三、未授權(quán)支付糾紛下合同義務(wù)的審視
（一）傳統(tǒng)銀行卡盜刷糾紛對(duì)安全保障義務(wù)的認(rèn)定
根據(jù)合同法規(guī)定，違約責(zé)任的歸責(zé)原則為嚴(yán)格責(zé)任原則，不考慮違約方的過(guò)錯(cuò)，僅需違約行為一個(gè)要件即可構(gòu)成。在傳統(tǒng)的銀行卡盜刷案件中，此類糾紛的違約行為通常是指銀行違反了安全保障義務(wù)，造成交易行為在沒(méi)有得到用戶授權(quán)的情況下，實(shí)際為他人操作。由此，對(duì)安全保障義務(wù)的認(rèn)定系該類案件違約構(gòu)成與否以及最終責(zé)任分配的關(guān)鍵。一般認(rèn)為，作為發(fā)卡方的銀行，其安全保障義務(wù)源于其向用戶提供的服務(wù)，包括保障銀行卡持卡人資金、卡號(hào)、密碼等重要個(gè)人信息的安全以及銀行卡支付交易中，能夠正確識(shí)別銀行卡及密碼。具體而言，首先，銀行卡的技術(shù)標(biāo)準(zhǔn)應(yīng)當(dāng)達(dá)到卡內(nèi)所存信息不被他人未經(jīng)授權(quán)復(fù)制、讀取的標(biāo)準(zhǔn)，這就要求銀行對(duì)其卡片安全性能作出及時(shí)更新；其次，即使他人通過(guò)讀取卡內(nèi)信息制成偽卡，銀行也應(yīng)當(dāng)通過(guò)身份校驗(yàn)正確識(shí)別出偽卡，以防止卡內(nèi)資金被盜��；最后，銀行應(yīng)保障其交易環(huán)境的安全，即對(duì)銀行營(yíng)業(yè)場(chǎng)所及其延伸的地域應(yīng)保證交易設(shè)備設(shè)施的使用安全，如對(duì)所轄自動(dòng)柜員交易終端（ATM）進(jìn)行必要的檢查和維修以保證通過(guò)該設(shè)施進(jìn)行交易的安全性。
（二）互聯(lián)網(wǎng)環(huán)境對(duì)傳統(tǒng)刷卡支付模式中安全保障義務(wù)認(rèn)定的影響
互聯(lián)網(wǎng)環(huán)境下的交易方式與傳統(tǒng)刷卡交易具有顯著差別，支付環(huán)境脫離了銀行卡這一物理載體，相比于傳統(tǒng)支付方式，互聯(lián)網(wǎng)支付下安全保障義務(wù)的內(nèi)容需要重新加以審視和考量。首先，傳統(tǒng)銀行卡盜刷的關(guān)鍵在于對(duì)銀行卡的復(fù)制，雖然原卡和復(fù)制卡儲(chǔ)有相同的信息，但從物理上仍存在真?zhèn)沃�分，�?duì)原卡和復(fù)制卡的識(shí)別也尚有據(jù)可循。但互聯(lián)網(wǎng)支付的完成并不有賴于物理載體，未授權(quán)支付也不再以對(duì)物理載體的復(fù)制為前提，其支付過(guò)程系完全通過(guò)信息的交互完成，而信息是不存在真?zhèn)蔚�，即使是未授�?quán)支付，銀行或第三方支付機(jī)構(gòu)（以下簡(jiǎn)稱支付服務(wù)提供者）收到的仍然是真實(shí)的賬戶、密碼、驗(yàn)證碼，由此支付服務(wù)提供者客觀上不具備在傳統(tǒng)支付環(huán)境中識(shí)別交易真?zhèn)蔚奈锢項(xiàng)l件，故也很難苛責(zé)支付服務(wù)提供者對(duì)所謂的“偽信息”負(fù)有識(shí)別義務(wù)。其次，就交易環(huán)境而言，在傳統(tǒng)刷卡交易中，由于支付設(shè)備的終端由銀行等支付機(jī)構(gòu)提供，其對(duì)交易環(huán)境具有較大的控制權(quán)和主導(dǎo)權(quán)，可通過(guò)對(duì)終端設(shè)備的檢測(cè)、調(diào)試、監(jiān)控、更新等措施保障交易環(huán)境的安全。然而，在互聯(lián)網(wǎng)環(huán)境下，交易指令系由用戶所在終端發(fā)起，該終端設(shè)備脫離了支付服務(wù)提供者控制范圍，但卻又是整個(gè)交易環(huán)境下的重要組成部分，支付服務(wù)提供者無(wú)法像維護(hù)傳統(tǒng)物理終端一樣來(lái)保障用戶所控制終端的安全性，而事實(shí)上，大部分交易信息的泄露恰恰是因?yàn)樵撚脩艚K端被植入惡意程序所致，此時(shí)，要求支付服務(wù)提供者負(fù)有傳統(tǒng)支付方式下同等的安全保障義務(wù)似也有失公平。