强化互联网支付的风险管控 保障支付环境安全

    互联网支付，是指通过计算机、手机等设备，依托互联网发起支付指令、转移货币资金的服务。当前，互联网支付在服务电子商务发展和为社会提供小额、快捷、便民支付服务方面发挥了重要作用，受到客户的普遍青睐。但与此同时，由于诈骗犯罪的形式不断出新、加之不少客户对互联网支付的风险不甚了解，导致客户资金通过互联网支付渠道被非法转移的事件时有发生，其中有些事件还酿成法律纠纷，使得银行被诉至法院。因此，强化互联网支付的风险管控，保障支付环境的安全，亟待引起各界的关注。
   
    1、背景案例
   
    案例一：罗某与邮政储蓄银行某县支行借记卡纠纷案。
   
    2012年5月31日，罗某在邮政储蓄银行某镇支行填写了《中国邮政储蓄银行个人结算账户开户申请书》，办理邮储绿卡（借记卡）一张，自行设定了密码，并存入现金200元。同时，注册了网上银行业务，选择普通UKEY作为认证工具。之后，罗某一直正常使用该卡办理存、取款业务。截至2013年2月3日，该卡内的存款余额为9750.34元。
   
    2013年2月6日下午5时许，罗某收到邮政储蓄银行客服短信，被告知从其卡内存款中扣费5000元。罗某到该镇支行报案。该支行工作人员查出，此笔款项已被转至外省邮政储蓄会计清算部门。随后，罗某又到镇派出所报案。次日凌晨0时2分，罗某的卡内存款再次被扣费4750元。罗某卡内存款流失后，一直向邮政储蓄银行要求解决。
   
    经查，2013年2月6日，有人以罗某的名义通过网上银行开通了“财付通一点通”快捷支付业务，并将这项业务与罗某持有的绿卡进行了关联。上述两笔款项均是通过“财付通一点通”账号支付给第三方交易平台后，被邮政储蓄银行从罗某绿卡存款中划转的。
   
    法院经审理后认为，罗某9750元存款流失的去向是通过邮政储蓄银行网上银行“财付通一点通”的方式支付给第三方交易平台，网上银行功能为罗某本人开通，其中的“财付通一点通”功能，客户可以通过柜台签约方式开通，也可以通过网上银行自助开通，但需要输入本人身份证号码、手机号码、交易密码等相关个人信息。现有证据无法认定是罗某自行操作该交易，或是罗某在上网过程中误入非法链接遭遇存款被盗，或是由于邮政储蓄银行的网上银行功能本身存在漏洞，导致罗某在未进行任何操作的情况下，存款被窃取。且“财付通一点通”业务是罗某主动开通，还是罗某在不知情的情况下错误开通，或是被网络中的非法软件或第三人擅自开通，亦无法定论。现有证据不足以证明邮政储蓄银行在本案中存在过错，故罗某要求其承担责任的依据不足。因此，法院终审驳回了罗某的诉讼请求。
   
    案例二：黄某与中国农业银行某支行储蓄存款合同纠纷案。
   
    2014年2月28日，黄某在中国农业银行某支行申领了一张金穗借记卡，该卡号预留手机号码为185××××××40.当日，黄某向借记卡存入款项5000元，后又进行了多次存取款操作，期间还通过支付宝进行了多笔支付交易。上述借记卡内资金变动的有关情况，农行均已向黄某开通信息服务时留存的手机号码185××××××40发送了相关账户资金变动的信息。
   
    2014年3月10日，黄某到柜员机取款时，发现借记卡内已没有余额。黄某认为涉案卡内的存款6102元是被他人盗取，于是到农行查询借记卡的消费对账单。对账单中的消费明细显示，该账户于2014年3月1日至2014年3月2日期间，通过“支付宝扣”、“支付宝快”、“支付宝付”三种方式分7笔共支出6102元。黄某表示，自己从来没有开通过网上银行和支付宝等业务，不可能通过支付宝方式转走款项。为此，黄某在2014年3月11日向派出所报警，同时他认为，农行对客户的存款没有履行保管、保护和保密职责，导致自己的存款损失，故要求农行承担全部责任。
   
    法院经审理后认为，从黄某提供的《中国农业银行金穗借记卡明细对账单》和农行提供的《个人客户账户主档查询》、《信息发送记录--185××××××40》等证据来看，农行没有为黄某开通网上银行服务，黄某涉案借记卡内的资金6102元是通过支付宝方式支付出去的。根据支付宝支付原理，用户需自行输入银行卡号、身份证号以及手机号，并提供关键信息--手机动态验证码。该手机动态验证码由支付宝发送至用户在绑定银行卡时所预留的手机号码上。
   
