周末財務並未上班,也沒有資金轉出的操作,一家網遊公司的支付寶帳戶卻「被」連續多次轉出112.3萬元。原來,該公司的支付寶開通了「單筆轉帳到支付寶帳戶接口」功能,使用AppID和RSA密鑰,即可無密轉帳。事發後,網遊公司認為支付寶違反安全保障義務,支付寶則認為涉案交易為原告授權交易,且簽約時網遊公司已承諾自行承擔無密轉帳風險。那麼到底誰來承擔這筆損失?
2018年11月21日,上海市浦東新區人民法院(以下簡稱「上海浦東法院」)審理該案並當庭作出一審判決,駁回原告訴訟請求。
【案情回放】
原告上海某網絡科技有限公司系一家網遊公司,其在被告支付寶(中國)網絡技術有限公司處註冊了一個支付寶企業帳戶。2017年11月7日,原告向被告申請開通「單筆轉帳到支付寶帳戶接口」功能。此後,原告一直使用該支付方式向參與其遊戲的玩家發放佣金。
不料,2017年11月25日至27日三天時間內,原告的支付寶帳戶「被」轉帳46次,損失共計112.3萬元。其中,25日、26日還是周末,財務人員甚至都不在公司上班。報警之後,原告向上海浦東法院提起民事訴訟,要求支付寶公司賠償全部損失。
原告認為,根據《支付寶服務協議》《支付寶安全保障規則》,被告對原告負有安全保障義務。原告行為不屬於雙方約定的「非保障範圍」,被告違反約定,應對原告的損失承擔賠償責任。
支付寶公司卻認為,涉案交易使用單筆轉帳到支付寶帳戶接口功能,只要根據AppID和RSA密鑰完成交易,就視為付款人確認付款。涉案交易過程系原告本人親自或授權代理人操作其自有的運營系統,正確輸入其專有接口的AppID和RSA密鑰,向支付寶系統發送支付指令,代表原告的真實意思。被告驗證付款人身份真實、權限有效,按照相關法規盡到了安全注意義務,採取了合理的安全防護措施,既未侵權,也未違約,無任何過錯,不應承擔責任。
上海浦東法院經審理查明,2017年11月25日至26日間,原告的支付寶帳戶分41筆向其他支付寶帳戶共計轉出92.9萬元。11月27日,原告法定代表人姜先生髮現前述轉帳後,向被告反映情況,被告客服詢問其是否需要關閉帳戶的餘額支付和提現功能,姜先生予以了拒絕。原告還向公安機關報案,稱其帳戶被人利用漏洞騙取了92.9萬元。
11月27日晚,原告支付寶帳戶又分5筆共計轉出19.4萬元至其他支付寶帳戶。姜先生遂又向被告反映帳戶被盜,要求關閉其帳戶的支付功能,同時再次向公安機關報案。上述損失共計112.3萬元,均系使用「單筆轉帳到支付寶帳戶接口」功能所發生。該功能為資金支出類的高風險接口,使用AppID和RSA密鑰,無須輸入支付密碼,就能操作帳戶資金支出。
審理中,鑒於公安機關對原告被詐騙一案已立案偵查,法院遂至上海市公安局靜安分局進行調查,同時組織原、被告對調取的證據進行質證。
法院同時查明,《支付寶安全保障規則》中有「在滿足本規則設定的條件下,本保障服務僅適用於……等未經本人授權被他人支出而導致的直接損失」等約定,且相關文字均以加粗字體顯示。《支付寶服務合同》還約定:「在即時到帳交易模式下,付款人一旦確認付款,款項即時到達收款人支付寶帳戶內,乙方對此不提供中介服務,所有的風險和責任由付款人和收款人自行解決與承擔。」
針對「單筆轉帳到支付寶帳戶接口服務」,雙方有「在本服務中,乙方只是被授權的指令執行方,除非乙方沒有依照甲方的指令操作,或操作指令錯誤,乙方將不對本服務產生的損失和責任負責,該等損失與責任應由甲方承擔。如因乙方執行指令錯誤,而給甲方或用戶造成的損失,由乙方承擔。」等約定。
【以案說法】
上海浦東法院經審理後認為,本案的爭議焦點在於:第一,涉案交易能否認定為未經原告授權的交易;第二,被告對涉案交易的風險是否盡到了審慎合理的提示義務。
判斷涉案交易是否經原告授權,應當看支付指令的發出及其內容是否符合合同約定的方式。原告向被告申請使用「單筆轉帳到支付寶帳戶接口」支付功能後,根據涉案支付服務協議的約定,創建應用並獲取AppID、配置密鑰並搭建和配置開發環境,一直使用該支付方式向其遊戲玩家發放佣金,使用過程中未持有異議。現涉案交易能夠完成,應推定系因正確的AppID和RSA密鑰所完成,應視為原告的授權交易行為。而且,原告向公安機關報案的行為系針對案外人侵權所提出,無法直接證明涉案交易指令的發出存在不符合合同約定的情況。
關於被告是否盡到了審慎合理的提示義務。被告已通過網站公示及合同提示的方式對涉案交易方式進行了充分合理揭示。同時,原告作為一家專門從事網絡技術的公司,應當具備較高的專業技術和風險識別能力,其完成涉案交易所需要的AppID和RSA密鑰均需自行編寫完成,對相應風險亦應知曉。
法院同時認為,對於高風險的電子支付方式,一方面,在未授權交易的認定上,應當結合支付服務合同約定的交易方式加以判斷,電子支付服務提供者在用戶提供初步證據後,應承擔相應的舉證責任。另一方面,在交易風險的揭示上,電子支付服務提供者應確保其盡到了包括審慎風險提示、防止損失擴大在內的安全保障義務。
本案中,與涉案交易相關的電子服務合同作為新類型、高風險的網絡市場交易方式,合同各方的行為仍然應當恪守契約自由、誠實守信等市場交易規則。現被告作為電子支付服務提供者,已經充分履行了支付服務合同項下的義務,合同約定亦不存在權利義務失衡之狀態,故原告以被告未盡安全保障義務為由而主張被告承擔其涉案交易損失之賠償責任的訴訟請求缺乏事實和法律依據。