作者按：本文发表于《法律科学》2020年第4期，责任编辑：焦和平。本次推送将原来《合同法》《侵权责任法》所涉条文替换为《民法典》相应条文。至于2018年6月公布的《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定（征求意见稿）》，并未按照今天公布的《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》进行修订。主要目的是体现两个文件的不同。敬请读者批评指正。

摘 要：《电子商务法》第57条第2款应当作为互联网非授权支付责任分担规则的核心规范。支付委托合同可作为电子支付服务提供者与用户间法律关系的基础。既有裁判实践在电子支付提供者承担非授权支付责任与用户分担责任的法律结构存在重大分歧与无法克服的缺陷。根据《民法典》第577条结合《电子商务法》第57条第2款，用户可向电子支付服务提供者主张支付委托合同的履行请求权，要求其偿还资金，使得后者承担非授权支付的损失。电子支付服务提供者可以向存在重大过失的用户主张违反附随义务的损害赔偿请求权，以分担责任。倘若非授权支付涉及多个电子支付服务提供者，应由直接管理用户账户的电子支付服务提供者先行承担损失。电子支付服务提供者应证明支付获得授权及用户存在重大过失违反附随义务。裁判者不能在单凭互联网支付记录的场合判定授权支付的高度盖然性，也应谨慎地推定用户存在重大过失。

关键词：非授权支付；电子支付服务提供者；支付机构；支付委托合同；表见证明

一、问题的提出

《中国人民银行等10部委关于促进互联网金融健康发展的指导意见》第（七）条将“互联网支付”定义为，“通过计算机、手机等设备，依托互联网发起支付指令、转移货币资金的服务”。根据中国人民银行《2018年支付体系运行总体情况》数据显示，2018年，银行业金融机构共处理网上支付业务570.13亿笔，金额2126.30万亿元；移动支付业务605.31亿笔，金额277.39万亿元；而支付机构发生网络支付业务5306.10亿笔，金额208.07万亿元。可见，互联网支付发展迅猛，已经成为经济生活极为重要的构成部分。与之相伴，互联网非授权支付风险日益增加。以广州市两级法院为例，互联网非授权支付纠纷占非授权交易案件的比重从2014年的15.62%上升到2017年的27.27%。2018年10月，全国多地出现“Apple pay”非授权支付，涉及用户预计超过700人（以下简称“Apple pay案”）。加害人利用互联网实施的远程操作不易被察觉和追踪，其具体身份难以被发现和确定。为避免用户承担全部不利后果，在用户与电子支付服务提供者间合理分担风险和责任，具有重要意义。然而，互联网非授权支付中的技术与法律问题互相“缠绕”，导致责任分担规则存在诸多疑惑：电子支付服务提供者与用户的法律关系为何？当事人按照何种法律结构分担责任？用户追责的电子支付服务提供者应限定在银行还是可追及支付机构？已经承担责任的电子支付服务提供者可否另行追偿？电子支付服务提供者抑或用户承担证明责任？

为平息争议，推动互联网支付发展，《电子商务法》第57条确立了“电子支付服务提供者承担非授权支付责任+证明责任”的法律框架。此前，最高人民法院曾专门针对实体银行卡盗刷问题发布了《关于审理银行卡民事纠纷案件若干问题的规定》（征求意见稿，以下简称“《征求意见稿》”）。两者对比视之，凸显出《电子商务法》第57条的诸多不足：首先，流于粗疏，其未提供可资适用的教义学构造；其次，文义不清，电子支付服务提供者就何种事由承担证明责任及证明标准高低也不清晰。

为落实《电子商务法》，提升法律内在的融贯性，本文将适当抽离互联网非授权支付的技术细节，以《电子商务法》第57条的解释论为核心，详细展示非授权支付中的实体责任、证明责任之分担规则。以此为主线，主文论述分为四部分：第一部分，通过阐明互联网支付的法律框架，包括当事人间的法律关系与主要支付业务模式的内在构造，作为研究起点；第二部分，以既有争议为切入点，分别指明电子支付服务提供者承担责任以及用户分担责任的法律结构，此为全文核心部分；第三部分根据互联网支付模式涉及的电子支付服务提供者数量之差异，剖析何种电子支付服务提供者应先行承担损失，以及互相间的追偿关系；第四部分立足于“请求权与证明责任相匹配”的原理，分别论述不同法律关系中的证明责任承担者。最后是简短结论。

二、互联网支付的法律框架

互联网支付依托于先进的网络技术，实现了支付行为的便利化与快捷化。万变不离其宗。电子支付服务提供者与用户间的法律关系仍是确定非授权支付责任分担的前提。恰恰是因为前述法律关系缺乏共识，导致就责任分担规则众说纷纭、争议颇多。因此，有必要先澄清电子支付服务提供者与用户间的法律关系，再简要展示不同互联网支付的业务模式。

（一）电子支付服务提供者与用户的支付委托合同

为了回应互联网支付迅猛发展的需要，在《电子商务法》出台前，中国人民银行已经出台有不少专门调整互联网支付的部门规章，包括了《网上银行业务管理暂行办法》（2001，2007废止）、《电子支付指引（第一号）》（2005，以下简称“《电子支付指引》”）、《电子银行业务管理办法》（2005，以下简称“《电子银行办法》”）、《非金融机构支付服务管理办法》（2010）、《非银行支付机构网络支付业务管理办法》（2015，以下简称“《网络支付办法》”）。前述部门规章一方面详尽规定了互联网支付所涉各方所负有的公法义务，另一方面通常要求电子支付服务提供者须与用户订立服务合同，作为双方法律关系的基础。例如，《电子银行办法》第39条第1款，“金融机构应当与客户签订电子银行服务协议或合同，明确双方的权利与义务”。再如，《非金融机构支付服务管理办法》第21条第1款，“支付机构应当制定支付服务协议，明确其与客户的权利和义务、纠纷处理原则、违约责任等事项”。但是，前述规定均未指明此类服务合同的法律属性，造成了与《民法典》严重“脱节”。为免于此，研究者提出了代理说、电子货币保管说、代为履行说等诸多学说。前述学说之不足在于，电子货币保管说未能涵盖互联网支付的各种业务模式，而代理说、代为履行说仅指出了互联网支付方式在用户间基础关系的性质，却无法解释电子支付服务提供者与用户间的权利义务关系。

为方便法律适用，须以委托合同为框架构建统一的互联网支付法律关系，以涵盖各种支付业务模式。委托合同的特征是受托人为委托人处理一定事务。以此为构建电子支付服务提供者与用户的法律关系：用户是委托人，电子支付服务提供者是受托人；电子支付服务提供者为用户处理委托事务，执行支付行为，完成资金移转；由于委托合同并未明确支付行为之内容，用户需行使具有“委托人指示”性质（《民法典》第922条第1句）的电子支付指令（《电子商务法》第53条第2款）以发起整个支付流程。在交易实践中，各主要电子支付服务提供者向用户提供的格式合同已经清晰地体现出了双方的支付委托关系。例如，《支付宝服务协议》第3条明确表述为“支付宝服务是支付宝向您提供的非金融机构支付服务，是受您委托代您收款或付款的资金转移服务”。

以支付委托合同作为框架的主要实益在于，可借助《民法典》中委托合同的相应规则来构建电子支付服务提供者与用户间法律关系。例如，电子支付服务提供者可以根据委托合同享有处理用户支付事务的权限（《民法典》第919条），而不构成非法干涉用户事务。此外，由于委托合同包含了丰富的义务群，受托人不单负有“为委托人处理事务”的主给付义务，还负有基于诚信原则等而发生的各项从给付义务、附随义务，因此无须“叠床架屋”，另行解释出当事人间存在其他内容相同（如电子货币保管）的合同关系。

