案件聚焦：112.3萬元“被”轉走，支付寶是否應該擔責？

週末財務並未上班，也沒有資金轉出的操作，上海一家網遊公司的支付寶賬戶卻“被”連續多次轉出112.3萬元。原來，該公司的支付寶開通了“單筆轉賬到支付寶賬戶接口”功能，使用AppID和RSA密鑰，即可無密轉賬。事發後，網遊公司認爲支付寶違反安全保障義務，支付寶則認爲涉案交易爲原告授權交易，且簽約時網遊公司已承諾自行承擔無密轉賬風險。那麼問題來了，到底誰來承擔這筆損失？

案件庭審宣判現場

11月21日下午，上海市浦東新區人民法院（以下簡稱上海浦東法院）副院長金民珍擔任審判長審理該案並當庭作出一審判決，駁回原告訴訟請求。

“被”轉賬112.3萬，網遊公司起訴索賠

原告上海某網絡科技有限公司系一家網遊公司，其在被告支付寶（中國）網絡技術有限公司處註冊了一個支付寶企業賬戶。2017年11月7日，原告向被告申請開通“單筆轉賬到支付寶賬戶接口”功能。此後，原告一直使用該支付方式向參與其遊戲的玩家發放佣金。

不料，2017年11月25日至27日三天時間內，原告的支付寶賬戶“被”轉賬46次，損失共計112.3萬元。其中，25日、26日還是週末，財務人員甚至都不在公司上班。在報警之後，原告向上海浦東法院提起民事訴訟，要求支付寶公司賠償全部損失。

原告認爲，根據《支付寶服務協議》《支付寶安全保障規則》，被告對原告負有安全保障義務。原告行爲不屬於雙方約定的“非保障範圍”，被告違反約定，應對原告的損失承擔賠償責任。

支付寶公司卻認爲，涉案交易使用單筆轉賬到支付寶賬戶接口功能，只要根據AppID和RSA密鑰完成交易，就視爲付款人確認付款。涉案交易過程系原告本人親自或授權代理人操作其自有的運營系統，正確輸入其專有接口的AppID和RSA密鑰，向支付寶系統發送支付指令，代表原告的真實意思。被告驗證付款人身份真實、權限有效，按照相關法規盡到了安全注意義務，採取了合理的安全防護措施，既未侵權，也未違約，無任何過錯，不應承擔責任。

支付寶是否應該擔責？法院展開細緻調查

法院經審理查明， 2017年11月25日至26日間，原告的支付寶賬戶分41筆向其他支付寶賬戶共計轉出92.9萬元。11月27日，原告法定代表人姜先生髮現前述轉賬後，向被告反映情況，被告客服詢問其是否需要關閉賬戶的餘額支付和提現功能，姜先生予以了拒絕。原告還向公安機關報案，稱其賬戶被人利用漏洞騙取了92.9萬元。

11月27日晚，原告支付寶賬戶又分5筆共計轉出19.4萬元至其他支付寶賬戶。姜先生遂又向被告反映賬戶被盜，要求關閉其賬戶的支付功能，同時再次向公安機關報案。上述損失共計112.3萬元，均系使用“單筆轉賬到支付寶賬戶接口”功能所發生。該功能爲資金支出類的高風險接口，使用AppID和RSA密鑰，無須輸入支付密碼，就能操作賬戶資金支出。

審理中，鑑於公安機關對原告被詐騙一案已立案偵查，法院遂至上海市公安局靜安分局進行調查，同時組織原、被告對調取的證據進行質證。

法院同時查明，《支付寶安全保障規則》中有“在滿足本規則設定的條件下，本保障服務僅適用於……等未經本人授權被他人支出而導致的直接損失”等約定，且相關文字均以加粗字體顯示。《支付寶服務合同》還約定：“在即時到賬交易模式下，付款人一旦確認付款，款項即時到達收款人支付寶賬戶內，乙方對此不提供中介服務，所有的風險和責任由付款人和收款人自行解決與承擔。”

針對“單筆轉賬到支付寶賬戶接口服務”，雙方有“在本服務中，乙方只是被授權的指令執行方，除非乙方沒有依照甲方的指令操作，或操作指令錯誤，乙方將不對本服務產生的損失和責任負責，該等損失與責任應由甲方承擔。如因乙方執行指令錯誤，而給甲方或用戶造成的損失，由乙方承擔。”等約定。

不構成未授權交易且被告已盡到相關義務

上海浦東法院經審理後認爲，本案的爭議焦點在於：第一，涉案交易能否認定爲未經原告授權的交易；第二，被告對涉案交易的風險是否盡到了審慎合理的提示義務。

判斷涉案交易是否經原告授權，應當看支付指令的發出及其內容是否符合合同約定的方式。原告向被告申請使用“單筆轉賬到支付寶賬戶接口”支付功能後，根據涉案支付服務協議的約定，創建應用並獲取AppID、配置密鑰並搭建和配置開發環境，一直使用該支付方式向其遊戲玩家發放佣金，使用過程中未持有異議。

現涉案交易能夠完成，應推定系因正確的AppID和RSA密鑰所完成，應視爲原告的授權交易行爲。而且，原告向公安機關報案的行爲系針對案外人侵權所提出，無法直接證明涉案交易指令的發出存在不符合合同約定的情況。

關於被告是否盡到了審慎合理的提示義務。被告已通過網站公示及合同提示的方式對涉案交易方式進行了充分合理揭示。

同時，原告作爲一家專門從事網絡技術的公司，應當具備較高的專業技術和風險識別能力，其完成涉案交易所需要的AppID和RSA密鑰均需自行編寫完成，對相應風險亦應知曉。

法院同時認爲，隨着電子支付的日漸普及，電子支付過程中因“未授權交易”引發的糾紛在司法實踐中也逐漸增多，即將於2019年1月1日開始施行的《電子商務法》，對電子支付過程中未授權支付的責任承擔機制進行了規範，但考慮到電子支付的不斷創新以及各類電子支付風險不同，實踐中對於如何識別“未授權交易”，仍存在較大爭議。

對於高風險的電子支付方式，一方面，在未授權交易的認定上，應當結合支付服務合同約定的交易方式加以判斷，電子支付服務提供者在用戶提供初步證據後，應承擔相應的舉證責任。另一方面，在交易風險的揭示上，電子支付服務提供者應確保其盡到了包括審慎風險提示、防止損失擴大在內的安全保障義務。

本案中，與涉案交易相關的電子服務合同作爲新類型、高風險的網絡市場交易方式，合同各方的行爲仍然應當恪守契約自由、誠實守信等市場交易規則。現被告作爲電子支付服務提供者，已經充分履行了支付服務合同項下的義務，合同約定亦不存在權利義務失衡之狀態，故原告以被告未盡安全保障義務爲由而主張被告承擔其涉案交易損失之賠償責任的訴訟請求缺乏事實和法律依據。

來源｜上海市浦東新區人民法院

文：陳衛鋒圖：董雪皓

責任編輯 | 邱悅

聲明｜轉載請註明來自“浦江天平”公衆號