对钓鱼欺诈中第三方支付机构作为或不作为法律问题的思考

【内容提要】钓鱼欺诈是与第三方支付相伴而生的、利用技术不法套利的现象。在对被欺诈者进行法律救济时，第三方支付机构究竟应该扮演什么样的角色，是一个比较尴尬的问题。基于买方市场、第三方支付行业自身的特点、技术与法律的关联等从实体与程序上标明第三方支付机构应对该类突发事件的作为义务及对相关法律进行适时创新事关该新兴行业的发展与壮大。
【关键词】第三方支付 钓鱼 反欺诈
　　
　　第三方支付作为一项金融业务创新已极大地改变了人们的生活方式，拓展了电子商务的发展空间。然而，在另一方面，信息严重不对称的远程电子化结算方式也剧增了买方可能钱货两空的交易风险。在发生钓鱼欺诈时，第三方支付机构究竟要如何应对？作为或不作为都是一个两难的法律选择问题。澄清这一点不仅有益于维护消费者的权益，而且对于明确第三方支付机构的风险边界及促进法律制度的求真务实亦具有很好的启示意义。


一、问题的提出——什么是钓鱼欺诈

　　尽管在电子技术中，“钓鱼”⑴具有广泛的公共知识性，但是在法学理论圈内，学界对于何谓“钓鱼欺诈”仍没有形成共识。然而，已有的洞见对于我们从学理上来把握对“钓鱼”的认识，并对之进行归纳起到了很好的抛砖引玉作用。如百度百科的定义是：所谓钓鱼网站是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。反钓鱼工作组（APWG）⑵则将“网络钓鱼”界定为一种利用社会工程学和技术手段盗窃消费者个人身份资料和金融账号凭证的身份信息在线窃取活动。美国司法部的定义是指仿制知名合法企业、金融机构或政府机关的电子邮件和网站，诱骗网络用户透露他们的银行和金融账户信息或其它个人信息如用户名和密码的行为。[1]日本警察厅则认为：“网络钓鱼是指伪装成银行等企业的邮件，引导收件人访问虚假的网页，使其在该网页上输入个人的信用卡号、ID、密码等信息，并以此为基础所进行的诈骗活动。”[2]虽然这些认识有助于揭开了电子商务背景下钓鱼欺诈的面纱，但是这种概括并不全面，因为仅将钓鱼局限于以因特网为载体的欺诈，而没有将非网络平台的钓鱼一网其中。法律是一种一般性的陈述，其力求将纷繁复杂的同质性社会关系纳入规范的序列。故而，从知有所禁而不敢犯的角度出发，对钓鱼欺诈进行法律学的概念化是制度创新中必备的环节。
　　勿庸置疑，在责任追究与风险防范的制度设计上，钓鱼欺诈理所当然地属于法律学的范畴。在技术上，钓鱼的“鱼饵”多表现为电子邮件、手机短信、WAP（无线应用协议）、IVR（互动式语音对答）或伪造的网络站点等，而根据《最高人民法院关于贯彻执行（中华人民共和国民法通则）若干问题意见》（后简称《意见》）第68条的规定，一方当事人故意告知对方虚假情况，或者隐瞒真实情况，诱使对方作出错误意思表示的，可以认定为期诈行为。将两者串联起来，则不难得出以下结论，钓鱼欺诈特指那些以欺骗性的电子邮件、手机短信、WAP、IVR或伪造的网络站点等为依托诱骗不确定的信息接收者或网站访问者在违背真实意思表示的情况下提供其个人的金融信息（如银行账户与密码、信用卡信息、社保编号等），或在B2C交易模式下将价款汇转到欺诈者特设的账户而获取不法利益的行为。
　　概言之，钓鱼欺诈是现代电子化科技下的一种副产物，具有非柜台式的远程特点。对于新制度的开发而言，这种行为发生的“既不见其人又难见其声”的隐蔽性说明反钓鱼欺诈制度的求实拓展并非单纯的法律规范设计问题，其更应是一个技术安全先行的问题。在本质上，当被钓者上钩之时，无论受害人如何寻求法律的正义，或者假设法律的救济途径是畅通无阻的，但是在当下资金转移时间缺乏过多限制的交易模式下，法律追责的事后性并不能完全确保拯救的成功，而且在另一方面，法律的无大为、违法成本与违法捕获的失衡也间接地纵容与刺激了钓鱼者的再次欺诈。从钓鱼欺诈的概念识别可知，其必须以网络、其它电子化的信息交流平台为媒介，因此从法律的本位在于防范而不在救济的理念出发，促成被模仿的网站、短信及电话的运营商等在反欺诈中尽到谨慎小心的注意义务就是一种自然的法律逻辑。反欺诈技术先行和法律对其的确认与保驾无疑是合理与正当的。科技狂飙突进的时代，远程信息交流模式亦步亦趋，这也必然导致钓鱼手段的“与时俱进”，因而在策略上有必要从防微杜渐的角度出发，因时而化地对钓鱼采取扩大性解释，而不能仅拘泥于互联网方式；钓鱼欺诈所涉法律层次众多，其不仅因欺诈而在钓鱼者与被钓者之间形成民事法律上的不当得利返还之债，而且还牵涉到金融监管机构的监管，在钓鱼情节严重及社会危害性大时，还会触发刑事问责的问题。由此可见，在法律语境中，钓鱼欺诈是一个具有“多米诺骨牌效应”的联动问题。


二、作为——一个得不偿失的违法性选择

