支付宝快捷支付中手机验证码验证
是否属于完全有效的身份验证方式
——中国农业银行股份有限公司珠海分行诉肖健鹏信用卡纠纷案
要点提示:在支付宝快捷支付进行资金转移和支付时,银行通过第三方支付机构所提供的验证码验证的手段,已至少在首笔业务之前通过有效的方式直接验证了客户身份,银行不存在违规行为。银行客户主张同时丢失信用卡正本、身份证复印件和预留手机,并被他人冒用其身份开通支付宝快捷支付,但银行客户未在丢失后及时向通信公司申请挂失预留手机号码,导致的相应损失应由其自行承担。
案例索引:(2013)珠香法民二初字第1373号。
一、案情
原告:中国农业银行股份有限公司珠海分行。
被告:肖健鹏。
2012年2月29日,被告填写申请表向原告申请领取金穗贷记卡,并在申请表中签名确认愿意遵守《中国农业银行金穗卡贷记卡章程》和《中国农业银行金穗贷记卡领用合约(个人卡)》的规定。《中国农业银行金穗贷记卡领用合约(个人卡)》对滞纳金、超限费、透支利息计算方式等进行了明确的约定。原告批 准 后 , 向 被 告 发 放 了 号 码 为0006228370112213525 的贷记卡。被告使用信用卡后,发生透支逾期未还款项的情况,至2013年2月23日止,透支本金5009.74元、利息729.55元、滞纳金294.79元,合计欠款6084.08元。 其中,2012月6月3日通过支付宝快捷方式支付发生9笔交易,金额分别为 809元、3570 元、9.25 元、4.63 元、4.63 元、168元、132元、303元、4.63元,共计5005.14元。原告主张多次向被告追讨欠款,但被告均以各种理由一直未能将欠款偿还。故提起诉讼请求法院判令:一、被告支付拖欠透支本金为5009.74元以及至还清全部欠款之日止的透支利息(按日利率万分之五的标准计算,暂计至2013年2月23日止金额为729.55元); 二、被告支付至2013年2月23日的逾期还款滞纳金294.79元;三、被告承担本案全部诉讼费用。
被告对2012年6月3日通过支付宝快捷方式支付的9笔交易,共5005.14元的金额有异议,认为上述消费并非被告本人消费,签名也并非被告本人的签名。如果要被告承担责任,被告认为对消费者而言很不安全。
另查明,被告向公安机关报案称在发现上述9笔可疑交易之前,申请信用卡所预留的手机、信用卡、身份证复印件、毕业证复印件曾同时丢失。在发现可疑交易之后,被告才去通信公司挂失并补办在银行处所预留的电话号码。
再查明,注册“信用卡支付宝快捷支付”的办理流程如下:“信用卡支付宝快捷支付”需要持卡人本人登陆支付宝网站并开设支付宝账号后,申请人通过该网站登陆进入自己的支付宝账户内,填写有关申请开通“信用卡支付宝快捷支付”的关键信息和同意开通该业务的协议后,申请人就能够通过“信用卡支付宝快支付”实现网上消费。注册“信用卡支付宝快捷支付”需要准确地输入持卡人姓名、卡号、卡片有效期、身份证号码及信用卡持有人在银行申请信用卡时预留在银行系统内的唯一有效手机号码。注册时,申请输入手机号码后,注册系统会向上述手机发送验证码,申请人将收到的验证码重新输入到注册页面才能够成功开通“信用卡支付宝快捷方式”功能。用户每次使用“信用卡支付宝快捷支付”均须同构手机验证码的方式进行支付。本案中9笔存疑消费是 “信用卡支付宝快捷支付”的方式刷卡消费的。
二、裁判
广东省珠海市香洲区人民法院经审理认为,原告根据被告申请,向其发放信用卡,双方信用卡合同关系成立,被告应当按信用卡使用规定使用信用卡。
