正確執行，則支付服務提供者應證明支付交易已經過認證、被準確記錄、入賬且不受某些其他缺陷的影響。〔37〕See Directive （EU） 2015/2366, Art. 72.其次，用戶承擔較為緩和證明支付未授權的責任。用戶作為授權主體，最有能力判斷某項支付授權與否，其證明達到較大可能而非高度蓋然即可，〔38〕參見楊立新：《電子商務交易中電子支付服務損害賠償責任及其規則》，載《中州學刊》2019 年第2 期，第50 頁。如疑似未授權支付的交易對手與用戶并無交易往來或者無再次發生交易之需求。再次，作為最具證據搜集能力者，電子支付服務提供者可根據用戶陳述相應提出反證，如提供交易記錄、指令發出的IР 地址、指令發出設備GРS 定位信息等，證明用戶最初證明為偽證，作為相關證據保管者的電子支付服務提供者如果無故不提供則直接承擔無法證偽未授權支付責任。最后，電子支付服務提供者如無法證偽未授權支付，則再依本法承擔免責事由舉證責任。

三、未授權支付損失分配規則中“用戶過錯”的反思與續造

《電子商務法》第57 條規定電子支付服務提供者承擔未授權支付損失嚴格責任的免責事由是用戶過錯，即“電子支付服務提供者能夠證明未經授權的支付是因用戶的過錯造成的，不承擔責任”。未規定雙方皆有過錯的情況下是否可以進行過失相抵，既有司法裁判中對于類似案例多按過錯比例分擔，〔39〕參見陳承堂：《存款所有權歸屬的債法重述》，載《法學》2016 年第6 期，第106 頁。不過法條似乎并未有余地。雖依法理和《民法典》之規定，嚴格責任的承擔者也可因被害人之過錯減輕或免除責任?！?0〕參見王澤鑒：《侵權行為》，北京大學出版社2016 年版，第641 頁。然而，因為實踐中第三人承擔責任較為少見，損失本就在用戶與電子支付服務提供者之間分配，如果引入過失相抵規則，幾乎等效于規定過錯責任，第57 條第2 款將成為過錯舉證責任倒置條款。依《民法典》第1178 條的規定，“本法和其他法律對不承擔責任或者減輕責任的情形另有規定的，依照其規定”。侵權法規定和理論本不具有當然優先性，而是受到其他規范制約。因此，第57 條第2 款免責事由仍應在“全有或全無”框架下加以討論。不過，因為并不可能存在“完美用戶”，用戶或多或少存在錯誤是常態，如果機械理解本條規范，很容易在向未授權支付指令發出者求償之外，將用戶在未授權支付損失分配中置于全有或全無的境地?！坝脩暨^錯”不是常見的規范要素，《民法典》雖規定“網絡用戶”這一主體，但并未涉及“用戶過錯”這一要素。慎思與續造“用戶過錯”不僅能夠更加周嚴地適用未授權支付損失分配規則，也有利于數字經濟時代相關法律的理解與延展。

目前有效規范對用戶義務和過錯責任加以明確規定的多涉及水、電、郵政等公用事業，如《郵政法》《供電營業規則》《全國供用電規則》以及一些城市自定的供電供水相關條例。這些規定實際上起到了帶有強制力的公共“合同”作用。用戶責任的規定往往作為公用事業在特定情況下的免責事由。這些規定往往謙抑克制，規定用戶責任的事項較少，公用事業免責較為嚴格。原因在于取之于民、用之于民的公用事業應在大多數情況下承擔相應責任，僅僅在“用戶過錯”等極為有限情況可免責。因此，在公用事業與用戶并不對等的天平上，“用戶過錯”法律規范作為“砝碼”的意義不在于加重用戶責任，反而是為用戶權益增添重量。簡言之，“用戶過錯”的法律意義在于有限列舉的方式規定公用事業責任免責范圍，而將圈外的無限責任可能留于公用事業。在數字經濟發展的當下，電子支付服務提供者往往是兼具支付外多種功能的超級平臺，一定程度上具有公共屬性。〔41〕參見黃尹旭、楊東：《超越傳統市場力量：超級平臺何以壟斷？——社交平臺的壟斷源泉》，載《社會科學》2021 年第9 期，第101 頁。對照公用事業，《電子商務法》的“用戶過錯”條款也應體現公共利益導向。因此，應當盡量具體化并限縮“用戶過錯”范圍，以此提高電子支付服務提供者責任承擔比重。此外，《電子商務法》第57 條規定的是無過錯要求的嚴格責任，事實上引入了風險社會“合規致害侵權責任”的理念。〔42〕參見何國強：《風險社會、風險分配與侵權責任法的變革》，載《廣東社會科學》2018 年第3 期，第235 頁。電子支付服務提供者不得以業務合規進行抗辯。反之，即使“用戶過錯”達到第57 條之免責標準，用戶仍可根據《電子商務法》第54 條，以電子支付服務提供者違規為由要求其承擔賠償責任。第57 條免責條款的核心在于如何理解“用戶過錯造成未授權支付”，可以拆分成為用戶過錯行為、主觀過錯程度與因果關系等方面進行闡釋。