据此，用户发出电子支付指令，授权电子支付服务提供者执行支付行为，进而产生授权支付关系的三项法律效果：第一，在电子支付服务提供者一侧，其负有义务按照支付指令及时、准确地执行支付行为。第二，在用户一侧，其认可电子支付服务提供者实施支付行为支出的费用（《民法典》第921条）。为促使受托人完成委托事项，委托人应承担预付或偿还委托费用的责任。电子支付服务提供者可以此项必要费用债权抵销用户对其的债权，或者增加对用户的债权。第三，为了促进实现主给付义务，最大限度地满足债权人的给付利益，与维护当事人的固有法益，《民法典》第509条第2款肯认了基于诚信原则而发展出当事人的附随义务。依此，电子支付服务提供者负有对用户身份认证，及时通知、提醒等各项安全保障义务；用户应尽合理注意义务，保障自身及电子支付服务提供者的安全。

（二）三种主要互联网支付的业务模式

《电子支付指引》第2条将网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易等诸多支付方式均纳入电子支付。随着互联网技术的发展，不少电子支付方式市场份额逐步缩减，丧失了重要性。现时，互联网支付主要是指网上银行、支付账户型第三方支付与支付网关型第三方支付三种业务模式。

1.网上银行

《网上银行业务管理暂行办法》第3条将网上银行定义为“银行通过因特网提供的金融服务”。之后的《电子银行办法》第2条第2款将此定义为利用计算机和互联网开展，由用户通过自助服务方式完成金融交易的银行服务模式。可见，其本质是传统银行柜台业务在互联网环境的延伸，由银行作为电子支付服务提供者。用户使用网上银行无需借助银行卡等实体卡片作为支付介质，仅需要通过输入银行卡号、密码、银行预留手机号及短信验证码等信息即可开通支付业务，并主要依靠密码、短信验证码等信息进行支付行为中的身份识别。

2.支付账户型第三方支付

近年来，第三方支付发展迅猛，极大地便利了电子商务的资金流转。根据艾瑞咨询《2018中国第三方支付年度数据报告》显示，第三方移动支付交易规模已经达到了190.5万亿，第三方互联网支付交易规模达到了29.1万亿。《网络支付办法》第2条第2款将提供第三方支付的电子支付服务提供者称为“支付机构”，并定性为非银行机构，并在第3条第1款明确区分出“基于客户的银行账户”和“为客户开立支付账户”两类支付机构。

后者通常被称为支付账户型第三方支付。其系指用户使用开立在支付机构的、非银行结算账户的资金进行支付的服务模式。其电子支付服务提供者为相应支付机构。在此业务模式中，支付机构通过支付账户，为用户付款、收款，实现资金从账户到账户的移转。

3.支付网关型第三方支付

“基于客户的银行账户”的支付机构提供了支付网关型第三方支付。其系指支付机构集成不同的支付网关，为用户提供统一支付通道，传达支付指令，以实现资金移转的服务模式。该业务模式的具体步骤是：第一，用户将个人的帐号、密码等信息与支付指令发送给支付网关型支付机构；第二，支付网关型支付机构作为用户支付指令的使者，向其他电子支付服务提供者传达该指令；第三，其他电子支付服务提供者在受领该指令后，按照内部操作流程执行支付行为。

由于支付网关型第三方支付涉及到在多个电子支付服务提供者间传达支付指令，非授权支付的风险较高。为免于此，《中国银监会、中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》（2014，以下简称“《合作业务管理通知》”）第3条明确要求，银行账户与支付机构首次建立业务关联时应经双重认证，即用户必须通过支付机构认证与银行的身份鉴别；第4条要求银行应采用双（多）因素验证方式鉴别用户身份。前述要求在裁判实践中通常被转化为电子支付提供者的附随义务。

上述三种互联网支付业务模式的区别有二：其一，网上银行管理用户的银行账户、支付账户型支付机构直接管控用户的支付账户，相反，支付网关型支付机构无法触及用户的电子簿记，只能向前述两种电子支付服务提供者传达支付指令，启动支付服务。所以，在欧盟法的语境下，前述直接管理用户电子簿记的支付服务提供者被称为“账户服务支付服务提供者”（accountservicing payment service provider）或“账户管理支付服务提供者”（kontoführenden Zahlungsdienstleister），而支付网关型支付机构则被称为支付启动服务提供者（Payment Initiation Service Provider）。（见图一）其二，直接管理用户电子簿记的支付服务提供者可以独立实现资金移转，完成支付行为，因此，考虑非授权支付的责任分担时仅涉及单一的电子支付服务提供者。但是，支付网关型支付机构需要网上银行或支付账户型支付机构的配合，方能完成支付行为，所以，考虑非授权支付的责任分担时至少涉及两个电子支付服务提供者。

图一：电子支付服务提供者的分类

李建星 | 互联网非授权支付的责任分担规则
三、非授权支付责任承担的教义学构造

加害人悖于善良风俗实施互联网非授权支付，造成用户的纯粹经济损失，用户可以要求加害人承担侵权责任。然而，出于加害人的具体身份难以被发现与确定，用户不得不要求电子支付服务提供者承担相应责任。《电子商务法》第57条第2款，“未经授权的支付造成的损失，由电子支付服务提供者承担；电子支付服务提供者能够证明未经授权的支付是因用户的过错造成的，不承担责任。”可见，前句指明了“电子支付服务提供者就非授权支付承担责任”的规范立场，后句则蕴含了电子支付服务提供者因用户存在过错得以责任减免的制度内容。该款须加以详尽阐明，以作为电子支付服务提供者与用户间分担非授权支付责任的教义学构造。

（一）裁判实践立场的考察

裁判实践基本从用户向电子支付服务提供者主张违约损害赔偿的视角探讨责任承担问题。例如，“钟秀华与中国农业银行股份有限公司北京常营支行借记卡纠纷”中，裁判者判定，原告要求被告农行常营支行赔偿非授权支付造成的存款及利息损失，在性质上属于主张农行常营支行赔偿违约造成的损失。然而，违约责任的承担要件以及在当事人间分担责任的法律构造并不明确，导致裁判实践呈现出了较混乱的状况。

1.电子支付服务提供者承担责任的裁判思路截然对立

由于裁判者对电子支付服务提供者违反何种义务造成非授权支付存在严重分歧，而且，相应的法律规范就此态度暧昧、各行其是，导致裁判者在电子支付服务提供者承担责任上存在两条大相径庭的思路：

第一，处于多数说地位的是过错责任思路。根据支付委托合同，电子支付服务提供者须根据《民法典》第509条第2款履行风险警示（《网络支付办法》第25条）等附随义务保障用户的交易安全。假如电子支付服务提供者因过错违反前述义务，造成非授权支付，即应承担责任。所以，电子支付服务提供者的责任承担与其过错程度存在“正相关性”，过错程度越高，越可能承担非授权支付责任。裁判实践将电子支付服务提供者责任区分为由轻到重的两种情形。

情形一：完全免除电子支付服务提供者的责任。电子支付服务提供者因为无法验证用户真实身份，无过错而得以责任免除。例如，“张家兵与中国工商银行股份有限公司六安开发区支行储蓄存款合同纠纷、财产损害赔偿纠纷”中，裁判者主张，银行基于对原告个人信息的依赖，以及由支付网关型支付机构——“支付宝”在核对相关账户信息和正确的密码后而进行的付款操作，并无过错，进而完全免除银行责任。该裁判思路的背后逻辑是，在互联网支付环境下，电子支付服务提供者根据用户正确的个人信息执行支付行为，就不存在过错，进而无须承担责任。

情形二：根据电子支付服务者违反附随义务的情况，决定其是否应承担责任。例如，“黎万与中国银行股份有限公司广州工业园支行、支付宝（中国）网络技术有限公司借记卡纠纷”中，裁判者引入《合作业务管理通知》，将其要求的“支付机构认证用户信息+银行用户身份鉴别”双重验证转化为电子支付服务提供者的附随义务。倘若银行未实施双重验证，就构成有过错违反附随义务，须承担非授权支付责任。此外，“梅润明与重庆农村商业银行股份有限公司垫江支行储蓄存款合同纠纷”中，裁判者同样采取前述进路，认定电子支付服务提供者违反了《合作业务管理通知》要求的充分告知义务，未能逐笔监测、认真核查、及时预警，故而须向用户承担非授权支付的责任。