正是基于互聯(lián)網(wǎng)支付下的這些特點(diǎn)，大部分支付服務(wù)提供者都在與用戶的合同中約定了憑密交易條款，即支付服務(wù)提供者只負(fù)有驗(yàn)證交易信息是否與客戶預(yù)留信息一致的義務(wù)，只要密碼等交易信息通過(guò)了驗(yàn)證，即推定該交易系由用戶本人授權(quán)做出。由此，支付服務(wù)提供者并不將那些未經(jīng)用戶授權(quán)卻通過(guò)正確的用戶交易信息所完成的交易視為未授權(quán)支付，這在一定程度上通過(guò)合同條款的設(shè)置影響了自身的安全保障義務(wù)。雖然支付服務(wù)提供者的該類條款設(shè)置有利用格式條款免除或減輕自身義務(wù)之嫌疑，但不可否認(rèn)的是，基于互聯(lián)網(wǎng)支付的特性，很難將傳統(tǒng)銀行卡刷卡交易中的安全保障義務(wù)以及基于此所形成的違約行為認(rèn)定規(guī)則照搬適用于互聯(lián)網(wǎng)支付環(huán)境下。
（三）從安全保障義務(wù)到附隨義務(wù)的復(fù)歸
起初的安全保障義務(wù)系合同附隨義務(wù)中保護(hù)義務(wù)的衍生品，由于基于附隨義務(wù)的安全保障僅限于對(duì)進(jìn)入締約關(guān)系的當(dāng)事人提供保障，其保障對(duì)象、損失賠償都較為有限，加之安全保障責(zé)任和侵權(quán)法上的保護(hù)生命安全的責(zé)任并無(wú)界分，安全保障義務(wù)逐步上升為契約當(dāng)事人普遍遵守的義務(wù)，并最終成為一項(xiàng)侵權(quán)責(zé)任體系下的法定義務(wù)。我國(guó)《商業(yè)銀行法》《消費(fèi)者權(quán)益保護(hù)法》等都對(duì)相關(guān)服務(wù)提供者負(fù)有安全保障義務(wù)作了明文規(guī)定，故援引安全保障義務(wù)來(lái)判定傳統(tǒng)銀行卡盜刷案件的責(zé)任，不管從合同法角度還是在侵權(quán)法視野下都具備翔實(shí)充分的法律依據(jù)，由此成為該類案件審判邏輯的主旋律。然而，正如上文所分析的那樣，在互聯(lián)網(wǎng)環(huán)境下，基于支付形態(tài)的變革，這種審判邏輯受累予安全保障義務(wù)的文義局限性，僅靠保護(hù)理論似很難厘清各方的義務(wù)責(zé)任。而實(shí)踐中，基于用戶與銀行或第三方支付機(jī)構(gòu)間存在明確的合同關(guān)系，加之合同法遵循嚴(yán)格責(zé)任的歸責(zé)原則，絕大部分未授權(quán)支付案件的原告又都會(huì)選擇以違約之訴來(lái)主張權(quán)利，如此原有基于安全保障義務(wù)的審判邏輯在互聯(lián)網(wǎng)支付環(huán)境下遇到了適用“瓶頸”。
事實(shí)上，安全保障義務(wù)源于附隨義務(wù)，但并非附隨義務(wù)的全部，既然在互聯(lián)網(wǎng)支付環(huán)境下，基于用戶與銀行或第三方支付機(jī)構(gòu)間的合同關(guān)系清晰明確，那么未授權(quán)支付的責(zé)任如何劃分，不僅考慮服務(wù)提供者的安全保障義務(wù)，還要考慮雙方各自對(duì)合同義務(wù)的全面履行情況，包括是否履行了各自的附隨義務(wù)。對(duì)于附隨義務(wù)，我國(guó)《合同法》第60條作出了概括性的規(guī)定，即“當(dāng)事人應(yīng)當(dāng)按照約定全面履行通知、協(xié)助、保密等義務(wù)”。王澤鑒先生認(rèn)為：“附隨義務(wù)是指為履行給付義務(wù)或保護(hù)當(dāng)事人人身或財(cái)產(chǎn)上利益，于契約發(fā)展過(guò)程中基于誠(chéng)信原則而生的義務(wù)�！笔飞袑捪壬�認(rèn)為：“依照誠(chéng)信原則，債務(wù)人于契約及法律所定內(nèi)容之外，尚負(fù)有附隨的義務(wù)。”韓世遠(yuǎn)教授則將附隨義務(wù)列舉式地概括為當(dāng)事人未締結(jié)合同而接觸、準(zhǔn)備或者磋商過(guò)程中的說(shuō)明、告知、保密、保護(hù)等義務(wù)：實(shí)現(xiàn)給付結(jié)果的準(zhǔn)備過(guò)程中的通知、協(xié)助保密等義務(wù)；以及實(shí)現(xiàn)給付結(jié)果后為了保持此結(jié)果的合同終了后的通知、協(xié)助、保密等義務(wù)�？