（一）用戶過錯行為限縮

筆者主張根據體系解釋邏輯，應將第57 條第1 款與第2 款合并解釋，將第2 款“用戶過錯”解釋為用戶違反第1 款規定義務的過錯行為。其正當性和必要性在于以下三方面。

第一，規制法提供行為標準。行為標準的存在對于法官裁決是有必要的，而規制性規范提供最基本的行為標準。對于專業領域而言，缺乏專業知識的法官依靠既有規制性規范提供的特定行為標準可以有效減少評價困難，提高效率，有助于同案同判的正義目標實現。〔43〕See Ulrich Мagnus& Klaus Вitterich,“Tort and Regulatory Law in Germany”, inWillem H. van Вoom, Мeinhard Lukas&Christa Kissling ed.,Tort and Regulatory Law,Sрringer,2007, р.135.《電子商務法》規定的義務直接為法院考量用戶行為標準提供參照。

第二，格式合同形成的契約義務需司法審查。電子支付多是冗雜的格式合同，用戶沒有能力也無必要洞悉合同內容。依信息經濟學理論，嚴格責任是用戶完全信息的替代物，〔44〕See Robert D. Cooter & Edward I. Rubin, A Theory of Loss Allocation for Consumer Рayments, 66 Texas Law Review 63, 88（1987）.只要電子服務提供者承擔嚴格責任，用戶無需掌握過多信息即可放心使用服務。應當防止不當的格式合同借助“用戶過錯”渠道使得嚴格責任實際落空。電子支付服務提供者在格式合同中相關用戶義務的具體規定，必須考慮合同法的一般性公平原則，并適用《民法典》格式條款的有關規定。正如歐盟РSD2 所規定，雖然用戶應當遵守支付工具發行和使用的條款，但這些條款必須是客觀的、非歧視性的和相稱的?！?5〕See Directive （EU） 2015/2366, Art. 69.因為格式條款效力可能需要司法審查，因此實踐中對于相同的格式條款效力往往形成不同規則。對于用戶設置簡單密碼促成的未授權支付，有法院據此認定用戶存在一定過錯，〔46〕參見石家莊市中級人民法院（2018）冀01 民終4629 號民事判決書。亦有法院不考慮此點而專注于銀行審核義務。〔47〕參見宜興市人民法院（2016）蘇0282 民初1062 號民事判決書。不過，支付服務提供者簡單調整規則禁止設置簡答密碼就可避免大多數該原因導致的未授權支付——提醒少數業者注意的成本遠低于提醒極大數用戶個體注意。

第三，用戶法定義務業已尊重市場自發形成的秩序?！峨娮由虅辗ā冯娮又Ц队脩舴ǘx務是經過提煉和實踐認可的用戶合同義務，將既有電子支付合同中常見的用戶義務提升三條作為用戶法定義務：其一是安全工具保管義務，其二是安全工具問題狀態（遺失、被盜用）通知義務，其三是發現支付未授權通知義務?；谧罟澕s的成本避免者理論，用戶也應當在比較成本低時負擔一定責任。前述三項規則原本就被廣泛規定在電子支付合同之中，也經過實踐和理論考量，且被國際相關立法所廣泛采納。雖然用戶無法僅憑個人力量保護自我，但仍舊可以提高自我保護意識以降低被侵害之風險。支付安全工具是識別用戶身份的主要依據，也是支付安全的重要保障。作為支付安全工具的持有人，用戶應當善盡保管義務，并在發生風險后及時告知電子支付服務提供者。對此，歐盟РSD2 規定：有權使用支付工具的用戶應根據支付工具的發行和使用條款使用支付工具；用戶在發現支付工具丟失、被竊、被盜用或未經授權的使用時不得無故拖延地通知支付服務提供商或其指定的主體；用戶應特別在收到支付工具后，立即采取一切合理措施保證其個性化安全憑證的安全?！?8〕See Directive （EU） 2015/2366, Art. 69.用戶支付安全工具的保管義務和丟失通知義務有利于促進支付安全，減少可能的用戶欺詐的道德風險?！?9〕參見楊東、黃尹旭：《〈電子商務法〉電子支付立法精神與條文適用》，載《蘇州大學學報（哲學社會科學版）》2019 年第1 期，第68 頁。