第二，处于少数说地位的是严格责任思路。由于互联网的开放性，网上银行发生非授权支付的风险高于实体银行。2005年的《电子银行办法》第89条第1款即阐明了，包括网上银行在内的电子银行系统存在安全隐患、金融机构内部违规操作和其他非用户原因等造成非授权支付，提供网上银行的金融机构应承担责任。换言之，只要是“非用户原因”导致了非授权支付，电子支付服务提供者没有过错也要承担责任，故而属于严格责任。之后《网络支付办法》第19条第1款直接要求，支付机构对不能有效证明因客户原因导致的资金损失及时先行全额赔付。

相应之，裁判者引入《民法典》的违约严格责任规定，作为电子支付服务提供者承担非授权支付责任的依据。例如，“燕莉与中信银行股份有限公司北京北辰支行借记卡纠纷”中，裁判者论证道，因为《民法典》第577条已经明确采取了严格责任的归责原则，既不考虑违约人的过错情况，也未将违约人无过错作为免责事由，因此，银行抗辩其不存在过错不能作为免责事由。另有“蔡岩与中国建设银行股份有限公司北京丰岳支行储蓄存款合同纠纷”亦属此例。鉴于“附随义务采过错责任”与“主给付义务采严格责任”的区分，前述裁判者显然认定，电子支付服务提供者违反了主给付义务，须承担非授权支付责任。

2.双方分担责任的法律结构、比例差异显著

发生互联网非授权支付既可能是加害人直接破解电子支付服务提供者的电子系统所致，也可能由加害人利用用户的过错造成。裁判者出于风险分散的考量，通常要求有过错的用户分担一定的非授权支付责任。不过，在落实用户分担责任的法律构造与具体责任比例却存在显著差异。

首先，在分担责任的法律构造上，裁判者采取了两种不同方法：方法一，裁判者通过认定用户存在与有过失或违反减损规则，以限定电子支付服务提供者的损害赔偿范围，以实现用户分担责任。例如，“马红梅与中国农业银行股份有限公司昌吉市支行储蓄存款合同纠纷”中，裁判者判定，用户将银行卡交由他人使用，极大地增加了密码、银行卡信息泄漏的风险，因此存在与有过失，须分担非授权支付造成的损失。此外，“平安银行、魏继令借记卡纠纷”中，裁判者认为，用户应当注意到短信通知存在异常情况并应当对账户中的资金变动情况进行查证，疏于履行审慎的注意义务和查证义务即违反了减损规则，亦须分担非授权支付的责任。方法二，裁判者引入“双方违约”以限缩用户的损害赔偿请求权范围。例如，“吴颖与上海银行股份有限公司信用卡中心信用卡纠纷”中，裁判者根据《民法典》第592条第1款的“双方违约”规定，论证道，非授权支付损失的直接原因系用户未履行妥善保管义务，主要原因系电子支付服务提供者未能尽其合理审查义务，故而双方应分担损失。因为两种方法立足于《民法典》的不同条文，故而背后折射的裁判思路也未尽相同。

然后，在责任分担比例上，裁判者所为之判定也存在较大差异。有的裁判者认定，提供网上银行的电子支付服务提供者与用户均有过错，应各负50%责任。还有的裁判者在不指明比例的确定标准时，即判定双方按照“电子支付服务提供者70%，用户30%”分担责任。另有裁判者在支付网关型第三方支付发生非授权支付时，要求电子支付服务提供者承担80%责任，用户分担20%责任。

3.裁判实践的评析

综上，我国已经就非授权支付积累了大量的裁判经验，并且基本形成了“电子支付服务提供者须承担责任”“用户依其过错分担责任”等价值共识。但是，由于没有深入挖掘支付委托合同的丰富内涵，裁判者在责任承担的各项关键法律构造均存在巨大分歧。而且，前述裁判实践的立场还存在下述三点无法自洽的“致命”缺陷：

（1）违约损害赔偿思路的妥当性存疑

究其本质，过错责任思路与严格责任思路的立论基础均在于，电子支付服务提供者因非授权支付而对账户执行无权扣款造成了用户的财产损失，用户须通过主张违约损害赔偿弥补损失。然而，此基础并不具有妥当性。

首先，其忽视了非授权支付责任承担的逻辑起点。支付委托合同是电子支付服务提供者与用户间法律关系的架构基础，即受托人电子支付服务提供者负有义务为委托人用户处理支付委托事务。在发生互联网非授权支付时，基于“支付行为的有效性以付款人同意为前提”的原理，用户没有向电子支付服务提供者发出电子支付指令，也未认可后者执行的支付行为属于处理委托事务，相应之，电子支付服务提供者不享有委托费用的偿还请求权，更无权以扣款的形式减少对用户的债务或增加对用户的债权。此为非授权支付责任承担的逻辑起点。而如今的裁判实践基本无视此点，以致于无法阐明“电子支付服务提供者不享有支付委托费用偿还请求权”与“承担损害赔偿责任”二者的内在关联性，就直接适用违约损害赔偿作为责任承担的基础。

然后，其错配了履行请求权与损失。电子支付服务提供者因非授权支付在用户的账户中进行无权扣款，并不能消灭其给付义务，也无法动摇用户基于支付委托合同的各项履行请求权。为遵守契约严守原则，维持合同约束力，履行请求权须被优先考虑。仅在履行请求权无法获得满足时，才需要承认存在损失，进而适用损害赔偿请求权，以确保债权人的利益。据此，倘若用户可以通过履行请求权恢复其经济状况，也就无须认定其存在实际损失，更无须考虑是根据债务人的过错责任抑或严格责任主张损害赔偿请求权了。

（2）违约损害赔偿思路加重用户的证明负担

由用户向电子支付服务提供者主张违约损害赔偿，将造成用户在举证上的极大不利。当事人对自己提出的诉讼请求或者反驳对方诉讼请求所依据的事实，应当提供证据加以证明。为此，诸多持过错责任思路的裁判者要求用户负担“存在非授权支付+电子支付服务提供者存在过错”的双重证明责任。例如，“原告周某某与被告中国某某银行股份有限公司耒阳市支行借记卡纠纷”中，裁判者要求用户证明非授权支付的发生系黑客长期盗刷；证明非授权支付金额及其它损失，系电子支付服务提供者违约承担赔偿责任范围；证明电子支付服务提供者在管理其账户中存在过错。此外，“上诉人郝银凤与被上诉人中国建设银行股份有限公司泾川支行银行卡纠纷”中，裁判者同样要求用户提供证据证实存在非授权支付，及银行存在过错。由于互联网非授权支付涉及复杂的技术问题，用户要证明电子支付服务提供者存在过错异常艰难，最终无法获得救济。此与倾斜保护用户，刺激电子支付服务提供者提升安全防范技术的立法取向截然相悖。

退一步而言，持严格责任思路的裁判者仍要求用户证明存在非授权支付，同样悖于证明责任分配的原理。消极事实是指未发生的事实，未发生的事实无从举证，自然无须举证。非授权支付是指用户未发出授权的电子支付指令，属于消极事实。而用户显然不可能就未发出电子支付指令提出证据。裁判者断然要求用户证明存在非授权支付，最终必定导致电子支付服务提供者责任得以完全免除。

（3）既有责任分担的法律结构含混不清

之所以如今的裁判者就用户分担非授权支付责任采取两种不同法律构造，主要缘由在于，用户是按照违反不真正义务抑或附随义务分担责任缺乏共识。《电子银行办法》第89条第2款，“因客户有意泄漏交易密码，或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的，金融机构可以根据服务协议的约定免于承担相应责任，但法律法规另有规定的除外。”可见，监管部门显然判定用户就安全支付承担附随义务。然而，一部分裁判者采取的与有过失、违反减损规则的法律构造却无视监管部门的判断，将用户安全防范与保密视为不真正义务，无法有效地刺激用户妥善保管个人信息与支付信息。