　　针对利用在第三方支付机构开设的账户进行钓鱼的行为，为了维护市场形象及在消费者都是上帝的营销理念下，当下比较主流的做法是，对该类账户内的资金采取冻结与对账后被钓鱼资金“自哪里来回到哪里去”的处理方式。如为了做到事前的风险防范，当客户在支付宝进行注册账户时，《支付宝协议》第4条第14款⑶与《支付宝交易核查交易规则》即规定，为打造诚信、安全的网上支付环境，维护支付宝用户的合法权益和资金安全，公司基于对使用支付宝服务异常情况确认的需要，会对相关交易进行核查。被核查账户持有人未在支付宝指定的时间内提供证据或者所提供的证据无效、不充分的，支付宝将对被核查账户采取包括但不限于如下限制措施：关闭余额支付功能、限制收款功能、冻结账户内资金、冻结账户、停止提供支付宝服务。涉嫌犯罪的，移交公安机关处理⑷。
　　从表象看，此类措施维护了第三方支付机构的商业信誉及巩固了已有的市场。而且，在做贼心虚的心理下，钓鱼者也多不会和第三方支付机构纠结，以讨个说法。然而，放置于法治的背景下，第三方支付机构冻结钓鱼者的账户与资金，及其进行相应返还的正当性与合法性仍是发人深思的。同时，从更广泛的意义来看，第三方支付机构的这种作为也对普通公众形成了一种无形的压力与风险，因为作为裁判者，第三方支付机构可以凭己见决定是否冻结客户在其系统内开立的账户或划转相应的资金。实际上，在依法办事的大前提下，第三方支付机构的这种“乐于助人”的善举是经不住法律推敲的。对此，分析如下。
　　其一是第三方支付机构并不具有裁决的资质。虽说在实体上，第三方支付机构具有“以弱示强”的比较优势，但是从所涉三方的法律地位来看，当事人之间并没有等级式的差别，都属于民事主体的范畴。故而，钓鱼者、被钓者、第三方支付机构三者之间在法律地位上是平等的，在民事活动中，其必须遵循“平等者之间无管辖权”的原则。也正因为平等性决定了任何一方都没有服从另一方的义务，所以在法律纷争产生之时，他们之间必须诉之于司法，接受“司法是社会正义的底线”的是非评判。在没有经过司法判决前，严格地说，钓鱼者至多也只能被称为“钓鱼欺诈嫌疑人”。因此，第三方支付机构的自救行为有“越俎代庖”或“多管闲事”之嫌。
　　其二是第三方支付机构亦无冻结的权力。在法律语境中，“冻结”具有深刻的法律内含，它对行为的主体与行为的效力边界都有着严格的限定，特指有权机构根据法律的授权可以在金融机构的协助下限制相关当事人提取或转移其存款的一种财产保全措施。为了防止权力滥用及维护公民正当的合法权益，法律对冻结的主体资格、冻结的资金范围、法律依据与冻结程序等都作了详尽的规定。如我国《商业银行法》第29条规定：“对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外。”第30条规定：“对单位存款，商业银行有权拒绝任何单位或者个人查询，但法律、行政法规另有规定的除外；有权拒绝任何单位或者个人冻结、扣划，但法律另有规定的除外。”⑸根据当下的法律规则，依法享有冻结权限的单位有公、检、法、国家安全机关、军队武警保卫部门、海关、税务等。尽管作为存款存放地的金融机构参与了冻结，但是“其不享有公权力，不能够独立自由地冻结存款行为，而只能遵照有权机关的指令行事，是协助冻结存款行为得以进行的义务人，和被冻结存款的主体一样，是冻结存款行为的相对人”。[3]可以肯定的是，在发生钓鱼事由时，第三方支付机构利用其便利自作主张地“冻结”他人账户的行为是于法无据，不受法律支持的。而且，这种善意的为被钓鱼者做主的做法使其面临着可能的行政责任风险，从而背离其冻结的初衷。
　　其三是背离了金融民事法律以保护消费者权益至上的理念。尽管在科技的带动下，商业银行的业务品种得到了极大拓新，但负债性存款业务仍是银行其它业务的基础。也正因如此，世界各国银行法莫不将存款人的利益保护列为立法中的重点。如作为一种继受，我们《商业银行法》即专列了第三章“存款人保护”来强化银行的信用，该法第29条第1款则开宗明义地规定：“商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。”⑹当下，各大主流的第三方支付机构均在其开户协议中明确地表明其对自身身份、消费者所开立账户属性的态度，如支付宝在其服务协议中即规定，本公司并非银行或其它金融机构，本服务也非金融业务，本协议项下的资金移转均通过银行来实现。客户完全承担在使用本服务期间由本公司保管或代收或代付的款项的货币贬值风险及可能的孳息损失。环讯（IPS）亦规定在其商户用户服务条款中规定，IPS是一家提供网络支付服务的信息服务提供商，并不是银行或金融机构，其服务属于信息服务业务，并非银行业务。这种身份的自我表白恰如其分地展现出第三方支付机构非金融性的本质了吗？答案是否定的。
