【专栏】律师案例解读:网络支付掉链子,谁来负责?
肖飒 · 零壹财经 2020-04-24 11:43:35 阅读:2017
基本案情
王某在A银行办理理财白金卡一张并开通个人电子银行服务。不久,王某银行.卡内的存款被多次转入户名为王某的某网络支付有限公司客户备付金账户后不翼而飞。另查明,案外人李某等曾利用信息网络,通过发送诈骗短信,诱骗王某点击虚假链接,通过预先植入王某手机的计算机程序窃取王某个人信息后,进而窃取王某财物。王某某行账户内存款实际被转入何某冒用王某信息办理的其他银行账户(以下简称B银行)之中。
王某认为:
其与A银行建立起储蓄合同关系,A银行有义务保证王某存款的安全。但A银行在非王某本人操作,甚至不需要取款密码的情形下,将王某卡内的存款转入第三方支付平台,致使存款丢失,被告应付赔偿责任。
A银行辩称:
A银行持有王某存款是事实,但王某将开立的A银行.卡绑定了第三方支付平台,第三方支付平台的账号和支付密码均由王某自行设置和保管,银行按王某的指令支付给第三方支付机构的行为,是正确履行合同,不存在违约行为。另根据刑事裁定书,诉争款项是因被告人诈骗王某点击虚假链接,并通过预先植入的计算机程序窃取其信息后,才盗取存款的,银行对王某被骗不存在任何过错。
第三方支付公司辩称:
王某因自身原因泄露个人信息,从而被案外第三人不法利用,犯罪分子以王某名义开通了第三方支付业务、银行.卡快捷支付绑定业务,操作王某名下银行账户内资金、备付金账户的转入转出,其转入转出资金自始至终在户名为王某名下的账户间流动。支付公司已经尽到身份验证及相关核实义务,不存在过错与过失。
裁判结果
法院认为,刑事裁定书认定了案外犯罪分子通过发送诈骗短信,诱骗王某点击虚假链接而实际通过预先植入的计算机程序窃取王某信息,进而窃取王某银行账户内的存款的事实。
A银行为王某办理了涉案银行.卡,双方之间形成了储蓄合同关系。王某申请办理涉案银行.卡时绑定了其手机的短信提醒业务。当涉案银行.卡通过网络渠道与支付公司中王某的备付金账户关联后,卡内资金通过网络渠道转到了第三方支付公司,该支付转账过程是通过网络形式登录到第三方支付平台操作完成的。
而在此过程中,A银行对关联操作进行了客户身份识别。此后对于第三方支付公司转账指令的执行,并无违法之处,均属于履行向王某提供金融服务义务的具体内容,并不存在过错,因此,驳回了王某要求银行赔偿损失的诉讼请求。
案件评析
该案源起于公民个人信息安全泄露,在公民个人信息被他人操纵的情况下,如何保证电子支付安全?个人、支付机构与银行分别扮演着怎么样的角色呢?本案的交易路径分为:
1. 王某A银行账号绑定、关联支付公司备付金账户,资金流入第三方支付机构;
2. 支付公司客户备付金账户转账至王某同名B银行账户
3. 第三方支付公司账户及同名B银行账户均为犯罪分子开通掌握
如此,我们当逐步发掘每一步各方当事人主体的权利义务内容,才可更好的避免类似案件发生。
一、A银行与支付公司账号绑定、关联环节
第三方支付机构在收付款人之间作为中介机构提供网络支付等服务内容,以实现.货币资金转移。由于缺乏银行主体的资格,无法提供具有银行业务性质的服务,因此,银行与第三方支付签约合作愈发紧密。而银行与支付公司账号绑定、关联环节,银行与支付公司最主要的义务内容则为客户身份识别。
1 、支付机构的客户身份识别
根据《非银行支付机构网络支付业务管理办法》,支付机构应当遵循“了解你的客户”原则,建立健全客户身份识别机制。支付机构为客户开立支付账户的,应当对客户实行实名制管理,登记并采取有效措施验证客户身份基本信息,按规定核对有效身份证件并留存有效身份证件复印件或者影印件,建立客户唯一识别编码,并在与客户业务关系存续期间采取持续的身份识别措施,确保有效核实客户身份及其真实意愿,不得开立匿名、假名支付账户。
因案件围绕王某请求A银行承担赔偿责任而展开,关于支付公司的具体验证流程是如何进行的,已公布案件文书未作描述。所以,我们仅就支付公司应履行的客户识别事项予以提示。
2 、A银行的客户身份识别
为加强商业银行与第三方支付机构合作业务管理,银保监会、中国人民银行曾共同颁行的《中国银监会中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》(银监发[2014]10号)
该规则第三条规定:客户银行账户与第三方支付机构首次建立业务关联时,应经双重认证,即客户在通过第三方支付机构认证同时,还需通过商业银行的客户身份鉴别。账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份,明确双方权利与义务。