另一部分裁判者为顾及监管部门的判断，被迫转采“双方违约”的法律构造。该构造是基于裁判者认定电子支付服务提供者与用户分别违背附随义务，因两项义务缺乏牵连性关系，进而构成“双方违约”。然而，“双方违约”以存在两个损失为前提，这与裁判者认定发生非授权支付是用户的单方损失存在自相矛盾之处。

至于双方分担责任比例不同，视乎案情的内在差异，当中责任比例确实可以有所不同，也不会冲击司法的权威性。真正影响当事人法律预期的因素在于，裁判者没有论述双方分担责任比例的具体标准，以及该标准未与电子支付服务提供者承担责任间保持一致。

拉德布鲁赫指出，由事物的存在不能推导出事物的价值、正确性或其当为。依此，鉴于既有的裁判思路内在结构混乱、妥当性存疑，有必要整体转换责任承担规则的思维进路，“另起炉灶”以确定非授权支付责任承担的教义学构造。

（二）电子支付服务提供者承担责任的构造

为了倾斜保护用户，充分考虑非授权支付中过错证明难度与损失承担能力，《电子商务法》的参与立法者明示放弃了在裁判实践中处于多数说地位的过错责任思路，转而采取了严格责任的归责原则。《电子商务法》第57条第2款前句，“未经授权的支付造成的损失，由电子支付服务提供者承担”。下文以此句为核心，结合民法原理，阐明体系协调、价值统一的非授权支付责任承担构造。

1. 《电子商务法》第57条第2款前句的解释论

法教义学的核心任务在于法律解释。适用者须通过文义解释、体系解释、比较法解释等方法在法律基本原则和基本规则间、在案型和个案间建构精细的体系中间层。从不同的法律解释方法切入，有助于完整、准确地把握《电子商务法》第57条第2款前句的体系定位、制度内涵。

文义解释方面，《电子商务法》第57条第2款前句存在两种解释的可能性：第一，用户因非授权支付存在损失，转由电子支付服务提供者承担；第二，电子支付服务提供者因非授权支付存在损失，须自行承担。电子支付服务提供者承担非授权支付责任的逻辑起点在于，其就此并不享有对用户的支付委托费用偿还请求权。由此，电子支付服务提供者执行了非授权的支付行为，积极财产减少，却无权在用户的账户中扣款予以填补，故存在财产之损失。可见，以第二种解释可能性作为《电子商务法》第57条第2款前句的内在理路，方为妥当之选择。

体系解释方面，其主要方法是通过把待解释的法条与其他条款相联系，利用法律规范的脉络、关联确定其内在意旨。《电子商务法》第57条第2款前句须与第3款结合解释，方能阐明其规范含义。现有裁判实践出于判定用户因非授权支付存在损失，透过向电子支付服务提供者主张违约损害赔偿的方式，转由后者承担。假如以此作为《电子商务法》第57条第2款前句的规范意旨，即与第3款的规制方向相反。参与立法者将《电子商务法》第57条第3款界定为电子支付服务提供者对非授权支付的止损义务，属于不真正义务。该款与《民法典》第591条第1款相同，均立足于诚信原则的要求，禁止任何人对自身的不负责，而要求他人为此负责；都适用于负有不真正义务者主张损害赔偿请求权的场合。据此，《电子商务法》第57条第3款所指涉的是，电子支付服务提供者因违反止损义务，对用户的损害赔偿请求权范围受限。两相比较，按现有裁判实践思路的推演是将《电子商务法》第57条第2款前句解释为用户对电子支付服务提供者主张损害赔偿，而参与立法者却将第3款界定为电子支付服务提供者对用户主张损害赔偿请求权，两个方向完全相悖。出于尊重立法者扭转既有裁判实践不利的价值判断，须放弃以现有裁判实践思路作为《电子商务法》第57条第2款前句的内在理路。

如果不采取现有裁判实践思路，用户应如何行使权利，方能使电子支付服务提供者承担非授权支付的责任？比较法已经指明了解释方向。为了向各种支付程序提供统一法律框架，欧盟在2007年颁布《支付服务指令一》（Directive 2007/64/EC，以下简称“《指令一》”）。然后，为了更新支付服务的交易规则，以实现支付服务的平等竞争、高效与透明度，欧盟在2015年颁布《支付服务指令二》（EU 2015/2366，以下简称“《指令二》”），以替代《指令一》。两次欧盟支付服务指令均秉持“支付服务提供者对非授权支付承担责任”的规范立场，规定了“支付服务提供者须立即向用户退还未经授权的付款交易金额”（《指令一》第60条、《指令二》第73条第2款）。为遵循“欧盟支付服务指令”的要求，《德国民法典》第675u条第2句规定，“支付服务提供者负有义务，将支付金额即时返还给支付人，且该金额已经从支付账户中扣除的，应将账户恢复为如未经非授权支付而未为扣款状态”。相对应，支付人有权要求支付服务提供者采取支付现金、涂销无权扣款等方式，及时回复到扣款前的状态。换言之，在欧盟法与德国法背景下，倘若电子支付服务提供者因非授权支付而在用户的账户中扣款，用户可无须考虑其是否存在过错，直接要求返还资金。

有鉴于此，电子支付服务提供者负有及时、准确地执行支付行为的义务，本应准确地在用户的账户中记载资金额度，却因为非授权支付，在账户执行了无权扣款，显然已经违反主给付义务；《民法典》第577条授予了守约方对违约方的继续履行请求权、损害赔偿请求权等，由于履行请求权不以违约方过错为要件，据此，用户可以通过向电子支付服务提供者主张履行请求权，要求其准确执行支付行为，恢复到未发生非授权支付时的状态；相对应，电子支付服务提供者须及时执行正确的支付行为，通过各种方式向用户偿还资金。

总言之，《电子商务法》第57条第2款前句结合《民法典》第577条可作为电子支付服务提供者就非授权支付承担责任的依据；用户基于支付委托合同的履行请求权要求电子支付服务提供者继续履行合同，执行支付行为，进而承担非授权支付的责任。

2.资金偿还请求权与损害赔偿请求权的并行适用

电子支付服务提供者承担责任最主要体现为，用户基于履行请求权要求其偿还资金。《电子商务法（草案）》（初次审议稿）第32条第1款规定，用户有权主张电子支付服务提供者“返还资金”，以恢复到发生非授权支付前的经济状态。德国法通说将此请求权称为偿还请求权（Erstattungsanspruch），并认为，此与《德国民法典》第667条委托人对受托人的财产返还请求权均有同等意义，是委托法规则在支付合同中的合理延伸。据此，用户参照《民法典》第929条的原理，可要求电子支付服务提供者通过涂销无权扣款、支付现金等方式，偿还资金。

在偿还资金之外，电子支付服务提供者因无权扣款造成用户存在其他损失，仍应予以赔偿，以承担责任。根据损害赔偿与履行请求权是否存在替代关系，《民法典》将违约的损害赔偿分为“与给付并行的损害赔偿”（《民法典》第583条）以及“替代给付的损害赔偿”（《民法典》第584条）两种。与给付并行的损害赔偿是当事人一方履行或采取补救措施后，就对方所受其他损失的赔偿。典型情形是一方因迟延履行义务，须赔偿由此造成对方的损失。故又可称为迟延履行损害赔偿。倘若电子支付服务提供者无权扣款，造成用户丧失资金的使用利益，如利息损失等，用户可根据《民法典》第583条向电子支付服务提供者主张损害赔偿请求权。既有裁判实践在“通过赔偿利息损失以回复用户的经济状态”上已经达成共识：在利率上，鉴于电子支付服务提供者与用户间的债之关系不同，分别根据同期活期存款利率或按贷款基准利率起算；在计息长度上，以非授权支付为起算点，到电子支付服务提供者偿还资金为截止时间。

（三）用户分担责任的构造

《电子商务法》第57条第2款后句也肯认了用户分担责任的规范立场。然而，该规定仍存在理解与适用上的两点疑惑，亟待予以回应：第一，如何在电子支付服务提供者承担非授权支付损失的前提下，确立用户分担责任的法律结构？第二，双方分担责任比例的具体标准为何？