    在认证成功后，支付宝将支付请求以数据化形式发送至银行系统，银行在接受支付宝支付指令后，对客户被绑定银行卡账户资金进行扣划。黄某认为其涉案借记卡通过支付宝转账7笔共计6102元属于存款被盗，这一事实并无证据予以证明，且黄某对其银行账户密码以及支付宝账户密码负有妥善保管的义务。在涉案支付宝转账过程中，被告农行已按上述支付宝支付原理，在支付宝审核通过后将手机动态验证码发送至客户预留的手机号码上。银行在审核银行卡和预留手机号码一致后，履行付款义务。同时，涉案借记卡内资金通过支付宝转账方式支付的每一笔款项，农行均能及时通过绑定的手机号码185××××××40发送了相关资金变动的信息。农行已履行了相关的通知义务，不存在违约或过错。故黄某的诉讼请求因证据不足，被法院依法予以驳回。
   
    2、风险评析
   
    在互联网支付活动中，客户在资金发生非正常变动后往往认为，银行未尽到妥善保管其资金的义务，应当对其资金流失承担赔偿责任。前述案例中，客户也以此为理由向法院提起诉讼。在涉及互联网支付业务过程中，银行是否依照法律规定及业务准则履职，是考察其有无过错的关键因素。
   
    银行应负担的义务主要包括：
   
    风险提示义务。互联网技术的迅猛发展使金融服务模式发生了巨变。网上支付在给人们消费提供较大便利的同时，也暗藏一些不同于传统金融服务的风险。作为专门提供金融服务的银行，应当向客户履行风险告知义务，将网络支付可能发生的风险告知给客户，提示客户妥善保管银行卡号、交易密码，特别要强调预留的手机号码必须为本人持有的手机号码，不可以预留他人的手机号码。银行若未依法履行风险告知义务，就可能在发生纠纷时被法院认定存在一定的过错。
   
    身份识别义务。互联网支付交易完全通过银行卡密码、手机验证码等形式进行身份识别，无论是绑定第三方交易平台（如支付宝），还是一次性通过第三方交易平台进行快捷支付，银行均要进行身份识别。这种身份识别过程必须是可追溯的。身份识别可以是仅客户本人知悉的要素，如静态密码、验证码；或者仅客户本人持有并特有的、不可复制或者不可重复利用的要素，如经过安全认证的数字证书、电子签名；或者客户本人生理特征要素，如指纹。银行在诉讼过程中必须举证证明进行了客户身份识别，使法院确信交易行为系客户本人或者授权人所为，提供不出相应的证据将要承担举证不能的后果。
   
    安全保障义务。对于通过互联网支付方式进行资金变动的，银行要提供必要的提醒服务，使客户知晓资金变动的情形，以便采取必要的补救措施。客户要求止付账户的，银行应当提供止付服务来防止损失进一步扩大。当然，安全保障义务还要包括按照风险可控与便捷交易的原则，银行要对互联网支付的交易限额及交易次数进行必要的限制。
   
    3、管控要点
   
    在互联网金融环境下，银行业应当构建起全新、有效的风险管控机制，以防范他人利用互联网金融交易工具非法占有客户资金。前述案例中，法院均以客户举证不能为由，驳回了客户要求承担资金流失的诉求。但要注意的是，随着互联网支付纠纷的增多，有些案例中法院会通过举证责任倒置的方式来偏重保护客户权益，判令银行对客户通过互联网支付流失的资金承担赔偿责任。而且，从维护互联网金融健康发展、弥补互联网支付交易漏洞的角度来看，银行业也应积极强化风险管控意识。
   
    当前，针对互联网支付发生的纠纷，银行业加强支付风险管控可以从以下方面入手：
   
    加强风险防控体系建设，从流程上消除业务漏洞。尽快完善互联网支付安全管理制度、风险防范制度及操作流程，创新风险控制工具，运用大数据进行分析，将与客户交易习惯不符的支付行为进行事中监控，及时与客户进行确认。
   
    对互联网支付实行限额管理，单日频繁支付的账户应及时向客户预警。
   
    采取多种形式提高客户对互联网支付风险的防控能力。银行向客户充分披露互联网支付存在的潜在风险，及时揭示不法分子新型作案手段，使客户增强对个人信息的保护意识，避免因信息泄露导致资金流失。对客户开展必要的安全教育，并对高风险业务在操作前、操作中进行风险警示。
   
    构建互联网支付交易信息披露机制。发生纠纷后，银行要能够及时向客户、司法机关提供详尽的交易信息。由于互联网支付涉及第三方支付平台、总行资金清算系统，获取交易信息的环节多、程序复杂，导致应对纠纷时银行方面的举证较为困难。建议总行可以建立专门渠道，对互联网支付涉及的与第三方交易平台合作协议、客户将银行卡与第三方交易平台进行关联的信息、互联网支付的资金具体流向等信息依照规定程序来提供，并出具具有证据效力的证明文件。