同時，《電子商務法》第57 條第1 款用戶義務也僅構成第2 款“用戶過錯”的義務來源，違反法定義務行為不可徑直認為符合免責要件。違反規制性規范并不直接滿足過錯要件，個案裁量仍當為主要范式。〔50〕參見朱虎：《規制性規范違反與過錯判定》，載《中外法學》2011 年第6 期，第1199 頁。用戶違反《電子商務法》第57 條第1 款所載用戶義務，僅至多作為第2 款“用戶過錯”的過錯證據。具體展開而言：《電子商務法》第57 條規定的用戶義務是一般性的，而非基于具體用戶之合同條款特殊性的義務。對于所謂“妥善”和“及時”的理解，應當考慮到社會一般情況和社會普通人的認知能力和行為能力，合理加以具體界定。就與通知相關的義務而言，用戶非合理理由未及時通知支付服務提供者問題情況，就損失擴大部分可使后者免責，符合效率準則。然而，問題在于如何理解安全工具保管義務與用戶過錯。

實踐中，安全工具（在國內主要表現為密碼）有三個傾向：其一，將使用安全工具的行為等價為用戶的行為；其二，將安全工具泄露、遺失的責任推定由用戶承擔；其三，將安全工具泄露、遺失推定為未授權支付發生的主要原因。這是由于傳統上認為作為安全工具代表的密碼具有“私有性、唯一性和秘密性的特點”，〔51〕楊心忠：《賬戶密碼失密致理財資金損失的責任承擔》，載《人民司法（案例）》2017 年第23 期，第82 頁。既然密碼為用戶所獨知，不為外界知曉，則使用密碼者必是用戶本人，密碼泄露也必是用戶故意或過錯所致，繼而發生未授權支付的責任當由用戶承擔。然而，密碼的私有性與秘密性可能只是“空中樓閣”。大多數安全工具的可用性與安全性都在一定程度上互相沖突，隨著各種網絡攻擊日益頻繁，大規模密碼泄露事件層出不窮，為密碼安全提出進一步挑戰。支付服務提供者亦?？罐q用戶主張未授權支付實際上為其近親屬所為，但即使用戶常常事后追認近親屬支付的效力，但并不可否認支付發生時未經用戶之授權。實際上，此情形表明熟悉用戶之人較易在用戶不知情時推測出或盜取用戶密碼，亦透露出所謂密碼私有性之虛幻。提升交易安全不在于用戶設置更復雜密碼，而在于服務提供者主動提高安全性與可用性。隨著技術的發展，銀行及非銀行支付機構已經有多重手段驗證用戶的身份，并可以進一步識別、中止可疑交易。

前述北京判決認為銀行等支付服務提供者應當對用戶信息及密碼承擔保障義務，并對用戶是否泄露密碼承擔舉證責任。其論證思路是：在合同交易方式電子化的要求下，機器只能通過密碼識別用戶身份，因此，業者對于支付安全的保障義務應當擴展到用戶信息和密碼的保護，且電子化降低審核成本，業者理應對相應風險承擔義務，并在未授權支付發生后對于積極履行安全義務承擔主動舉證責任。可以在此基礎上進一步展開論證：支付服務提供者通過降低安全工具的安全性提高可用性，將用戶時間成本置換為用戶風險成本，也降低審核成本，提高服務吸引力，獲得競爭優勢，卻未展示未來風險價格，按照“風險—收益”原則，此部分風險也應當由支付服務者承擔。基于相應理由，歐盟РSD2亦規定：如果付款用戶的支付服務提供商不需要強有力的客戶認證，只要付款用戶未采取欺詐行為，付款用戶就不承擔任何經濟損失。〔52〕See Directive （EU） 2015/2366, Art. 74.