　　第三方支付机构的属性究竟何在？——这是一个该行业规范化进程中必须被厘定的问题。对此，2010年9月中国人民银行推出的《非金融机构支付服务管理办法》（后简称《办法》）及后期的实施细则似乎给我们提供了法律性的解答，因为文件的冠名已开门见山地标明“第三方支付机构”是“非金融机构”，而不是其它什么。为了向公众强化第三方支付机构的非金融性质，在该文件中确实也难以找到账户、存款、准备金、自有资本之类专用于规范商业银行的措辞，相反，是用“备付金”来替代存款。双管齐下之举能混淆黑白吗？笔者不能苟同，因为央行的这一自语式的定性不仅不能自圆其说，而且也没有从规律的角度还原第三方支付机构在社会分工中的真实面貌。再者，在事物准确的认知中，非此即彼的定式并非屡试不爽的。众所周知，“非金融性机构”是一个非常开放性的概念，只要不是商业银行、证券公司、保险公司等时下达成共识的金融机构，那么其都应该被搁置于这一范畴中。然而，这一做法并不能适应法律务必明确的要求。事实上，为了达到复杂问题简单化的目的，央行在这一文件中采取的是一种捣浆糊的做法。其实，是不是非金融并不是法律说了算的，而应该从什么是金融的角度来判定，而金融是什么呢？概而言之，金融是关于资金的融通。借用金融学中关于金融的界定，不难知道，在第三方支付业务中，第三方支付机构从事的就是资金融通的原本专属于商业银行的中间业务，而非环讯所言的信息提供服务。此外，逆向地看，如果第三方支付机构不属于金融的范畴，那么央行为什么要敢为人先地出台专门性的规范文件呢？而且，在功能分工上，央行是专门服务于金融系统风险与货币政策的，如《中国人民银行法》第2条规定：“中国人民银行是中华人民共和国的中央银行。中国人民银行在国务院领导下，制定和执行货币政策，防范和化解金融风险，维护金融稳定。”一言以蔽之，将第三方支付机构生搬硬套地塞入非金融机构的大箩筐中是欠严谨与不科学的。
　　诚如上所述，那么对第三方支付机构究竟该做什么定性呢？笔者认为，应理性地将其归位于准金融机构。尽管《办法》对第三方支付机构的客户并没有类似于《商业银行法》“存款保护”的规定，但是保证客户资金的安全应该是整个制度设计中的一个默示性条款。在没有公权力机关合法的干预及资金权利人认可的情形下，作为私法主体的第三方支付机构是无权冻结与划转他人资金的，这种不合法行为不仅严重偏离金融民事法对存款类资金保护至上的理念，更为甚者，安全的丧失也可能会伤及整个金融业务的根本。从表面上看，这一结论似乎对第三方机构不利，但在结果上，在买方市场的大背景下，第三方支付机构保证客户资金安全至上的思维所营造的是一种多赢：一方面可以确保资金代管的合规，另一方面可以形成良好的市场形象与信誉。
　　第四是悖于合同法的基本原理。作为一种古老的法律制度，在理论上，以当事人意思自治为基础的合同具有深刻的“宪章性”语义，是当事人之间的法锁，合同当事人可以基于过去、现在与未来的预期对双方的权利与义务做出明确的规定。然而，这个见识的前提是，当事人对合同所涉及或处分的权利或义务必须具有受法律保护的处置权。如果所处分的是第三者的权利，那么该合同的效力必定是存在瑕疵，或存在折扣的。依此类推，尽管在相关协议中，第三方支付机构可以通过格式条款让客户没有选择地接受“同意冻结”的义务安排，但是双方当事人恰恰忽略了他们私自处分了专属国家的权利。即使我们可以借用授权的方式来理解这种安排的正当性，但是国家有权机关将权力授予给不具有公共管理职能的民事主体的合法性也是站不住脚的。


三、不作为——一个法律风险依然挥之难去的选择

　　诚如前文所述，在被钓鱼者向相关第三方支付机构寻求救济时，该第三方支付机构的冻结及在无授权或相关公权力机关要求的情况下，从钓鱼者账户直接扣划钓所得款项的正当性与合法性是值得怀疑的。那么，这是否即意味着，从非此即彼的一般逻辑思维出发，第三方支付机构就可以对被钓鱼者的救济请求置之不理，或干脆作壁上观呢？朴素的法律正义告诉我们，法律绝不会放纵一个恶的行为。这表明，在法律风险防范方面，第三方支付机构对请求的不作为绝不会如此简单。对此，分析如下。
　　其一是不作为的后果是什么？若第三方支付机构面对被钓鱼者的请求而无动于衷，那么在日后有铁证证明钓鱼事实的存在，在追究法律责任时，其是否仍能心安理得地独善其身呢？作者认为，答案是否定的。民事责任主要是一种过错责任，其要求行为人在主观上应尽到应有的注意义务。否则，行为人就必须对自己行为的后果买单。如法学家耶林就认为，不是因为有损失才承担责任，而是因为有过错才承担责任。这一精神也大同小异地反映于世界各国的民事立法中，如《法国民法典》第1382—1383条就规定：“因自己的过失而使损害发生之人……负赔偿责任；任何人对其行为所引起的损失，而且对因其过失或疏忽所造成的损害负赔偿责任”。对此，我国在《意见》第106条也大体类似地规定：“公民、法人由于过错侵害国家的、集体的财产，侵害他人财产、人身的，应当承担民事责任。”由此可推断，当被钓鱼者提出救济请求，第三方支付机构不作为或作为不力而导致被钓鱼的资金转移的，该机构在主观上存有过错的，其理应根据过错的大小承担相应的赔偿责任。
