《商法案说》第71期：收单机构违规设置特约商户结算账户的责任认定

黄佩蕾，上海市黄浦区人民法院金融审判庭法官。

收单机构作为特许经营的第三方支付机构，负有保障特约商户交易安全、资金安全的法定义务，因其未尽到合理的商户入网审核义务、未按规定设置结算账户而致特约商户资金损失的，收单机构应根据其过错承担相应的赔偿责任。

上海金融法院认为：现有证据不足以证明永某房地产公司授权邱某某办理相关支付业务并代收款。案涉POS机虽以永某房地产公司名义申请，但并非永某房地产公司真实意思表示，依法对其不产生法律效力。

关于杉某支付公司是否应负侵权损害赔偿责任。第一，杉某支付公司违规办理本案系争支付业务，其行为构成侵权。根据《银行卡收单业务管理办法》的规定，杉某支付公司在商户申请办理POS机收单支付业务时负有审核商户申请信息、进行现场检查以及按规定设置结算账户的特定义务。但杉某支付公司在本案中未尽上述义务，包括：1.未严格核实邱某某的职权范围，而是将永某房地产公司商户联系人、财务联系人均设置为己方工作人员；2.未对永某房地产公司进行现场检查，其信息系统中上传的照片并非永某房地产公司真实经营场所；3.未将结算账户设置为单位同名账户，而绑定个人账户，且此后又根据邱某某指示两次变更结算账户。第二，杉某支付公司违规操作且未尽合理注意义务，为邱某某利用其业务漏洞违法侵占购房款提供便利并造成严重后果，存在重大过失。第三，永某房地产公司未收到通过POS机支付的购房款，但却通过履行和解协议及承担判决义务的方式向购房人交付房屋或退还购房款，损失已实际发生，永某房地产公司为直接受害人。第四，虽然邱某某的非法侵占行为是永某房地产公司损失的最终原因，但杉某支付公司的违规行为为邱某某侵占永某房地产公司购房款提供了必要条件，故杉某支付公司的侵权行为和永某房地产公司的财产损失之间存在直接因果关系。因此，杉某支付公司违规办理支付业务，造成侵害永某房地产公司合法利益的后果，应承担侵权损害赔偿责任。

关于杉某支付公司需承担赔偿责任的具体范围，需综合考量永某房地产公司是否存在过错、双方过错程度以及对损害后果产生的原因力。永某房地产公司对诉争损失的发生亦存在过错，主要体现在以下几个方面：1.邱某某申请POS机时提供了永某房地产公司的营业执照、法定代表人护照、开户许可证等证件资料，永某房地产公司对其公司证件资料的保管、使用把控不严；2.永某房地产公司房屋网签系统管理不到位，并在其与多名购房人签订的商品房认购协议书、出售合同中对付款期限、逾期付款责任有明确约定的情况下，未及时发现款项欠付，以致未能及时发现邱某某所涉嫌的违法犯罪行为，造成损失扩大；3.永某房地产公司对POS机刷卡支付管理不严，对POS机的使用及付款人身份核查不严，付款流程管理存在漏洞，为邱某某涉嫌的违法犯罪行为提供了便利。比较来看，杉某支付公司开户申请资料审核不严、未落实现场检查监管要求且最为关键的是违规开立银行结算账户，其行为系邱某某能侵占资金并导致永某房地产公司损失的主要原因。永某房地产公司因自身管理不当，对损害结果的发生存在一定过错，故需自身承担部分损失。综上，结合双方的过错程度及对损失发生的原因力大小，酌情认定杉某支付公司需对永某房地产公司的损失承担60％的赔偿责任。

上海金融法院于2021年10月28日判决：1.杉某支付公司应向永某房地产公司赔偿损失61293562元；2.驳回永某房地产公司的其余诉讼请求。

一审判决后，永某房地产公司、杉某支付公司提起上诉。

上海市高级人民法院于2023年5月23日判决驳回上诉，维持原判。

本案系特约商户(永某房地产公司)与收单机构(杉某支付公司)之间的纠纷，即收单机构在特约商户经办人无权代理的情况下为特约商户开通POS机收款，并违规将代收款结算至个人账户，而非商户同名单位账户，造成商户资金损失而产生纠纷，法律适用的难点在于银行卡收单的法律关系、收单机构的法律地位及其责任认定。

银行卡收单业务指收单机构与特约商户签订银行卡受理协议，在特约商户按约定受理银行卡并与持卡人达成交易后，为特约商户提供交易资金结算服务的行为。其中涉及五方主体，即持卡人、特约商户、收单机构、发卡行和银行卡清算组织。具体为，持卡人在特约商户消费，由特约商户对持卡人及银行卡进行身份识别后，通过收单机构布放的POS机刷卡，将交易数据传输到发卡行取得授权，同时启动划款，持卡人在签购单上签名确认。发卡行与收单机构通过银联、网联等清算组织进行资金清算，特约商户凭签购单向收单机构收取款项，收单机构在规定周期内将资金结算给特约商户，并从中收取一定比例的手续费。

1. 特约商户与持卡人之间的法律关系

特约商户与持卡人之间的法律关系是发起整个收单业务的基础关系，或称为原因关系。理论上，凡是包含一方主体向另一方主体给付货币之内容的合同，且合意以POS机刷卡方式而非直接给付现金的方式履行付款义务的，均可构成该基础关系。本案中，永某房地产公司虽未收到购房款，但部分案涉房屋合同被法院生效判决认定构成表见代理，永某房地产公司基于该裁判规则与其他购房人签订和解协议，履行了交付房屋义务或退还购房款。故可认定永某房地产公司与购房人之间构成房屋买卖合同关系，永某房地产公司对购房人享有合法债权。