前述三個傾向還被嵌入合同之中，即“密碼交易視為本人行為”條款若成立，則電子支付服務提供者得主張表見代理，進而直接要求用戶承擔支付后果。如果將上述條款理解為擬制，不允許舉證推翻，則加重用戶義務，排除支付服務提供者責任，應作為無效的格式條款；如果理解為推定，則允許用戶舉證證明第三人冒名發出支付指令。后一路徑更為合理?！?3〕參見金?。骸墩撔庞每ê贤小耙暈楸救恕睏l款的法律效力》，載《東方法學》2015 年第2 期，第158 頁。不宜僅以密碼交易就認可構成表見代理，畢竟“密碼交易視為本人行為”僅是經驗事實，而非經過論證事實?！稄V東省高級人民法院關于審理偽卡交易民事案件若干問題的指引》規定，“如發卡行或收單機構有持卡人用卡過程中存在不規范使用銀行卡和密碼的證據，在持卡人沒有充分證據予以反駁的情況下，人民法院可以認定持卡人沒有盡到妥善保管密碼的義務”。該規定在密碼問題上相對于主流判決有所進步，然而僅僅在用戶違反合同約定（而非規制性條款）就規定過失推定，顯有不當。綜上所述，關于密碼等安全工具交易的三個傾向應被否定：使用安全工具的行為并不一定等于用戶的行為，安全工具泄露或遺失并非必然歸咎于用戶。安全工具泄露或遺失也不一定為未授權支付發生主要原因，需要綜合考量安全工具泄露原因、未授權指令發出者的攻擊手段、電子支付服務提供者所能提供的安全技術水平和其實際提供的安全措施等個案實際。用戶在合理范圍盡到安全工具保管義務即為已足，密碼保管義務不過是不要將密碼寫在卡上之類簡單的注意義務而已。〔54〕參見王承堂：《偽卡交易損失的分配原理》，載《法學家》2018 年第5 期，第142 頁。過分強調密碼等安全工具對用戶承擔責任與否的重要性，反而會驅使用戶選擇無需安全驗證的支付方式（如免密支付），以使電子支付服務提供者更易承擔責任，這將降低整個行業的安全程度。監管部門應逐步要求金融服務提供者提供更多技術安全措施，也應著手開發更多監管科技手段以監管安全措施的良好運行?！?5〕參見楊東：《監管科技：金融科技的監管挑戰與維度建構》，載《中國社會科學》2018 年第5 期，第71 頁。

（二）用戶主觀過錯程度與因果關系限縮

在討論受害人過錯之時，往往同時考慮因果關系（包括原因力）及主觀過錯程度，〔56〕參見張新寶、明俊：《侵權法上的原因力理論研究》，載《中國法學》2005 年第2 期，第100 頁。先就主觀過錯程度討論。在一般嚴格責任中即使被害人存在重大過失通常亦只能減輕而非免除加害者責任，參考最高人民法院制定《關于審理人身損害賠償案件適用法律若干問題的解釋》時的依據：“無過失責任的本意在保護被害人，加害人縱無過失也應對損害負責，因此，受害人有過失時，對其過失的斟酌應當比加害人負過失責任的情形為輕。即在加害人負過失責任的情形，受害人有重大過失的，如同樣過失置換在加害人負過失責任的情形中，則斟酌受害人的過失比例時或可與一般過失同視。”〔57〕參見黃松有主編：《最高人民法院人身損害賠償司法解釋的理解與適用》，人民法院出版社2004 年版，第46 頁?！峨娮由虅辗ā返?7 條用戶主觀過錯似應較“重大過失”為高。不過，用戶損失主要為利益位階靠后的財產權，且在電子支付服務提供者免責的情況下還可向他方求償彌補（即使實現可能性較低）。綜合考慮，可以將用戶重大過失作為第57 條第2 款免責事由的起點，當然也包括故意。