　　其二是该第三方支付机构能否为其不作为作有效抗辩？若在第三方支付机构开立有账户的钓鱼者利用该第三方支付机构的网站或通过在该机构或其商户的网站上构建链接的方式使被钓鱼者上钩，则该第三方支付机构面对被钓者的诉求能否利用协议中的免责性规定来对其不作为进行法律上的自我防御呢？一般而言，为了划定义务边界与突出中间结算的角色，第三方支付机构往往在协议中规定，其与基础性交易法律关系等无涉。而且，在协议中植入多种免责性的规定，以达到对其责任进行立体式封闭处理的效果，如支付宝在其服务协议中即规定：“本网站含有到其他网站的链接，但本公司对其他网站的隐私保护措施不负任何责任。本公司可能在任何需要的时候增加商业伙伴或共用品牌的网站。本公司仅按现有技术提供相应的安全措施来使本公司掌握的信息不丢失，不被滥用和变造。这些安全措施包括向其它服务器备份数据和对用户密码加密。尽管有这些安全措施，但本公司不保证这些信息的绝对安全。”为了理清这一问题的是非，我们应该分二种情形进行讨论：一是被钓鱼者非第三方支付机构用户的情形。在该情形下，由于被钓鱼者与第三方支付机构之间并不存在协议关系，所以自然该第三方支付机构不能利用合同中的免责条款进行抗辩，但是面对被钓鱼者的请求时，如前所析，机构应尽到合理的注意义务；二是被钓者属于第三方支付机构用户的情形。由于在该情形下，被钓鱼者和该第三方支付机构存在合同关系，理所当然地后者可以主张其抗辩。然而，问题是以免责性规定为基础的抗辩是否具有效力。作者认为，这是一个必须慎重对待的问题。我国《合同法》第40条规定：“格式条款具有本法第五十二条和第五十三条规定情形的，或者提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的，该条款无效。”而该法第53条的内容是：“合同中的下列免责条款无效：造成对方人身伤害的；因故意或者重大过失造成对方财产损失的。”勿庸置疑，结合《合同法》的规定，第三方支付机构与被钓鱼者协议中的免责性条款的效力是有待法院进一步考察的。


四、出路何在？——一种多方合力的作为

　　第三方支付机构所涉当事人较多，如买卖双方当事人、商业银行、第三方支付机构等。而且，由于第三方支付业务具有浓厚的技术先行特点，所以如果不事先评估技术因素，那么无论法律制度设计得如何完善无缺，很可能纯规则的制度安排也只是一种看上去很美但实际不中用的东西。再者，由于在实践中第三方支付机构对商户资金的结算多采取T+1或T+0模式，在发生钓鱼投诉时，留给第三方支付机构缓冲的时间并不充裕。因此，在对策寻觅中，必须恪守三个原则：一是网上远程支付结算技术安全保障机制先行于法律而被法律化的原则；二是秉承事前的防范永远胜于事后救济的原则。具体的思路如下；三是有效的钓鱼欺诈防范必须走群策群力的多方协作路线。
　　（一）第三方支付机构技术安全保障方面的作为
　　发生钓鱼欺诈之虞时，第三方支付机构在作为或不作为左右为难的情况下，到底应该怎么办呢？尽管无论做出哪一种选择，都比较令人神伤，但是积极地应对钓鱼投诉无疑不失为一种“两害相权取其轻”的明智之举，因为毕竟在利益的维护上，第三方支付机构与被钓鱼者具有同向性。由于私力救济的正当性存在质疑，所以如何及时地获得监管公权力的支撑以作为私力救助的有效补充也是第三方支付机构必须考虑的问题。然而，从防患于未然的立场出发，这种治标不治本的做法并不能解决问题的全部。作者认为，构建健全的技术安全保障机制应该是第三方支付机构破题的重点所在。
　　网络技术发展迅速，要求一般的消费者在网上交易中都能像专家一样对交易的安全进行专业性的识别，这是强人所不能。因此，消费者与业务机构的优势对比之下，只能默示地要求以某种创新技术为基础的业务机构事先在客户身份识别及安全的技术保障上尽到法律上的更多注意义务。在这一点上，民法学抽象过失中的“善良管理人的注意”理论是可以适用的。如此，不仅有利于防止对网络等技术一知半解或基本上是一无所知的消费者免于成为电子商务交易中的牺牲品，而且也可以通过间接压力的方式促使第三方支付机构对相关安全保障的。电子技术进行更新换代式的创新。尽管这一风险的转嫁可能会在短期内抬高第三方支付机构的法律成本，并引发表面上的权利与义务的失衡，但是在“消费者就是上帝”的商业化时代，有一点是第三方支付机构在安全技术保障作为或不作为时必须务实地认识到的，即，电子商务的最终价值源于生活，其规范化发展必须贯彻从生活中来到生活中去的理念。现时下，第三方支付已深度渗透到了公民生活的方方面面，如网购、资金汇转、生活缴费、证券投资等，其价值链环节正日益影响着国民经济和国民生活的质量。然而，这种价值链究竟能延伸多长还严重依赖于作为市场主导者的买家对这种交易方式的认可度与信赖度。当钓鱼类欺诈横行而第三方支付业务的消费者权益无从获取足够的技术与合法保障时，也就是这种业务步向山穷水尽之时。