被告主张其从未申请过快捷支付方式,并进而主张2012年6月3日的9笔消费记录不是其本人的消费记录,法院认为,“信用卡支付宝快捷支付”在申请之时,是仅向包括被告在内的客户在申请信用卡时预留在银行系统内的唯一有效手机号码发送了验证码,客户将收到的验证码重新输入到注册页面才能成功开通“信用卡支付宝快捷支付”功能,而其他一切手机号码皆无法通过注册和收取验证码。因此,可以认定原告对于由第三方机构完成安全认证的电子资金转移和支付业务,已至少在首笔业务之前通过有效的方式直接验证了客户身份,原告并未存在任何违规行为。如果被告认为通过“信用卡支付宝快捷支付”被盗刷,那么持卡人必须同时持有被告的信用卡正本,身份证号码和唯一有效的手机号码才得以实现。被告主张其同时丢失了信用卡正本、身份证复印件和预留的手机,但其应在手机丢失后立即向相应通信公司申请挂失,但被告却在事隔多天对交易记录存疑后才采取补救措施,因此,相应的损失应全部由被告自行承担。
被告逾期未归还透支本息,构成违约,应承担违约责任。原告要求被告偿还透支本金,并按《中国农业银行金穗贷记卡领用合约(个人卡)》和《中国农业银行金穗卡贷记卡章程》的规定支付透支利息、滞纳金、其他费用等,符合双方约定,应予以支持。珠海市香洲区法院判决被告向原告支付透支本金人民币 5009.74 元、利息人民币 729.55 元(截至2013年2月23日),以及2013年2月24日至还清全部本金之日止的透支利息(以所欠本金按每日万分之五计算)及滞纳金人民币294.79元。宣判后,原、被告双方均未上诉,案件一审生效。
三、评析
近年来,互联网金融领域的第三方支付模式飞速发展,打破了传统的资金转移和支付方式,支付宝、财付通等第三方电子支付平台日渐兴起,为人们日常生活带来了便利,但同时也随之产生一系列新的法律问题。本案审理的关键问题是银行客户在使用第三方电子平台进行电子资金转移和支付环节中,商业银行是否全面履行了的身份审查义务和安全保障义务。
(一)商业银行在银行客户使用第三方支付平台进行资金转移和支付中应履行的义务。
关于银行客户使用第三方电子支付平台进行资金转移和支付时,商业银行应当履行的义务,相关的行政监管部门出台了一些部门规章和其他规范性文件进行了规定。主要有:1、 2011年8月11日中国银监会颁行的《中国银监会关于加强电子银行信息管理工作的通知》银监发【2011】86号第三条规定:商业银行应采取有效措施切实保障客户信息安全,加强电子资金转移和支付环节的身份识别管理。从客户银行账户扣划资金时,原则上应由账户所在银行完成电子资金转移与支付交易的安全认证;对于由第三方机构完成安全认证的电子资金转移与支付业务,应至少在首笔业务前由账户所在银行通过物理网点、电子渠道或其他有效方式直接验证客户身份,并与客户约定双方相关权利与义务。商业银行应根据不同业务类型和安全认证方式采取差异化的风险控制策略,谨慎设置交易限额。2、2014年1月8日中国人民银行颁行的《中国人民银行关于加强银行卡管理业务的有关规定》银发【2014】5号第二条第二项规定:发卡银行按照支付机构发起的支付指令扣划持卡人账户资金的,应事先通过物理网点、电子渠道,或在首笔交易时,由发卡银行验证持卡人身份并签订协议,取得持卡人授权。发卡银行应按照与持卡人约定的验证方式完成交易验证,原则上支付机构不得代为验证;确因业务需要,由支付机构提供验证手段或者渠道的,发卡银行应检验验证手段或者渠道的安全性,确保持卡人身份证号、手机号码等验证要素与发卡银行留存信息一致,并对单笔、日累计支付金额进行合理限制。发卡银行与支付机构应严格规范客户身份信息修改流程,针对不同的信息修改渠道完善身份验证措施,提升信息修改环节的反欺诈水平。3、2014年4月9日中国银监会中国人民银行共同颁行的《中国银监会中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》银监发【2014】10号第三条规定:商业银行账户与第三方支付机构首次建立业务关联时,应经双重认证,即客户在通过第三方支付机构认证同时,还需要通过商业银行的客户身份鉴别。账户所在银行应通过物理网点,电子渠道或者其他有效方式直接验证客身份,明确双方权利与义务。第四条规定:商业银行通过电子渠道印证或者辨别客户身份,应采取双(多)因素验证方式对客户身份进行鉴别,对不具备双(多)因素认证条件的客户,其任何账户不得与第三方支付机构建立业务关联。