更為重要和困難的在于因果關系的認定。因果關系幾乎可謂是矯正正義的全部?！?8〕See Eрstein,“Causation and Corrective Justice: A Reрly to Two Critics”, 8 Journal of Legal Studies 477, 477（1979）.法律上的因果不等同于事實上的因果，受到諸多法律原則限制。類似于“Y 損害是X 的為或不為的結果嗎”的命題，哈特認為本質上應當分為兩個問題：其一，“如果沒有X，還有Y 嗎？”其二，“存在法律目標阻止Y 成為X 的結果嗎？”〔59〕See H. L. A. Hart & Tony Honore, Causation in the law, Oхford University Рress, 1985, р. 110.就“用戶過錯導致未授權支付”而言，首先也應當考量沒有用戶過錯，還有未授權支付發生嗎？大陸法系主流因果關系相當說判斷標準為“無此行為，雖必不生此種損害，有此行為，通常即足生此種損害?！薄?0〕參見王澤鑒：《侵權行為》，北京大學出版社2016 年版，第246 頁。英美法主流可預見說通說內涵是被告應就其直接造成的所有可預見的原告損失承擔責任?！?1〕See Мark Lunney&Ken Oliрhant, Tort Law: text and materials, Oхford University Рress, 2003, р. 243.前者著眼于發生可能，后者著眼于預見可能，兩者本身就有交際，重點在于觀察者的選擇?！?2〕See H. L. A. Hart & Tony Honore, Causation in the law, Oхford University Рress, 1985, р. 485.按通說，觀察者應當是社會一般理性人，其目的是衡平自由與救濟，處于稍高于常人水平的觀察者對于往往是常人的加害人和受害人來說都是公平的。〔63〕參見葉金強：《相當因果關系理論的展開》，載《中國法學》2008 年第1 期，第39 頁。然而，用戶不是加害人且面臨著可能賠償全無的糟糕境地，對方還是具有遠超常人水平的平臺化支付服務提供者，僅僅提供一個社會理性人視角是不公正的。日常生活中的因果關系判斷可以依靠眾人常識或者社會一般人認識非常重要，但金融領域存在極高的復雜度，依賴于社會一般常識認識因果關系可能存在偏差。如前所述，用戶設置簡單密碼導致未授權支付發生，符合以社會常識為基準的可預見規則。專業人士則容易指出即使沒有設置簡單密碼，在金融機構仍舊允許使用單一安全工具的情況下，將難以避免技術攻擊者實施未授權支付。因此，應在專業人士作為觀察者視角下考慮如果沒有用戶過錯，是否還有未授權支付之發生。只有觀察結果為“否”，哈特的第一個問題才能成立。

回答哈特的第二個問題必須考慮規范目的與規范結構。既然《電子商務法》只為特定一方創設嚴格責任，其立法目的本就苛求支付服務提供者而非用戶。這種苛求的規范態度必然影響用戶過錯在成立哈特第一問后原因力比較的天平。免責事由成立的用戶過錯原因力上應壓倒性超過電子支付服務提供者導致損害發生的原因力。進而，再將規范結構納入——既然一旦免責事由成立，用戶面臨的是全無，電子支付服務提供者面對的是全有，那么按照原因力與責任成比例的原則，應當是用戶過錯原因力是未授權支付發生在犯罪行為人之外的主要原因，而支付服務提供者沒有過錯行為方能使免責事由成立。當然，基于法律因果關系的模糊之處，哈特兩問亦僅僅只是原則性步驟，在考慮原因力之時亦可參照兩項依“風險—收益”原則建構的具體規則：其一，業者可以預見用戶過錯，且防范該過錯的成本是可以期待的，而業者未加以預防，使用戶出現過錯的，仍視為業者的過錯；其二，業者可以提供安全措施但僅供用戶選擇而非強制（強制提供的成本可期待），用戶未選擇該措施導致未授權支付發生的，仍視為業者過錯。其機理都在于業者直接或間接犧牲安全性以提高可用性或者降低自身成本，進而獲得收益，理應承擔此收益相應風險。

四、結語

總而言之，《電子商務法》第57 條第2 款免責事由應限縮解釋為：用戶重大過失或故意實施違反第57 條第1 款法定義務之行為為主要原因，導致未授權支付發生，且電子支付服務提供者無過錯時，后者方可免責。隨著數字經濟進一步普及，甚至未來法定數字貨幣的推廣，電子支付在日常生活中的重要性勢必與日俱增。未授權支付一直是電子支付在日常生活層面最主要的問題之一，通過闡釋與續造維持《電子商務法》第57 條總體上良好的損失分擔機制，為社會大眾、監管部門、行業機構、司法機關之間互相磨合臻于善治留下靈活空間。隨著數字經濟的進一步發展，平臺勢必進一步發展和擴張，其將用戶顯性成本置換為隱性成本今后亦將更加常見。平臺與用戶、自由與權益保障之間如何衡平仍是法學思考的重要命題，平臺鏈接市場兩端和介入普羅大眾生活的公共屬性是深化平臺治理的關鍵前提。在新的市場環境中，舊法律與新現實總是偶有抵牾的。對此，將“過錯”等傳統而有力的法律工具，以創新方式嵌入新的法律規范之中，可以增強和健全處理新現實關系的法律供給。