　　古语云：识时务者为俊杰。若能深切地意识到安全性保障事关第三方支付的成败，那么第三方支付机构在经营态度及业务安全的技术保障上必定是该行业的领跑者与典范。如作为国内最早成立的第三方支付企业“环讯支付”就曾经同时获得VISA和Master Card颁发的“最佳风险控制奖”的称谓。只要点开该支付企业的网站细观其开户协议，不难发现其协议内容简单，并无过多的关于网络安全类责任推卸条款。多年前，为了确保在线支付的安全，该机构就成立了风险控制中心，并通过了国际PCI—DSS⑺CLASS1信用卡安全认证。当下，其已构建了以风险控制中心为主体，A．N．T．⑻信用卡反欺诈系统、Net Screen硬件防火墙、MD5数字签名⑼、PCI—DSS认证、SSL数字证书加密⑽及安全控件相融合的系统性安全控制体系。而且，在前端服务中，环讯还设立了全天候的客户服务系统，如消费者遭遇钓鱼等欺诈，则可以在第一时间内采取救济措施，从而将损失降低到最低程度。无疑，在扼制钓鱼等欺诈中，此种实事求是的技术先行是值得该行业借鉴与深思的。
　　（二）消费者自身作为——合理的安全注意义务
　　法律是公平正义的艺术，在权利与义务的配置上，好的法律绝不会刻意去偏袒任何一方。因此，不分情形而将被钓鱼欺诈的风险全部归责于第三方支付机构也是显失公允的。在从事电子商务中，被钓鱼者理应尽到合理的注意义务。尽管钓鱼欺诈的表现形式繁多，但是其可以万变不离其宗地被归结为以下几种：“发送电子邮件，以虚假信息引诱用户；假冒知名网站，骗取用户账户密码等信息，以窃取资金；利用木马和黑客技术手段窃取用户信息进行盗窃；利用虚假的电子商务进行诈骗；利用用户的弱口令等漏洞，破解用户的账号和密码等。”[4]实际上，由于网址与域名的唯一性，无论造假者如何穷其所能，假的都不可能成为真的，也正是因为被欺诈者的过于自信或过于疏忽，才使得钓鱼成功。如在已有的钓鱼案例中，造假者将汇丰银行的真实网址“www．hsbc．com”仿制为“www．hkhsbc．com”，将中国银行的域名“www．bank—of—china．com”假冒为“www．bank—off—china．com”，将农业银行的域名“www．95599．com”假冒为“www．965599．com”，将工商银行的域名“mybank．icbc．com．cn”仿冒为“mybank．1cbc．com．cn”。对诸如此类的仿冒，只要被欺诈者擦亮自己的眼睛尽到应有的注意义务，其损失是完全可以避免的；对于弱口令问题，如果用户能将密钥设定复杂些，其资金损失的风险亦会随之降低；对于钓鱼者利用电话、短信或邮件，以中奖或账户被盗或可能被有权机关冻结等为名目，要求用户登录指定网址进行身份验证，以套取卡号、密码、身份证等信息之情形，只要及时电话咨询银行客服，那么钓鱼者的意图自然会落空；钓鱼者常在网吧、图书馆等公共场所内的电脑上安装恶意的监测程序、键盘记录器等来盗取被钓鱼者的账户信息。对于此类钓鱼，只要用户能做到在公共场所尽量不使用网银，多使用动态口令与数字证书及在密码输入时，尽可能使用网络键盘，离开时，做到清除网页历史和cookies，被钓鱼的机率亦会随之下降。
　　就钓鱼所涉的关系而言，被钓鱼者与钓鱼者存在直接的关系，而第三方支付机构与钓鱼者之间只存在间接的关系。就损失而言，被钓鱼者的损失是直接的，而第三方支付机构的损失却只有派生性。就利益的关联度而言，被钓鱼者与钓鱼欺诈之间存在着更密切的关系，因为被钓鱼者是真正的当事者，而第三方支付机构只是个“旁观者”。从道理上看，将被钓鱼的风险分配给与该事件存在利益最密切联系的人无疑是最合乎理性与法律逻辑的。尽管市场力量的博弈并不能使立法做出这样的判断并形成文本，但是当法律与其实践一边倒地要求第三方支付机构对被钓鱼的风险进行兜底时，那么这种价值导向的正确性是值得怀疑的，因为这种“恶法”不仅助长了被钓者无知状态的延续与懒惰，而且也背于民事法律责任承担的“过错自负”原则。
　　（三）法律创新方面的作为——第三方支付行业规范化发展的保障