1. 通过电子支付服务提供者的损害赔偿请求权分担责任

我国通说一般将附随义务解释入《民法典》第577条的合同义务范围，由此，一方对违反附随义务的另一方可主张损害赔偿请求权。此举措可作为用户分担责任的构造基础。电子支付服务提供者已经向用户偿还资金，故用户已无损失；相反，电子支付服务提供者的财产总额减少，存在实际经济损失。假如非授权支付是因为用户未妥善保管交易密码、电子签名数据等安全工具（《电子商务法》第57条第1款第1句），有过错违反了支付委托合同的附随义务（《民法典》第509条第2款），电子支付服务提供者可通过向用户主张损害赔偿以实现责任分担。相对应，为免承担损害赔偿的责任，用户须严守附随义务，妥善保管安全工具。由此，督促用户妥善保管安全工具，主动防范，降低非授权支付风险的法政策即得以落实。

部分观点出于倾斜保护用户的目的，主张设定用户责任的上限，如责任限额为1000元。《电子商务法》并未设定用户责任的上限，而是抬高了用户分担责任的过错标准。《电子商务法》第57条第2款后句将用户分担非授权支付责任的标准设定为“用户过错造成非授权支付”，而参与立法者将“用户的过错”进一步抬高至“故意或者重大过失”。据此，我国要求用户仅在就互联网非授权支付的发生存在重大过失以上的过错时，承担没有限额的损害赔偿责任；用户就互联网非授权支付的发生无过错或仅存在轻过失，均无须承担损害赔偿责任。简言之，《电子商务法》免除了用户因为重大过失以下过错的损害赔偿责任。该构造足以优待用户，无须附加用户的损害赔偿限额，以免利益天平过度向用户倾斜，以致于督促用户妥善保管安全工具，主动防范的法政策落空。

已经承担损失的电子支付服务提供者根据用户重大过失的严重程度，通过损害赔偿请求权以实现责任分担：倘若用户过错程度较高，电子支付服务提供者因其请求权数额随之较高，得以“责任减轻”；假如用户过错程度极高，电子支付服务提供者因其请求权数额等于非授权支付的数额，得以“不承担责任”。裁判者通常判定用户在下述情形，就非授权支付的发生存在重大过失。例如，“燕莉与中信银行股份有限公司北京北辰支行借记卡纠纷”中，用户在收到积分兑换的现金短信后未注意到链接的异常情况，即进入了短信中的网站链接并输入身份证号码、预留手机号码等信息，导致银行卡信息外泄，进而发生了非授权支付。再如，“杨田甜与中国工商银行股份有限公司上海市华山路支行储蓄存款合同纠纷”中，用户收到一条不明短信后，打开该短信链接，下载并安装，导致个人身份标识信息等被窃取及利用，造成非授权支付。

2.损害赔偿请求权数额的限定

电子支付服务提供者的损害赔偿请求权范围同样受到与有过失、违反减损规则之限定。在与有过失方面，例如，电子支付服务提供者的网上银行系统存在安全隐患，或违规操作导致非授权支付，即构成与有过失。再如，《征求意见稿》第17条要求发卡行全面告知持卡人银行卡包含的网络支付功能。依此类推，电子支付服务提供者同样负有告知用户银行卡等安全认证工具存在网络支付功能，或者与支付机构相关联的义务。倘若电子支付服务提供者没有履行前述告知义务，导致发生非授权支付，电子支付服务提供者须先行向用户偿还资金，再向用户主张损害赔偿以分担责任；由于用户并不知悉其安全认证工具具有网络支付功能，不构成重大过失，而电子支付服务提供者未履行前述告知义务，对其自身损失存在严重过错，存在与有过失。两相比较，电子支付服务提供者仍应自行承担全部损失。

在违反减损规则方面，电子支付服务提供者负有“立即采取措施防止损失扩大”的不真正义务（《电子商务法》第57条第3款第1句）。其在知悉发生非授权支付或收到用户通知后，未采取冻结账户、拒绝交易等有效措施，即违反了减损规则。裁判者应结合当事人的过错大小、原因力强弱及其他情事，加以详细论证，并综合明确电子支付服务提供者的损害赔偿请求权数额，判定其与用户的责任承担比例。鉴于前述情事的互相关系不同，责任分担比例也可存在差异。

综上，在用户与电子支付服务提供者间进行非授权支付责任承担的教义学构造是：在正向，用户根据《民法典》第577条结合《电子商务法》第57条第2款前句向电子支付服务提供者主张履行请求权，要求其以涂销无权扣款等方式偿还资金，以承担非授权支付的责任；在反向，电子支付服务提供者因为用户违反《电子商务法》第57条第1款等附随义务，根据《民法典》第577条结合《电子商务法》第57条第2款后句向用户主张损害赔偿，以实现非授权支付的责任分担。

四、非授权支付的责任承担主体判定

囿于对互联网非授权支付流程的认知不足，既有文献在探讨责任承担主体时至少存在两点重大遗漏：其一，无法确定在非授权支付牵涉两个或以上电子支付服务提供者时，应由何者先行承担相应责任；其二，为避免先行向用户偿还资金的电子支付服务提供者承担过多风险，有必要藉由追偿关系予以分散，但是，“何人应被追偿”与“追偿关系的法律基础”两者均缺乏精细回应。下文着力于补足前述两点遗漏，对第一点的补足牵涉到《电子商务法》第57条的限缩解释，对第二点的补足触及到追偿权的漏洞填补。

（一）非授权支付损失的先行承担者

网上银行的电子支付服务提供者是银行，支付账户型第三方支付的是相应支付机构，两者均只有一个电子支付服务提供者，应由其先行承担非授权支付的损失。但是，在支付网关型第三方支付发生非授权支付的场合，用户通过支付网关型支付机构划拨其银行账户资金，此时，支付网关型支付机构与银行均为电子支付服务提供者，何者先行承担非授权支付的损失即存在疑惑。

而且，如今互联网支付迅猛发展，已经突破了支付网关型支付机构仅可划拨用户银行账户资金（《网络支付办法》第3条第1款）的限制。实际上，用户还可以透过支付网关型支付机构控制另一支付机构提供的支付账户。以“Apple pay案”为例，加害人通过盗取用户的“Apple pay”账号，向与该账号绑定的“支付宝”账户发出支付指令，通过购买游戏点卡等方式，实施非授权支付。“Apple pay”提供了支付网关型第三方支付，“支付宝”提供了支付账户型第三方支付，两个支付机构均为电子支付服务提供者。何者先行承担非授权支付的损失同样存在疑惑。

1. 裁判实践立场的考察

上述疑惑的核心在于，支付网关型支付机构抑或账户管理型支付服务提供者须先行承担非授权支付的损失。其在裁判实践中主要体现为用户应当向何者主张偿还资金。就此，裁判实践存在三条迥然不同的思路：

思路一，用户仅得向有过错的支付网关型支付机构主张偿还资金。在以过错为归责原则之违约损害赔偿思路的支配下，有的裁判者通过否定银行承担责任，间接表达了应由有过错的支付网关型支付机构偿还资金。例如，“梁赞权与中国建设银行股份有限公司中山横栏支行借记卡纠纷、金融借款合同纠纷”中，裁判者认定，用户持有的储蓄卡之案涉交易均是通过支付网关型第三方支付发生，银行并无违规操作，更无过错或违约行为，依法不应对梁赞权资金损失承担责任。此外，“晋商银行股份有限公司太原府西街支行与任瑞仙储蓄存款合同纠纷”的裁判者持同样看法。依此思路推演，按照“原告就被告”的管辖地规则（《民事诉讼法》第21条），用户须至两个主要支付机构所在地——杭州或深圳起诉，不得不承担额外的经济负担。

