案件庭审宣判现场。 董雪皓 摄

中国法院网讯(陈卫锋) 周末财务并未上班, 也没有资金转出的操作, 上海一家网游公司的支付宝账户却“被”连续多次转出112.3万元。 原来, 该公司的支付宝开通了“单笔转账到支付宝账户接口”功能, 使用App ID和RSA密钥, 即可无密转账。 事发后, 网游公司认为支付宝违反安全保障义务, 支付宝则认为涉案交易为原告授权交易, 且签约时网游公司已承诺自行承担无密转账风险。 那么问题来了, 到底谁来承担这笔损失？

11月21日下午, 上海市浦东新区人民法院（以下简称上海浦东法院）副院长金民珍担任审判长审理该案并当庭作出一审判决, 驳回原告诉讼请求。 

“被”转账112.3万, 网游公司起诉索赔

原告上海某网络科技有限公司系一家网游公司, 其在被告支付宝（中国）网络技术有限公司处注册了一个支付宝企业账户。 2017年11月7日, 原告向被告申请开通“单笔转账到支付宝账户接口”功能。 此后, 原告一直使用该支付方式向参与其游戏的玩家发放佣金。 

不料, 2017年11月25日至27日三天时间内, 原告的支付宝账户“被”转账46次, 损失共计112.3万元。 其中, 25日、26日还是周末, 财务人员甚至都不在公司上班。 在报警之后, 原告向上海浦东法院提起民事诉讼, 要求支付宝公司赔偿全部损失。 

原告认为, 根据《支付宝服务协议》《支付宝安全保障规则》, 被告对原告负有安全保障义务。 原告行为不属于双方约定的“非保障范围”, 被告违反约定, 应对原告的损失承担赔偿责任。 

支付宝公司却认为, 涉案交易使用单笔转账到支付宝账户接口功能, 只要根据App ID和RSA密钥完成交易, 就视为付款人确认付款。 涉案交易过程系原告本人亲自或授权代理人操作其自有的运营系统, 正确输入其专有接口的App ID和RSA密钥, 向支付宝系统发送支付指令, 代表原告的真实意思。 被告验证付款人身份真实、权限有效, 按照相关法规尽到了安全注意义务, 采取了合理的安全防护措施, 既未侵权, 也未违约, 无任何过错, 不应承担责任。 

支付宝是否应该担责？法院展开细致调查

法院经审理查明, 2017年11月25日至26日间, 原告的支付宝账户分41笔向其他支付宝账户共计转出92.9万元。 11月27日, 原告法定代表人姜先生发现前述转账后, 向被告反映情况, 被告客服询问其是否需要关闭账户的余额支付和提现功能, 姜先生予以了拒绝。 原告还向公安机关报案, 称其账户被人利用漏洞骗取了92.9万元。 

11月27日晚, 原告支付宝账户又分5笔共计转出19.4万元至其他支付宝账户。 姜先生遂又向被告反映账户被盗, 要求关闭其账户的支付功能, 同时再次向公安机关报案。 上述损失共计112.3万元, 均系使用“单笔转账到支付宝账户接口”功能所发生。 该功能为资金支出类的高风险接口, 使用AppID和RSA密钥, 无须输入支付密码, 就能操作账户资金支出。 

审理中, 鉴于公安机关对原告被诈骗一案已立案侦查, 法院遂至上海市公安局静安分局进行调查, 同时组织原、被告对调取的证据进行质证。 

法院同时查明, 《支付宝安全保障规则》中有“在满足本规则设定的条件下, 本保障服务仅适用于……等未经本人授权被他人支出而导致的直接损失”等约定, 且相关文字均以加粗字体显示。 《支付宝服务合同》还约定：“在即时到账交易模式下, 付款人一旦确认付款, 款项即时到达收款人支付宝账户内, 乙方对此不提供中介服务, 所有的风险和责任由付款人和收款人自行解决与承担。 ”

针对“单笔转账到支付宝账户接口服务”, 双方有“在本服务中, 乙方只是被授权的指令执行方, 除非乙方没有依照甲方的指令操作, 或操作指令错误, 乙方将不对本服务产生的损失和责任负责, 该等损失与责任应由甲方承担。 如因乙方执行指令错误, 而给甲方或用户造成的损失, 由乙方承担。 ”等约定。 

不构成未授权交易且被告已尽到相关义务

上海浦东法院经审理后认为, 本案的争议焦点在于：第一, 涉案交易能否认定为未经原告授权的交易；第二, 被告对涉案交易的风险是否尽到了审慎合理的提示义务。 

判断涉案交易是否经原告授权, 应当看支付指令的发出及其内容是否符合合同约定的方式。 原告向被告申请使用“单笔转账到支付宝账户接口”支付功能后, 根据涉案支付服务协议的约定, 创建应用并获取App ID、配置密钥并搭建和配置开发环境, 一直使用该支付方式向其游戏玩家发放佣金, 使用过程中未持有异议。 现涉案交易能够完成, 应推定系因正确的App ID和RSA密钥所完成, 应视为原告的授权交易行为。 而且, 原告向公安机关报案的行为系针对案外人侵权所提出, 无法直接证明涉案交易指令的发出存在不符合合同约定的情况。 

关于被告是否尽到了审慎合理的提示义务。 被告已通过网站公示及合同提示的方式对涉案交易方式进行了充分合理揭示。 同时, 原告作为一家专门从事网络技术的公司, 应当具备较高的专业技术和风险识别能力, 其完成涉案交易所需要的App ID和RSA密钥均需自行编写完成, 对相应风险亦应知晓。 

法院同时认为, 随着电子支付的日渐普及, 电子支付过程中因“未授权交易”引发的纠纷在司法实践中也逐渐增多, 即将于2019年1月1日开始施行的《电子商务法》, 对电子支付过程中未授权支付的责任承担机制进行了规范, 但考虑到电子支付的不断创新以及各类电子支付风险不同, 实践中对于如何识别“未授权交易”, 仍存在较大争议。 对于高风险的电子支付方式, 一方面, 在未授权交易的认定上, 应当结合支付服务合同约定的交易方式加以判断, 电子支付服务提供者在用户提供初步证据后, 应承担相应的举证责任。 另一方面, 在交易风险的揭示上, 电子支付服务提供者应确保其尽到了包括审慎风险提示、防止损失扩大在内的安全保障义务。 

本案中, 与涉案交易相关的电子服务合同作为新类型、高风险的网络市场交易方式, 合同各方的行为仍然应当恪守契约自由、诚实守信等市场交易规则。 现被告作为电子支付服务提供者, 已经充分履行了支付服务合同项下的义务, 合同约定亦不存在权利义务失衡之状态, 故原告以被告未尽安全保障义务为由而主张被告承担其涉案交易损失之赔偿责任的诉讼请求缺乏事实和法律依据。