第八条指出,对预留手机号码且设定短信通知的客户,商业银行应在客户进行支付时对第三方支付机构提供的手机号码和银行预留的手机号码进行一致性检验,通过后方可进行支付。如果银行已按照前述要求在业务关联时进行了相关信息验证,确保客户身份真实可靠,在交易时可以无需再次验证。
法院认为:一方面,当事人的姓名、身份证号通过了第三方支付机构比对公安部公民身份证号码查询服务中心库内信息的身份验证;同时,银行.卡号、姓名、银行预留手机号能够在商业银行系统信息中获得认证通过。在同时校验上述个人信息的情况下,已完成了对客户业务关联的双重认证,并在识别、比对一致后生成了唯一的身份信息。
当A银行与第三方支付通过预留手机号码的首次强制校验后,在之后的充值、转账、提现等交易中无需重复匹配、验证,而是凭借在第三方支付平台上自行设定和保管的账号、登录密码、支付密码等独立于银行账户系统的虚拟账户信息完成交易。也即,在银行与支付公司账号绑定、关联环节中,A银行已履行相关义务。
二、支付公司转账至王某同名B银行账户环节
支付机构通常根据客户身份对同一客户在本机构开立的所有支付账户进行关联管理,并对个人支付账户进行分类管理。
但根据中国人民银行(〔2015〕第43号)发布的《非银行支付机构网络支付业务管理办法》第十二条规定支付机构应按照与客户的约定及时办理支付账户向客户本人银行账户转账业务,不得对Ⅱ类、Ⅲ类支付账户向客户本人银行账户转账设置限额。
第Ⅱ类、Ⅲ类支付账户依据《非银行支付机构网络支付业务管理办法》,则是指“以非面对面方式通过至少三个合法安全的外部渠道进行身份基本信息多重交叉验证的个人客户”。
客户身份基本信息外部验证渠道包括但不限于政府部门数据库、商业银行信息系统、商业化数据库等。本案通过公安在线的身份信息比对、银行系统的身份、账户、预留手机号验证以及通信运营商的短信验证码校验后的账户自可免除交易限额限制。也即支付公司根据客户指令转账至王某同名B银行较大金额的环节并无不当。
三、B同名银行开卡环节
因本案原告仅起诉了自己开户的A银行。犯罪分子在开具王某同名B银行账户时,B银行在验证客户身份流程中是否存在不足,我们在案件详情及案件评述中不得而知,实为遗憾。
《中国人民银行关于加强开户管理及可疑交易报告后续控制措施的通知》要求各银行切实履行客户身份识别义务,杜绝假名、冒名开户。银行应遵循“了解你的客户”的原则,认真落实账户管理及客户身份识别相关制度规定,有选择地采取联网核查身份证件、人员问询、客户回访、实地查访、公用事业账单(如电费、水费等缴费凭证)验证、网络信息查验等查验方式,识别、核对客户及其代理人真实身份,杜绝不法分子使用假名或冒用他人身份开立账户。
对于开户理由不合理、开立业务与客户身份不相符等情形,银行有权拒绝为其开户。但因该环节的事实披露不足,本文不再赘述。
四、储户本身的安全保障环节
本案中,王某因误点击钓鱼网站的链接不慎泄露了姓名、身份证号、银行.卡号、银行.卡密码、预留手机号等个人信息,致使犯罪分子利用该信息创建了第三方支付账户并绑定银行.卡、假冒身份开立他行银行.卡、挂失银行预留手机号、截获验证码,终将涉案资金充值到第三方支付账户,然后再提现至冒名银行.卡。
王某未妥善保管个人信息,在与银行的储蓄存款合同纠纷中存在重大过失是毫无疑问的。
写在最后
裁判思路的详细论述是合议庭的集体智慧结晶,本文真实案例来源于(2016)浙0327民初8083号、(2017)浙03民终4359号裁判文书。一二审法官对案件的详细评述使得本案不仅成为类案裁判重要参考,也为电子银行以及支付机构的合规化运作从诉讼视角提供了有益借鉴。
本案中,储户开立银行.卡与电子银行,不幸个人信息被盗,终导致财产损失。只因储户起诉的银行主体已妥善履行客户身份识别义务,故诉求被驳回。但本案案发各环节的逐步分析,让我们看到电子支付的安全保障需理清责任界线,将银行、第三方支付机构的地位、责任与义务区别开来。为更好的保障个人信息安全及财产安全,实有必要进一步强化对电子支付中个人身份的识别机制,提高安全防护等级。
相关文章
用户评论
所有评论
他的文章 ( 866 )
专题推荐
more
第四届中国零售金融发展峰会(共15篇)
《陆家嘴》交流会第6期(共14篇)
2022第一届中国数字科技投融资峰会(共43篇)
2019年数字信用与风控年会(共15篇)
-
首页
-
评论
-
回顶部
游客
自律公约