思路二，用户仅得向银行等账户管理型支付服务提供者主张偿还资金。《网络支付办法》第10条第（2）项确立了银行须无条件全额承担非授权支付损失的立场。受此影响的裁判者仅允许用户向银行主张偿还资金。不过，裁判实践的具体做法仍有区别：其一，裁判者虽然追加了支付网关型支付机构作为当事人，但出于维护合同相对性，坚持由银行先行承担责任。例如，“冯彦平、濮阳县农村信用合作联社、支付宝（中国）网络技术有限公司储蓄存款合同纠纷”中，裁判者一方面判定由银行承担非授权支付的损失，另一方面否定支付网关型支付机构要承担此损失。其二，裁判者直接拒绝追加支付网关型支付机构作为诉讼当事人，从诉讼程序入手切断其向用户偿还资金的可能性。例如，“张孟丽与中国工商银行股份有限公司上海市金汇路支行储蓄存款合同纠纷”中，裁判者主张，原告与第三方支付机构间构成其他合同关系，与本案所涉的储蓄合同纠纷并无直接关联，不宜在本案中一并处理，故不予追加。

思路三，用户可同时向支付网关型支付机构与银行等账户管理型支付服务提供者主张偿还资金。其理据是，支付网关型支付机构与银行控制的领域均可能存在风险，增加了非授权支付的发生机率，所以，两者须同时承担非授权支付的损失。此思路旨在强化用户利益，却忽略了用户与支付机构、银行分属不同的合同关系，由此违背诉讼标的之原理，造成了在同一程序内解决不同法律关系的局面。

2.账户管理支付服务提供者先行承担损失

本文主张，即便是支付网关型支付机构有过错，造成了非授权支付，仍应由账户管理支付服务提供者——银行或支付账户型支付机构先行承担损失，向用户偿还资金。具体理由有以下三点：其一，从当事人的法律基础出发，账户管理支付服务提供者违背了与用户的支付委托合同之约定，向加害人移转资金，不构成对用户的有效清偿，故而，用户仍可向其主张偿还资金，由其先行承担损失。其二，在支付网关型支付机构未经用户授权，划拨银行账户资金时，《电子支付指引》第42条第2款，“因第三方服务机构的原因造成客户损失的，银行应予赔偿，再根据与第三方服务机构的协议进行追偿。”由此表明了，我国已经采取了管理用户账户的银行先行承担损失之立场。基于利益状况的类似性，该立场也应适用于支付网关型支付机构未经授权，划拨支付账户资金的情形。其三，在法政策上，账户管理支付服务提供者直接管理银行账户或支付账户，可以及时向用户偿还资金，支付网关型支付机构却无法及时偿还资金。两相比较，前者先行承担损失，更有利于落实保护用户的法政策。

根据上述理由，《电子商务法》第57条的解释路径亦须有所调整。在通过支付网关型第三方支付执行非授权支付的场合，《电子商务法》第57条“电子支付服务提供者”的指涉范围应予以限缩解释，仅由账户管理支付服务提供者——银行或支付账户型支付机构先行承担损失，而无须由支付网关型支付机构向用户偿还资金。

（二）电子支付服务提供者间的追偿关系

从根本上，由于实施非授权支付的加害人存在主观恶意，悖于善良风俗造成电子支付服务提供者财产总额减少，因此，电子支付服务提供者或有权要求加害人承担造成纯粹经济损失的侵权责任。然而，对于电子支付服务提供者而言，加害人的具体身份同样难以被发现和确定。所以，在一个非授权支付牵涉了多个电子支付服务提供者时，账户管理支付服务提供者先行承担损失后，再向其他主体追偿，有助于分散风险，实现利益均衡。因此，追偿关系的依据与构造均应当加以详尽阐明。下文分别论述银行对支付网关型支付机构、支付账户型支付机构对支付网关型支付机构的两种追偿关系。

1.银行对支付网关型支付机构的追偿依据

有观点主张以侵权关系作为银行向支付网关型支付机构的追偿责任基础，原因是支付网关型支付机构侵害银行的债权，造成纯粹经济损失。然而，该观点既不精确，也无必要。其不精确体现在，纯粹经济损失须以加害人有主观恶意为前提，而支付网关型支付机构通常仅对非授权支付存在过失，并无加害银行的主观恶意。其冗余性表现为，我国诸多法律规范已经通过行政强制缔约，明确要求银行与支付机构间以内部追偿协议的方式，授予银行追偿权。由法律规范与交易形态的互动关系观之，追偿协议的内容在不同阶段有所差异：

第一阶段可称之为个别的内部追偿协议。相关法律规范强制要求银行与支付网关型支付机构在执行支付行为前，必须在内部就追偿关系达成合意（《电子支付指引》第42条第2款、《合作业务管理通知》第7条）。换言之，银行与支付网关型支付机构“一对一”地签订内部追偿协议。

第二阶段可称之为整体的内部追偿协议。《央行支付结算司关于将非银行支付机构网络支付业务由直连模式迁移至网联平台处理的通知》（银支付〔2017〕209号文）要求，自2018年6月30日起，支付机构受理的涉及银行账户的网络支付业务全部通过网联平台处理。由此，支付网关型支付机构不再直接向银行传达支付指令，而是通过网联平台。相应地，银行与支付机构“一对一”签订内部追偿协议也转变为整体的内部追偿协议，即银行与支付机构均接入网联平台，并接受网联平台的整体协议，并根据该协议确定追偿责任。

银行与支付网关型支付机构可以通过内部追偿协议，合理分配利益及非授权支付风险。例如，双方既可约定将支付机构向银行承担责任的标准抬高至重大过失，以刺激支付机构提供更快捷的资金划拨服务，也可限定支付机构承担责任的限额，以免其承担过重的责任。

2.支付账户型支付机构对支付网关型支付机构的追偿依据

上述法律规范并未强制要求支付机构间就内部追偿关系达成协议，支付账户型支付机构可能无法向支付网关型支付机构追偿，由此造成了法律漏洞，须予以填补。此项漏洞在比较法上已经有成熟的处理方式。

在2018年修法后，《德国民法典》按照《指令二》的要求，明确规定，账户管理支付服务提供者在对用户偿还资金后，可以通过向其他支付服务提供者、支付启动服务提供者等主张损害赔偿以实现追偿（《德国民法典》第676a条第1款）。同时，《德国民法典》第676a条还降低了追偿权适用标准：（1）无须顾及其他主体的过错，只要是在其责任范围内发生非授权支付，先行承担损失的支付服务提供者即可行使法定追偿权；（2）如果是在支付启动服务提供者的责任范围内发生非授权支付，其须自行证明已经认证过用户信息，且支付行为没有受到干扰（《德国民法典》第676a条第2、3款），否则应承担全部责任。

有鉴于此，我国应吸纳比较法的处理方式，立法授予先行承担损失的支付账户型支付机构法定追偿权。依此，其可以基于非授权支付发生在支付网关型支付机构的责任范围内，向后者主张损害赔偿，并由后者证明存在责任排除事由。

五、非授权支付的证明责任分配

证明责任的分配应当充分考量证据的远近距离，依照事实性质所决定的举证难易程度、事实存在与否的盖然性。因为互联网非授权支付具有隐匿性、高度技术性，除非公安机关能够侦破案件，否则，用户与电子支付服务提供者均只能作出自身陈述、提供单方形成的证据，难以提出更客观、有力的证据。证明责任的分配就基本决定了当事人是否承担相应责任，在多大范围承担责任。所以，以“请求权与证明责任相匹配”为立足点，电子支付服务提供者承担责任与用户分担责任两种法律关系中的证明责任分配须逐个探讨。

（一）电子支付服务提供者承担责任的证明责任

由于用户根据支付委托合同的履行请求权要求电子支付服务提供者承担责任，因此，其仅需要证明双方存在合同关系，且电子支付服务提供者未准确执行支付行为，即完成了证明。同时，结合“电子支付服务提供者承担责任”的规范立场，电子支付服务提供者承担责任的证明责任之研讨重点已经转换为，其提出证据免除、减轻自身责任。当中的最优选择是电子支付服务提供者证明该支付行为获得了用户的授权，由此得以完全免责，无须承担执行支付行为的损失。