梢�(jiàn)，附隨義務(wù)根本上源自于誠(chéng)實(shí)信用原則，由于不管法律規(guī)定或當(dāng)事人約定的多么周密，都無(wú)法預(yù)知合同履行過(guò)程中可能發(fā)生的全部情況，故而無(wú)法意各方所需負(fù)擔(dān)的全部義務(wù)進(jìn)行窮盡式的約定，但就這些法律未作規(guī)定、合同未作約定的義務(wù)，依據(jù)誠(chéng)實(shí)信用原則各方仍需一體遵循，故而形成了各種附隨義務(wù)。正因如此，附隨義務(wù)的形態(tài)事實(shí)上也存在不確定性，“此類義務(wù)，并非如給付義務(wù)之自始確定，而系隨著債之關(guān)系的發(fā)展，于個(gè)別情形要求當(dāng)事人之一方有所為或不作為，以維護(hù)相對(duì)人的利益，于任何債的關(guān)系尤其是契約均可發(fā)生�！本唧w到互聯(lián)網(wǎng)第三方支付環(huán)境下，我們認(rèn)為，支付服務(wù)提供者和用戶應(yīng)分別負(fù)有如下附隨義務(wù)：
1,支付服務(wù)提供者的附隨義務(wù)
首先，支付開(kāi)通階段，支付服務(wù)提供者應(yīng)保證服務(wù)的開(kāi)通系用戶的真實(shí)意思表示。具體而畝，第一，應(yīng)對(duì)具體業(yè)務(wù)進(jìn)行充分說(shuō)明。在互聯(lián)網(wǎng)支付環(huán)境下，基于不同的交易結(jié)構(gòu)，支付服務(wù)提供者和用戶在不同支付模式下的權(quán)利義務(wù)也有所不同，因此支付服務(wù)提供者在與用戶締約前，就具體的業(yè)務(wù)模式及操作方式對(duì)用戶負(fù)有說(shuō)明義務(wù)，特別是銀行和第三方支付機(jī)構(gòu)應(yīng)分別向用戶說(shuō)明其在特定業(yè)務(wù)模式下所承擔(dān)的角色及擔(dān)負(fù)的職責(zé)，讓用戶充分了解其所使用的服務(wù)及相關(guān)服務(wù)提供方。第二，應(yīng)如實(shí)告知支付風(fēng)險(xiǎn)。互聯(lián)網(wǎng)環(huán)境下的支付有別于傳統(tǒng)線下支付，特別是交易過(guò)程中無(wú)須憑借物理載體的特征使交易效率提升的同時(shí)也放大了交易風(fēng)險(xiǎn)，支付服務(wù)提供者應(yīng)在開(kāi)通服務(wù)時(shí)，明確將相關(guān)風(fēng)險(xiǎn)告知用戶。其次，在支付交易階段，支付服務(wù)提供者應(yīng)提供必要的安全保障。該義務(wù)系傳統(tǒng)刷卡支付中安全保障義務(wù)在互聯(lián)網(wǎng)環(huán)境下的衍生，一是對(duì)互聯(lián)網(wǎng)環(huán)境下交易環(huán)境的安全保護(hù)，包括進(jìn)行必要的系統(tǒng)維護(hù)、技術(shù)更新、提供用戶相應(yīng)的安全支付插件、設(shè)置安全支付限額、協(xié)助用戶止付掛失等；二是負(fù)有及時(shí)通知義務(wù)，支付服務(wù)提供者應(yīng)第一時(shí)間通知用戶實(shí)時(shí)支付信息，同時(shí)就已監(jiān)測(cè)到的用戶異常支付（如短時(shí)間內(nèi)多次交易、交易端IP地址、MAC地址異常等）及時(shí)告知用戶，以防損失進(jìn)一步擴(kuò)大。
2.用戶的附隨義務(wù)
首先，負(fù)有謹(jǐn)慎保管交易信息的義務(wù)，互聯(lián)網(wǎng)支付環(huán)境下，身份驗(yàn)證僅是針對(duì)支付信息的驗(yàn)證，由此用戶對(duì)交易信息的保管就顯得更為重要，基于誠(chéng)實(shí)信用原則，用戶負(fù)有妥善保管、防止信息泄露的義務(wù)。其次，負(fù)有不符信息的及時(shí)通知義務(wù)。用戶若發(fā)現(xiàn)收到的支付信息與實(shí)際情況不符，應(yīng)立即致電支付服務(wù)提供者，并及時(shí)就相關(guān)銀行卡采取止付掛失等安全措施，以避免損失擴(kuò)大。

摘自：《互聯(lián)網(wǎng)金融法律評(píng)論（2017年第2輯·總第9輯）》，2017年8月出版。
淘寶鏈接：https://item.taobao.com/item.htm?spm=a1z0g.2.1000432.2.iXUR9j&id=558780040319