　　法律真理性的知识源于立法者的修养。试图凭借第三方支付机构等私法主体的自救而达到规范第三方支付行业的效果无疑是一种期望值过高的臆想，同时也证明了立法者的无为。钓鱼欺诈之所以兴盛难衰其中一个重要原因就在于法律创新的滞后，违法成本与违法收益之间的显著不对称。尽管钓鱼欺诈在新鲜度上已日益陈旧，但是我国在这方面的规制立法仍然徘徊不前。当下，我国还没有适用于网络钓鱼的条款，只能参照《互联网电子邮件服务管理办法》、《计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《电子银行业务管理办法》等规范性文件进行处理。不言而喻，这很难适应突飞猛进的电子商务的需求。对于我国法律创新方面的作为，作如下宏观性的思考。
　　其一是私法层面。被钓鱼者与第三方支付机构在钓鱼欺诈损失上都存在因果关系，但是从有效的风险防范出发，在这里有必要根据具体的情形对引发结果发生的原因作主次的划分。在这一方面，我国法律有必要专门就钓鱼欺诈事项针对第三方支付机构的私力救助行为的正当性作为明确的规定，以达到名正言顺的效果。尽管在诸多观点对垒中，学者们多认为被三方支付机构及银行应对客户未授权交易类的损失埋单，但是对钓鱼手段的无知并不必然成为第三方支付机构进行风险全揽的理由。而且，在第三方支付机构等并无过错的情况下，严格责任原则也容易助长被钓鱼者的应有注意义务的不作为。是故，在钓鱼欺诈的规范中，我国法律应该明确地基于“有错必负”的原则对双方的责任进行泾渭分明的圈定。由于第三方支付机构在事实上是依存于网络商户的，如果在业务拓展中，前者对后者的审查不严及后期监管不力，那么这就给钓鱼欺诈制造了天然的温床。“至目前为止，我国还没有一部完整的处理网络营运商与销售商法律地位及法律关系的法律法规，双方所享有的权利与义务不明，这也是我国网购行业产生混乱场景的重要原因之一。”[5]为了防止第三方支付机构的商户利用其网店进行钓鱼欺诈或在他人利用该商户网络销售平台进行钓鱼欺诈，在第三方支付机构存在监管不力时，法律有必要明确地要求第三方支付机构与该类商户对被钓鱼者的相关损失承担连带赔偿责任。
　　其二是监管法方面。当下，关于第三方支付行业规范的法律文件只有包括50个条文的《办法》及42个条文的实施细则。客观而言，这些单薄的法律条文与第三方支付行业的社会影响力之间是极不相称的。试图依赖两个专门性的规范文件就实现第三方支付行业规范化发展的预期是极其不现实与理智的。而且，在实体上，《办法》也存在诸多不足，如对第三方支付行业的定性不准，对内部控制、账户管理等事项缺乏应有的规定。着眼于未来，笔者认为，在监管法方面，我国应进行以下几个方面的改造：一是提高第三方支付行业的立法位阶。法律的层级问题不仅是一个形式问题，层级的高低同时也传递着法所调整的社会关系重要性的强弱，而且其高高在上性也彰显了法律的神圣不可侵犯与权威。电子商务已表现为民众的一种生活价值与模式，第三方支付行业的规范性、公信力与这个市场的壮大或萎缩之间呈现一种正比例关系。为了表明为政者对该行业的决心与态度，在法的形式上，我国应采取正式法律的形式。针对本论题的内容，我国可以专门出台的《第三方支付行业反欺诈条例》或在正式法律中载入相关的反钓鱼欺诈事项的条款；二是对第三方支付机构的行业定性进行理性归位。尽管《办法》的冠名将第三方支付机构定性为非金融机构，但是文件内容所涉内容及银行卡收单、备付金、现场检查等金融性的特有术语无不表明，第三方支付行业类似于准金融行业；三是应对开立于第三方支付机构的账户属性、及开户人与第三方支付机构的权利义务问题进行明确。尽管该类账户与商业银行的存款账户存在一定的差异性，但是两者之间毕竟存在一定的共性。为了消除第三方支付机构不必要的源于客户账户及其内沉淀资金是否产生孳息等争议，我国法律有必要借鉴《商业银行法》等规范文件对在第三方支付机构开户是否实名、账户保密与管理、孳息有无等重大事项作出白纸黑字的厘定；四是明确第三方支付机构对钓鱼网站的打假作为义务。对于第三方支付行业而言，钓鱼网站是个危险区，但由于此类打假比较复杂，成本高且可能效果不佳，所以在实践中第三方支付机构要么是消极不作为，要么是在评估后表现出无奈。为了维护应有的市场秩序及保障消费者的权益，有必要对此类现象的打假采取齐抓共管的综合治理模式，如我国立法可以规定，第三方支付机构在知道或应该知道作为其支撑单位的银行网址被仿冒钓鱼时，在合理期间内负向有管辖权的公权力机关及该银行报告与协作打假的义务。