1.授权支付的证明责任承担者

电子支付服务提供者承担授权支付证明责任的通说已经成型。对于涉及网上银行或支付网关型第三方支付的授权支付，《征求意见稿》第16条第2款第1句，“发卡行、非银行支付机构主张争议交易为持卡人本人交易或者持卡人授权交易的，应承担举证证明责任”。《电子商务法》的参与立法者采取了相同立场，正确地指出，电子支付服务提供者对授权支付承担证明责任。然而，前述观点立足于隐含的倾斜保护用户之法政策，并未结合实体权利的性质与行使，可能无法阻却个别裁判者因考量其他法政策而恣意改动证明责任之分配。

实际上，确定授权支付的证明责任承担者必须与当事人的请求权相匹配。《民事诉讼法》第64条第1款，“当事人对自己提出的主张，有责任提供证据”。《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》（以下简称“《民诉法解释》”）第90条第1款，“当事人对自己提出的诉讼请求所依据的事实或者反驳对方诉讼请求所依据的事实，应当提供证据加以证明，但法律另有规定的除外”。前述条文确立了证明责任分配的一般规则：主张权利或法律关系存在者要求适用权利产生的规范，须举证证明权利产生的法律要件事实。根据支付委托合同的内在结构，在正常交易时，用户通过电子支付指令要求电子支付服务提供者为其执行支付行为，并认可后者的支付委托费用偿还请求权。反观非授权支付的场合，电子支付服务提供者试图完全免除非授权支付责任，不承担任何损失，本质是有权向用户主张偿还支付委托费用。而支付委托费用偿还请求权的适用前提是用户授权支付。所以，电子支付服务提供者出于主张享有对用户的费用偿还请求权，应举证证明支付行为获得授权。

2.授权支付证明标准之判定

在“电子支付服务提供者承担授权支付证明责任”已有共识的背景下，授权支付的证明标准在裁判实践与学说间仍然存在分歧。一种裁判观点主张，电子支付服务提供者提供的互联网支付记录即可推定该支付行为获得授权。例如，“徐盼与中国建设银行股份有限公司北京市分行、中国建设银行股份有限公司信用卡纠纷”中，裁判者提出，在网上银行输入的涉案银行卡信息、动态验证码等验证要素后所执行的支付行为，有理由视为用户本人合法交易。再如，“冷小龙与中国农业银行股份有限公司靖江东兴支行银行卡纠纷”中，裁判者主张，鉴于网银账户登录密码具有高度私密性、专属性、唯一性，输入正确密码而实施的网银交易记录可判定为授权支付。另一种学说观点持相反看法，主张道，鉴于用户举证自己没有过错或电子支付服务提供者存在过错的难度较大，电子支付服务提供者不得仅依据电子支付交易记录，即证明支付已获得用户授权。对照观之，争议两说实质是在电子支付服务提供者需要提出何种证据、多有力的证据，方能形成“裁判者的内心确信”这一核心问题上存在分歧。前种裁判观点采取较低标准，认为电子支付服务提供者提供的互联网支付记录足以使得裁判者确信该支付行为获得了用户授权。相反，后种学说观点要求采取较高标准，主张互联网支付记录仍不足以使得裁判者确信为授权支付，仍要附加其他证据。

所谓证明标准系指裁判者在诉讼中认定案件事实所要达到的证明程度，一旦达到证明标准，就应以该事实作为裁判依据。为引导裁判者的心证符合法治国家的接受限度，法律可以确立特定案型的证明标准规范。比较法通常明文排除单凭支付记录可形成裁判者对授权支付的内心确信。《指令一》第59条在规定支付服务提供者承担授权支付证明责任的基础上，还特别指出，支付工具的交易记录并不能证明支付行为获得授权或用户存在欺诈意图、故意或重大过失。以此为据，《德国民法典》第675w条第3句第1项、英国《支付服务法令》（PaymentServices Regulations）第60条第3款皆明确道，仅有支付工具的交易记录并不能证明支付获得授权，还必须借助其他证据。

我国以高度盖然性为证明标准的原则（《民诉法解释》第108条第1款），要求证明须达到足以使裁判者相信极有可能或非常可能如此的程度。依此，本文主张，单凭互联网支付记录不能满足授权支付的高度盖然性。具体理据有下述三点：

第一，在法政策层面，立法者须激励电子支付服务提供者不断提高安全措施，防范非授权支付。而授权支付的证明标准高低又与电子支付服务提供者免责的机率存在“负相关性”。综合考察，假如电子支付服务提供者只要提出真实的互联网支付记录即可证明该支付行为获得了用户授权，将造成其几乎无须承担任何损失的局面，也就更加缺乏动力主动提高安全措施。由此，激励电子支付服务提供者主动防范非授权支付的政策目标落空。

第二，审视裁判者的论述，其主张单凭互联网支付记录构成授权支付高度盖然性的主要理据在于，支付委托合同中存在“凡使用密码进行的交易，均视为用户本人所为”的格式条款。然而，该条款的正当性备受学者质疑，且常常被裁定为无效的格式条款（《民法典》第497条）。可见，裁判观点所立足的根基并不牢固。

第三，用户在授权支付时，仍要求电子支付服务提供者偿还资金，已经属于隐瞒真相骗取财物，可能构成保险诈骗罪（《刑法》第198条）或诈骗罪（《刑法》266条）。基于刑事责任的刚性约束，用户一般不会冒险提起非授权支付的争议。例如，“黎万与中国银行股份有限公司广州工业园支行、支付宝（中国）网络技术有限公司借记卡纠纷”中，裁判者就指出，虽然不能排除用户本人或授权他人进行涉案交易的可能，但考虑到用户因此可能被追究刑事责任，本案系恶意诉讼的可能性较小。在没有相反证据的情况下，根据民事诉讼优势证据的原则，应确认构成非授权支付。所以，由用户一侧观之，即便是根据正确密码而执行互联网支付，也无法具备授权支付的高度盖然性。

综上，裁判者必须在真实的互联网支付记录基础上，另外结合其他证据方能形成内心确信，判定授权支付的高度盖然性。例如，电子支付服务提供者须证明发生非授权支付时，自身没有受到网络干扰。否则，裁判者即应认定该支付行为未获用户授权，应由电子支付服务提供者承担责任。

（二）用户分担责任的证明责任

如果无法证明授权支付，电子支付服务提供者仍可采取次优选择，主张对用户的损害赔偿请求权，透过与用户分担责任，实现责任减轻。《电子商务法》第57条第2款后句也确认此结构，“电子支付服务提供者能够证明未经授权的支付是因用户的过错造成的，不承担责任。”但该句的制度内容仍不够清晰，所牵涉的争议也需要予以精准回应。

1.损害赔偿的证明责任承担者

有观点主张，《电子商务法》第57条第2款后句是为实现倾斜保护用户而采取的证明责任倒置。不过，该观点是不妥当的。证明责任的“正置”还是“倒置”仍须与请求权的构成要件相匹配。在电子支付服务提供者向用户主张损害赔偿实现责任分担的构造中，电子支付服务提供者自然承担损害赔偿请求权成立的证明责任，无须考虑证明责任倒置。

详言之，《电子商务法》第57条第2款后句存在三项紧密关联、互相匹配的制度内容：第一，电子支付服务提供者可因为用户违反支付委托合同中的附随义务，对于发生互联网非授权支付存在过错，通过主张损害赔偿以实现责任分担。第二，电子支付服务提供者须证明损害赔偿请求权的成立，提出证据证明用户存在过错、自身发生损失、因果关系等各项构成要件。例如，“刘莹与招商银行股份有限公司北京立水桥支行银行卡纠纷”中，裁判者要求，电子支付服务提供者需要提交充分证据证明用户未妥善保管支付工具及泄露身份认证要素等信息，否则就要承担举证不能的责任。第三，鉴于《电子商务法》藉由抬高过错标准以优待用户的意旨，电子支付服务提供者须证明用户就互联网非授权支付存在重大过失以上的过错，方得以减轻或免除责任。

