案情简介
2016年6月8日,消费者曹某向人民银行某分行反映,其名下Z银行借记卡里14197.57元被分多次通过微信支付平台转走,未输入银行卡取款密码,也未收到银行账户余额变动的短信通知。曹某强调自己从未绑定任何第三方支付,此次银行卡绑定微信支付是由其九周岁的儿子操作的,曹某认为绑定银行卡设置流程过于简单,消费时也无需银行卡支付密码,影响了消费者资金安全,遂要求Z银行赔偿损失。
处理情况
人民银行某分行营业管理部接到投诉后,立即开展调查,经核实,2016年5月15日,曹某外出时将其Z银行银行卡放置在家中,同时将个人手机留给家中的儿子玩游戏,其子输入曹某的银行卡卡号、预留手机号,待Z银行信息审核成功后,作为微信支付通道提供商的财付通公司系统下发验证码到银行预留的手机号码,输入短信验证码成功地将Z银行的银行卡开通了微信快捷支付。经查,曹某该微信账号在5月15日绑定Z银行卡之前,还分别绑定过J银行和S银行借记卡,已开通了快捷支付业务,在绑定新的银行卡时,还需先输入先前设置的支付密码。财付通公司查询了消费者绑定手机号码“找回支付密码”的短信记录或操作记录,系统显示并无相关记录。曹某称之前的开通和绑定也是其子办理的,并设置了微信支付密码“123456”,多次通过微信支付购买虚拟游戏币。
Z银行后台日志显示,曹某的Z银行账户于5月15日至7月19日(投诉后该银行卡仍发生过第三方支付)共发生了31笔累计金额10045.7元的微信财付通支付交易,交易均通过用户常用设备操作,完成支付只需验证消费者在支付端注册时留存的账户及设置的微信支付密码。以上交易在交易当日均有下发过余额变动的短信通知,且运营商系统反馈信息均发送成功。另外,Z银行查明的微信财付通支付交易金额与曹某提出的14197.57元不符,不排除通过其他银行卡完成微信财付通交易的可能。
此外,2014年曹某通过计算机端开通财付通账户并绑定了Z银行的该张借记卡进行理财活动。Z银行当时已验证持卡人身份并签订协议,取得了持卡人授权。2016年5月,开通微信支付后即将消费者微信支付账户与个人财付通账户关联。
综上,Z银行认为曹某没有尽到妥善保管手机和银行卡的义务,用户在开通快捷支付业务时,通过了个人身份信息、银行卡信息及用户银行预留手机号码,并经下发的验证码、微信支付密码等多重要素验证,银行业务操作合规。
曹某也同时投诉至财付通公司,财付通公司认为用户申请开通快捷支付业务时,须同意《微信支付用户服务协议》。该协议其中第四条规定,客户应妥善保管手机等电子设备、支付密码、短信校验码、数字证书、电子签名,以及用于微信支付的条码、二维码等信息和资料,因客户泄露、遗失、复制、转交前述信息和资料而导致的损失,由客户自行承担。
经协商双方达成一致意见,同时Z银行已关闭其Z行借记卡的网上支付功能(包括快捷支付、直付通及网关、手机等支付渠道)。
法律分析
1.《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号)第十条规定,“支付机构向客户开户银行发送支付指令,扣划客户银行账户资金的,支付机构和银行应当执行下列要求:(一)支付机构应当事先或在首笔交易时自主识别客户身份并分别取得客户和银行的协议授权,同意其向客户的银行账户发起支付指令扣划资金;(二)银行应当事先或在首笔交易时自主识别客户身份并与客户直接签订授权协议,明确约定扣款使用范围和交易验证方式,设立与客户风险承受能力相匹配的单笔和单日累计交易限额,承诺无条件全额承担此类交易的风险损失先行赔付责任;(三)除单笔金额不超过200元的小额支付业务,公共事业缴费、税费缴纳、信用卡还款等收款人固定并且定期发生的支付业务,以及符合第三十七条规定的情形以外,支付机构不得代替银行进行交易验证。”
目前快捷支付是以非银行支付机构为主,消费者在绑卡和支付流程均主要由非银行支付机构来控制和核验,银行主要与支付机构进行账号核对。绑卡成功后,银行在支付交易时不会验证客户身份,仅有支付机构根据快捷支付交易密码或手机验证码等安全系数不高的方式来验证,导致非本人发出的支付指令轻易完成,反映出第三方支付机构的快捷支付功能在安全验证环节较为薄弱。
2.《合同法》第八条规定:“依法成立的合同,对当事人具有法律约束力。”第六十条规定:“当事人应当按照约定全面履行自己的义务。”根据消费者和银行签订的借记卡领用合约和使用章程,均约定了持卡人应当妥善保管借记卡及卡片相关信息。
3.《中国人民银行关于进一步加强银行卡风险管理的通知》(银发〔2016〕170号)规定,“各商业银行、支付机构应加强银行卡、网络支付等交易密码的保护管理和客户安全教育,严格限制使用初始交易密码并提示客户及时修改,建立交易密码复杂度系统校验机制,避免交易密码过于简单(如“111111”、“123456”等)或与客户个人信息(如出生日期、证件号码、手机号码等)相似度过高。”本案中消费者儿子设置的微信支付密码为“123456”过于简单,支付机构未能限制使用并提示客户修改,做法欠妥。
案例启示
本案例是消费者、银行和支付机构在第三方快捷支付过程中对客户身份识别以及交易验证方式上存在争议而引起。
1.加强第三方快捷支付的安全验证。本案反映出微信支付等网络支付方式在交易中无需实体银行卡交易密码,因此,非银行支付机构首先应在绑卡阶段对客户加强核验,以确保客户支付安全。其次,消费者通过第三方快捷支付进行交易,支付机构与消费者、银行与消费者应双独立验证,即如果支付机构已选择短信动态验证码等以手机为载体的验证方式时,银行应使用与支付机构相独立、消费者本人所特有的、不可复制或不可重复利用的验证载体。
2.银行应加大对客户的风险提示教育和宣传引导力度,在客户开立银行卡时,应综合采取柜面风险揭示、网站专栏公示、客服短信提示等措施,提高客户对新型支付工具的风险防范意识。同时,银行和支付机构应加强对用户类型、消费习惯的分析,在发现消费者出现异常交易行为时,应及时与消费者本人核验交易行为。
3.消费者应妥善保管好个人手机、身份证、银行卡、支付密码等个人重要物品及信息,切实提高第三方支付的安全使用意识和常识,熟悉第三方支付的业务流程和风险点,切莫贪图各类支付体验的便利而忽略风险。避免让未成年人过早接触第三方快捷支付工具,帮助未成年人建立正确的消费观。