　　其三是刑事法律方面。刑法实然上的“血仇性”在很大程度能让潜在的不法行为人达到知有所禁而不敢犯的效果。因此，刑事法律的完善与刑罚的力度对钓鱼欺诈也起到客观上的弱化或杜绝的作用。考虑到我国《刑法》第286条“破坏计算机信息系统罪”、《刑法修正案（五）》第177条增加的“妨害信用卡管理罪”等的不足，在探讨中，学人们见者见智，如一类学者认为应该借鉴美国的立法模式，规定身份盗用或身份盗窃罪，而另一类则鼓吹增设“网络钓鱼罪”，建议：“以利用身份识别信息实施违法或犯罪行为为目的，故意利用仿冒的电子邮件信息、网面、网络站点或者其它网络技术手段欺诈性地获取用户的身份识别信息，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。”[6]尽管这些建言激发了热议，但是脱离钓鱼的技术背景，纯从规则角度来探讨钓鱼欺诈的刑事治理不免给人一种病急乱投医之感，而且也直接造成了立法的不经济与垃圾规则的产生。对于这一点，笔者认为，正确的思路是现行的刑法在罪名法定的原则下，能否使“钓鱼欺诈入刑”对号入座，如果答案是肯定的，那么再高谈阔论“网络钓鱼罪”就是画蛇添足，暂且不论钓鱼的手段并不局限于网络；如果答案是否定的，那么“另起炉灶”对于刑法的完善来说无疑是锦上添花。
　　实际上，语义说的解释告诉我们，钓鱼欺诈仍属于欺诈，只不过是欺诈的形式发生了改变，如从传统面对面类的模式转变为远程模式、以电子化的信息交流技术为媒介。对于情形严重而应该入刑的欺诈行为，我国法律并不缺乏规定，如《刑法》第266条规定：“诈骗公私财物，数额较大的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金；数额巨大或者有其他严重情节的，处三年以上十年以下有期徒刑，并处罚金；数额特别巨大或者有其他特别严重情节的，处十年以上有期徒刑或者无期徒刑，并罚金或者没收财产。本法另有规定的，依照规定。”根据2011年4月《最高人民法院、最高人民检察院关于办理诈骗刑事案件具体应用法律若干问题的解释》的规定：诈骗公私财物价值三千元至一万元以上、三万元至十万元以上、五十万元以上的，应当分别认定为《刑法》第266条规定的“数额较大”、“数额巨大”、“数额特别巨大”。其中，该文件还特别强调通过发送短信、拨打电话或者利用互联网、广播电视、报刊杂志等发布虚假信息，对不特定多数人实施诈骗公私财物达到上述规定的数额标准，可以依照《刑法》第266条的规定酌情从严惩处。在法已有规定的情况下，我们所要做的只是区分此罪与彼罪的问题。在钓鱼欺诈应追究刑责时，究竟是定性为“诈骗罪”，还是“盗窃罪”呢？——这是一个必须明确的问题。尽管这两者之间似乎存在一定的模糊性，但是其差别还是比较明显的。何谓盗呢？《荀子·修身》曰：私利物也，窃货为盗；《左传·僖公二十四年》说，窃人之财犹谓之盗。盗窃一般指在未得到他人许可的情况下，以自以为不会被他人及时发觉或者及时维护的方式取得他人财物的行为。相反，诈骗行为在形式上主要表现为两类，一是虚构事实，二是隐瞒真相，二者在实质目的上都是使被害人陷入错误认识处分其财产的行为。结合钓鱼欺诈的行为特点及当事人的非法占有目的，在触犯刑律时，利用“诈骗罪”对钓鱼者绳之以刑无疑是合情合理合法的。


五、余论

　　真正的法律是什么？尽管这是一个法律方法论的问题，但是它又实实在在地指引着我国第三方支付行业法律创新发展的方向。意图在一个封闭型的规则体系内仅作逻辑的思考就能毕我国第三方支付行业规范化于一役，这只能是立法者与监管者的一种幻想。当技术创新的时代来临，法律必须为技术及其衍生产品服务时，任何与技术相关问题的立法都应走一条“先了解技术，然后才立规”的路径，而不是立法者纯粹拍脑袋或“闭门造车”式地造法。尽管在法治的文明史中，法律看重逻辑与概念的作用，同时为了标榜法律的自主与科学，不少先辈智士为之呼吁与奉献，但是“我们绝不能将法律变成一个数学制度或一种故弄玄虚的逻辑体系……试图把法律同外部的社会力量——这些社会力量不断冲击着法律力图保护其内部结构所依凭的防护层——完全分隔开来的企图，必然而且注定是要失败的”。[7]
　　法律是社会与思想的结晶，归根到底，它必须以服务人为目的。为了确保作为“当为”的“规范”与“事实”的“存在”之间的对接性，活法论的领军人物埃利希认为：“法社会学必须从弄清楚活法的状况出发。它的研究对象首先是直接的具体事件，而不是抽象的东西。”[8]新技术挑战与突破了既存的社会关系，从而推动了法律的变革与创新，而不是以稳定与秩序为宗旨的法律直接刺激了新技术的发展。由于电子商务是一个牵一发而动全身的问题，最后谨以哈耶克的灼见为本文作结：“关于一种适当的社会秩序的问题，虽然人们现在是从经济学、法理学、政治科学、社会学和伦理学等各种不同的角度加以研究的，但是我们必须指出的是，这个问题却是一个惟有当成一个整体才能加以成功研究与认识的问题。”[9]
　　
注释