2.用户过错可否推定的比较法与我国裁判实践

在电子支付服务提供者证明损害赔偿请求权的背景下，欧盟成员国与我国裁判实践就可否推定用户对非授权支付有过错，存在两种严重对立的观点。

一种观点可称为“推定过错说”。其直接推定用户就非授权支付存在过错。《德国民法典》第675w第4句要求支付服务提供者对用户主张没有限额的损害赔偿请求权承担证明责任。然而，德国裁判实践通常采取表见证明（Anscheinsbeweise），推定用户就非授权支付存在重大过失。其理据有二：其一，根据一般生活经验，只有用户知道个人安全信息，所以，非授权支付主要是用户泄露个人安全信息所致；其二，即便通过监控系统也不能证明用户对非授权支付存在重大过失，要求支付服务提供者证明用户存在过错相当困难。前述主张也影响了奥地利的裁判者。奥地利最高法院在2009年的一起判决，也运用表见证明规则，推定付款人对使用借记卡与正确密码所致的非授权支付存在重大过失。由于表见证明具有初步认定事实的效力，处于弱势地位的用户极可能承担没有限额的损害赔偿责任。

我国的裁判者也通常推定用户就非授权支付存在过错。例如，“李锦福、交通银行股份有限公司深圳沙井支行与深圳瑞银信信息技术有限公司、上海瀚银信息技术有限公司储蓄存款合同纠纷”中，裁判者论证道，网上银行的密码具有私有性、唯一性和秘密性，根据经验法则可推定密码外泄的原因是原告未妥善保管、使用银行卡。再如，“陆致频与中国农业银行股份有限公司苏州太平支行借记卡纠纷、金融借款合同纠纷案”中，裁判者也主张，若加害人没有掌握用户的身份信息和支付密码等基本信息，就不能开通电子支付功能，由此可推定用户对其自身的身份信息及交易密码、支付验证码等未尽到妥善的保管义务或者安全谨慎使用手机的防范义务。

另一种观点可称为“否定过错说”。法国最高法院在2007年的一份判决中指明，在银行卡发生非授权支付时，发行该卡的支付服务提供者仍须就持卡人的重大过失承担全部证明责任。易言之，法国法拒绝将表见证明规则适用于判定用户就非授权支付存在重大过失。我国也有裁判者持相同看法。例如，“戴自浩诉中国工商银行股份有限公司上海市康桥支行储蓄存款合同纠纷”中，裁判者主张，即便是输入正确密码而发生的非授权支付，仍不应推定用户存在过错。

鉴于表见证明的功能在于减轻一方的证明责任，所以，“推定过错说”与“否定过错说”本质差异在于是否肯认用户存在过错的普遍生活经验，以弥补事实认定之缺陷，减轻电子支付服务提供者的证明负担。

3.用户过错推定之适用与限制

“推定过错说”与“电子支付服务提供者证明损害赔偿请求权”的法律结构并不矛盾。所谓表见证明是在自由证明评价的框架内形成确信时合乎逻辑地使用生活经验法则。通说认为，表见证明并不改变证明责任的分配，也不改变证明尺度。因此，适用表见证明与既有的法律结构并不矛盾，裁判者依然可推定用户对发生非授权支付存在重大过失。而且，表见证明之适用属于根据经验法则自由心证的作用范围，裁判者理应享有一定自由裁量权。以此为据，表见证明可适用于推定用户因重大过失造成非授权支付。由于表见证明具有减轻当事人证明责任的效果，因此，裁判者在适用表见证明时应保持克制。德国学者也指出，在支付服务提供者对损害赔偿请求权承担证明责任被明文化的背景下，裁判者会倾向于质疑支付服务提供者的安全措施，进而排除其证明便利。这表明了，表见证明的适用空间已然受限。我国的裁判实践在适用于“推定过错说”时，必须关注到适用空间由宽到窄的下述四点：

第一，互联网的匿名性、隐秘性、快捷性放大了非授权支付的风险。例如，黑客入侵、安全措施漏洞等系统风险极可能是发生非授权支付的主要原因。相对应，用户存在重大过失的机率被压缩。既然表见证明所依据的生活经验被动摇，其适用空间也应随之受限。

第二，德国联邦最高法院在2010年判决的一个案件中，明确指出，适用表见证明的前提是银行提供了充分的安全保障措施。换言之，银行要证明其已经采取了足够的安全措施，方能获得表见证明带来的证明便利。我国采纳“否定过错说”的裁判实践同样是基于银行在“交易后台信息存在明显异常的情况下，电子密码器仍能验签通过，对涉案钱款予以扣划转账”，因为存在明显的技术漏洞而拒绝推定用户存在过错。准此，电子支付服务提供者存在系统漏洞，未提供充分安全保障措施，而被加害人利用执行非授权支付的可能性极高，即不应适用表见证明推定用户存在重大过失。

第三，表见证明在类似案件的统一适用有赖于裁判经验的积累。在近期，由于就判定用户重大过失尚未能积累到足够的裁判经验，裁判者须依照经验法则，针对个案情形，具体判定用户是否存在重大过失。在远期，裁判者应及时总结裁判经验，阐明用户通常在何种互联网非授权支付的案型无过错、轻过失、重大过失，以为当事人提供稳定的制度预期。

第四，裁判者还应允许用户提出事实证明，推翻对非授权支付存在重大过失的推定。为与原来的证明责任分配保持协调，用户提出的证据仅需要证明其他的“非典型事实经过”存在重大可能，无须证明该事实具有更高的盖然性。简言之，用户的反证无须达到高度盖然性，即可排除适用重大过失的表见证明。

六、余论：面向互联网环境的法教义学

《电子商务法》第57条革新了我国的互联网非授权支付责任分担规则，先由用户向电子支付服务提供者主张“正向”的支付委托合同履行请求权，让其承担相应损失；再藉由电子支付服务提供者向用户主张“反向”的违反附随义务损害赔偿请求权，实现责任分担：在前述基础上，管理用户账户的电子支付服务提供者应先行承担损失，再向包括支付网关型支付机构在内的其他电子支付服务提供者追偿；为与前述请求权相匹配，电子支付服务提供者应证明支付行为获得用户授权与用户就非授权支付存在重大过失。

以上结论既面向互联网环境，也立足于法教义学，折射了法教义学在互联网环境的解释力与生命力。首先，法教义学并不是一成不变的，更不能“冥顽不化”，必须对当下与未来保持开放。在人类的交易关系已经跃迁到互联网环境时，法教义学不应视而不见，反应当积极介入其中，处理当中存在的法律问题，为当事人提供稳定的交易框架，提升法律的可预见性与安定性。之所以既有裁判实践就非授权支付的责任分担存在诸多不足，正是因为裁判者困于复杂的互联网环境，脱离了教义学构造来分配当事人的责任。相反，以法教义学为指引，结合《电子商务法》及现有法律规范方能实现当事人利益平衡与法理上的自圆其说。

然后，法教义学在对互联网环境保持足够开放的同时，仍须坚持既定的作业方法，建构出凝聚共识的精细体系。正如维滕贝格尔所指明的，法教义学为新旧法律问题指明了合乎价值、合乎系统的解决之道。为实现前述目的，法教义学的第一步需要将分散在众多文本中的法律规范予以体系化，厘清不同法律规范间的层级与附属关系。涉及互联网非授权支付的法律规范繁多，既有处理当事人合同关系的一般规则——《民法典》，也有新近出台的特别规则——《电子商务法》，还有诸多效力层级较低的具体部门规章。因此，有必要体系化前述规范，以便法律适用。法教义学的第二步是，表述模糊、含义不明的规范须通过法律方法进行合乎规范意旨的解释、续造。例如，《电子商务法》第57条“电子支付服务提供者”的指涉范围应予以限缩解释，由账户管理支付服务提供者向用户偿还资金，先行承担损失。第三步在于联结成文法和法官法，既要提炼法官法对成文法的具化、推动效果，也要阻却对成文法的误读。尤其是《电子商务法》第57条革新规则的大背景下，既有裁判思路的不合理之处须被剔除，合理因素予以保留，以达致维护法律的安定性。