从上述行政监管部门的颁布的规章分析,行政监管部门对于商业银行和第三方电子支付平台在电子资金转移和支付环节的身份识别义务和安全保障义务已初步作出了规定,即商业银行账户与第三方电子支付平台首次建立业务关联时,应通过物理网点,电子渠道或者其他有效方式直接验证客户身份。
(二)支付宝快捷支付提供的验证码验证方式是否属于完全有效的验证方式的两种不同意见。
本案在审理过程中,合议庭对支付宝快捷支付提供的验证码验证方式是否完全属于有效的直接验证方式,银行是否全面有效履行了客户身份验证义务形成了两种不同意见。
第一种意见认为,支付宝快捷支付提供的验证码验证方式已完全属于有效的直接验证方式。正如本文所选案例的论述,“信用卡支付宝快捷支付”在申请之时,是仅向银行客户申请信用卡时预留在银行系统内的唯一有效手机号码发送了验证码,客户将收到的验证码重新输入到注册页面才能成功开通“信用卡支付宝快捷支付”功能,而其他一切手机号码皆无法通过注册和收取验证码。因此,银行对于由第三方机构完成安全认证的电子资金转移和支付业务,已至少在首笔业务之前通过有效的方式直接验证了客户身份。此种验证方式通俗来说即为验证码验证方式。
第二种意见认为,支付宝快捷支付的验证码验证方式并非完全有效的验证方式。86号文、5号文、10号文均已明确发卡银行的客户身份验证义务,但在支付宝快捷支付申请流程中,尽管支付宝快捷支付已通过预留手机所收取的随机密码、银行卡信息以及身份证信息三重因素进行验证,但日常生活中却常存在同时遗失预留的手机、身份证、银行卡的现象,而目前众多银行卡客户仍选择凭预留密码消费和支取的方式,对从未申请过支付宝快捷支付方式的银行卡客户来说,其潜意识里,都认为只要其预留的密码未泄露,他人根本无从通过银行卡消费和支取。因此,在并非通过物理网点进行客户身份验证的情况下,如果银行客户已选择了凭密码支取,在现有的验证码验证方式的基础上,再通过发卡银行对银行卡密码这一重因素进行验证,方能成为有效的客户身份验证方式。不过,银行客户已经事先选择不凭密码支取的应除外。
最终本案依照少数服从多数意见的合议原则,采用了第一种意见,认定:现行的支付宝快捷支付的验证码验证方式已完全属于有效的直接验证方式,原告已至少在首笔业务之前通过有效的方式直接验证了客户身份,原告并未存在任何违规行为。
(三)“卡信息+身份信息+手机验证码+预留密码”方式为非物理渠道下完全有效的验证方式。
笔者认为,在第三方支付平台进行资金转移和支付过程中,如非通过物理网点进行银行客户身份验证,商业银行或第三方支付平台只有通过“卡信息+身份信息+手机验证码+预留密码”方式进行验证,方能更好地保障用户的资金安全,即笔者完全认可上述第二种意见。还需要特别指出的是,银行卡、身份证、手机均为实物,银行卡实物、身份证实物、手机实物被银行卡客户以外的人员控制之时,银行卡卡面信息、身份信息、手机信息(含接收的验证码)存在同时泄露的较大可能性,但预留密码并非实物,其可能泄露的渠道与前述三种信息可能泄露的渠道并不完全一致,因此预留密码相比其他三项验证因素,更具有不可或缺的作用。但问题是,保留预留密码的验证环节,普遍需要事先安装密码控件或者数字证书,支付过程至少需要5到7步的跳转,这一过程极其繁琐,而且这一繁琐过程还给木马、钓鱼留下了不少空间。支付宝快捷支付方式为简化其申请流程,实际上已经绕过了银行客户预留的密码。正因为如此,支付宝对信用卡快捷支付方式实行全额赔付1。科技进步给消费者带来了便利,但不能以此作为抗辩损害他人利益的正当理由,支付宝快捷支付流程建立在完全不予考虑不慎遗失者利益的基础之上,因此造成的后果不应全部由不慎遗失者承担。