⑴网络钓鱼（phishing）是以因特网为载体而生的一种攻击方式。phishing一词由fishing和phone融合而来。由于在最初黑客是以电话作案，所以用ph来替代f而炮制出了phishing这一电子时代的新名词，并原滋原味地保留了fishing中愿者上钓的语义。
⑵国际反网络钓鱼工作组成立于2003年，该组织是一个专注于消除日益严重的网络钓鱼、犯罪软件和电子邮件诈骗所带来的身份盗窃和欺诈问题的行业协会，其主旨在于提供一个探讨反网络钓鱼的平台，并在成员之间分享信息及消除问题的最佳方法。
⑶该条规定，在发生异常交易时，公司有权直接自客户的相关账户余额中扣回款项及禁止客户要求支付此笔款项之权利，承担合理的追索费用，并承担过错责任。
⑷为了规避可能的法律风险，有些第三方支付机构采取了变通性的做法，即不直接援用“冻结”的表述，而使用“暂缓支付或暂停使用”之类的措辞。然而，文字游戏并不能消除行为的违法性，因为这是一种典型的“以合法形式掩盖非法目的”。
⑸由于冻结行为兹事体大而不可不察，结合立法的意图及上下条文之间的逻辑性，此处的法律应作狭义解释而不能作开放性解释，即指全国人大及其常委会制定的规范性法律文件。若国务院制定的行政法规、各地方政府人大制定的地方性法规、国务院部委等职能部门制定的规章或其它位阶更低的文件授予某机关冻结个人或单位存款的权力，那么该类授权也将因为违法了上位法而无效。
⑹第三方支付机构一般规定，客户对在一定期间内沉淀于系统账户内的资金不得主张孽息。若双方对这种格式化的规定产生歧义，那么法律该做何种定论？笔者认为，从权利与义务的公正性出发，第三方支付机构的这一设定是合理的。尽管第三方支付机构在一定层面上从事了商业银行的某些业务，但是其业务在本质上并不是以负债为基础的资产业务，它对客户的资产也并不享有权利，而只有代管的义务。如《非金融机构支付服务管理办法》第24条即规定：“支付机构接受的客户备付金不属于支付机构的自有财产。”因此，客户的孳息请求权是于法无据的。
⑺PCI—DSS（支付卡行业数据安全标准．Payment Card Industry Data Security Standard．），2004年由VISA和Master Card联合多家机构确立。该标准的认证范围主要包括构建并维护安全的网络、保护持卡人数据、维护漏洞管理程序、执行严格的访问控制措施、定期监控网络和测试网络、维护信息安全政策。自发布以来，PCI标准在国际范围内受到金融机构的推崇，它们通过制定最后合规期限、处罚办法等方式促使这一标准成为了商户和服务提供商必须遵循的强制性规范。对于支付产业链中具有涉外业务的企业来说，PCI类似于一种国际的通行证，它从内控和安全两个方面保证必要的法律遵守及标准合规。
⑻A．N．T（Anti—Fraud Notification Technical System），该系统用于与信用卡支付工具的并行对接，以在交易过程中有效抑制信用卡电子支付可能发生的各种风险。
⑼MD5（Message Digest Algorithm MD5公司，信息摘要计算法第五版），为计算机安全领域广泛使用的一种系列函数，其被最广泛运用于各种软件的密码认证和钥匙识别。
⑽SSL（Secure Socket日Layer，安全套接层），为“网景”（Netscape）所研发，用以保障在Internet上传输数据的安全，利用数据加密技术，可确保数据在网络上传输过程中不会被截取与窃听。
参考文献
[1]陈玲．网络钓鱼与刑法规制[J]．政治与法律，2008，（4）：40—44．
[2]尹琳．日本网络钓鱼的现状与对策[M]／／．顾肖荣．经济刑法（第7卷）．上海：上海社会科学院出版社，2008．
[3]黄毅．查询、冻结、扣划金融机构存款的法律与实力[M]．北京：中国法制出版社，2004．
[4]白君芬，网络钓鱼分析及防范[J]．甘肃科技，2009，（18）：25—27．
[5]陈学斌．利用钓鱼邮件进行金融欺诈的法律特性[J]．信息网络安全，2006，（5）：13—16．
[6]陈为钢．增设非法获取、传播身份信息罪[M]／／．顾肖荣．经济刑法（第7卷）．上海：上海社会科学院出版社，2008．
[7][美]E·博登海默．法理学——法律哲学与法律方法[M]．邓正来，译．北京：中国政法大学出版社，1999．
[8]Ehrlich．Fundamental Principle of the Sociology of Law[M]．Harvard University Press 1936，p．501．
[9][英]哈耶克．法律、立法与自由[M]．邓正来，译．北京：中国大百科全书出版社，2000．

【作者介绍】黎四奇 法学博士，湖南大学法学院教授，研究方向为金融法。
【文章来源】《法律科学》2012年第3期