2. 持卡人与发卡行之间的法律关系

持卡人与发卡行(购房人开户行)之间主要是银行卡合同法律关系，依据卡型分类，分别对应借记卡合同与信用卡合同。此外，因支付业务涉及持卡人与发卡行两方当事人之外的资金转移，还需符合委托合同的内容，即持卡人委托发卡行向特约商户付款。本案中，持卡人是依其真实意思向发卡行发出支付指令，实际亦发生对永某房地产公司债务清偿的效果，不涉及付款端盗刷的问题。

3. 收单机构与发卡行之间的法律关系

一种观点认为，收单机构为发卡行的代理人，即发卡行因与特约商户无直接结算关系，需转委托特约商户开户行(收单机构)完成付款，收单机构在其中只起到传递交易信息的作用，无独立法律地位，交易仅涉及持卡人——发卡行——特约商户三方架构。相反观点则认为，收单机构与发卡行之间不是代理关系，而是独立主体，交易应为持卡人——发卡行——收单机构——特约商户之间的四方法律关系架构。

笔者赞同后一种观点。理由在于，如果仅将收单机构定义为发卡行的代理人，无法周延至收单机构所承担的全部义务，如其与商户约定的卡片审核、资金结算方式、手续费分配等，也与收单机构在发卡行“委托”之前先与特约商户建立合同关系的现状不符。随着专业化分工的加深，发卡行的一部分职能已经完全由收单机构取代，如POS机信息传输后即取得发卡行即时授权，原来是发卡行对特约商户的付款承诺，变成收单机构对特约商户的付款承诺，发卡行与收单机构形成了互相清算的关系。收单机构作为以营业为目的的一方当事人参与到交易中来，从中获取相应的利益，自然要承担相应的风险。因此，收单机构并非发卡行的代理人，对于其在支付关系中的法律地位如何定义，下文将予以详述。本案中，收单机构与发卡行之间的清算关系与正常银行卡收单业务无异，双方不存在责任分担的问题。

4. 收单机构与特约商户之间的法律关系

对于如何从民法视角定性收单机构与特约商户之间的法律关系，理论争议较大。具体而言，依据其与基础关系是否有牵连，大约可分为两类：一类观点是与基础关系相互牵连，包括委托合同说、债务承担说、债权买卖说等。另一类观点是与基础关系相分离，包括担保合同说、无因债务约束说等。当前，德国、我国台湾地区等学者以无因债务约束说为通说，国内学者则以委托合同说为多数观点。此外，还有基于委托合同的复合法律关系的观点，即主张该法律关系包括委托代理结算法律关系、存款合同法律关系(收单机构为特约商户开户行的)、垫付资金法律关系(收单机构向特约商户付款早于其与发卡行清算的)等多重内容。

从实务发展来看，笔者赞同复合法律关系说。根据《非金融机构支付服务管理办法》第二条规定，银行卡收单是指通过销售点(POS)终端等为银行卡特约商户代收货币资金的行为。《银行卡收单业务管理办法》第三条规定，收单机构是指为特约商户提供银行卡受理并完成资金结算服务的支付机构。从该监管规定来看，核心的委托代理结算关系包括两个方面，一是以特约商户的名义代收货币资金；二是按照约定与特约商户结算交易款。

本案特殊之处在于，首先，永某房地产公司已有银联POS机作为收款方式，无意再另行开通杉某支付公司的POS机。邱某某仅为永某房地产公司现场销售负责人，其职权范围不包括开通POS机等属于公司财会人员的职权，故其通过伪造公章的方式以永某房地产公司的名义申请开通POS机，属于无权代理，即永某房地产公司未授权杉某支付公司代收款。其次，杉某支付公司在邱某某伪造账户授权书的情况下，违反《银行卡收单业务管理办法》关于结算账户设置的明确规定，将邱某某个人账户设置为案涉POS机的结算账户，该行为使得购房人向永某房地产公司支付的购房款悉数转移至邱某某账户，是本案产生纠纷的主要原因。

本案中，永某房地产公司所主张的损失即为购房人通过POS机向永某房地产公司支付，但公司未实际收到的购房款。杉某支付公司辩称，邱某某以欺诈手段骗取购房人的购房款，永某房地产公司并非违法行为的直接受害人，而仅是通过债权转让取得尚不确定的诉权，原告主体不适格。问题在于，针对同一资金转移行为，持卡人与发卡行之间有委托付款关系，收单机构与特约商户之间亦有委托收款关系，两者的边界如何，收单机构与特约商户之间的结算环节是否可归结于持卡人委托付款的一部分，即发生在结算环节的资金损失，到底受害人是持卡人还是特约商户。此外，委托收款在支付业务中的定位如何，收单机构作为侵权行为人是否独立承担责任。

1. 银行卡收单业务的委托人认定

如果要将委托人解释为持卡人，即将每一次支付都认定为持卡人发起的委托付款，即持卡人委托发卡行向特约商户付款，发卡行转委托收单机构、银联组织等完成该付款指令。该种观点的理由如下：支付工具的选择反映的是持卡人的意思，即持卡人可以选择以现金、转账或者银行卡收单的方式进行支付，其中收单业务中，特约商户、收单机构、银联均只是充当了持卡人的传递支付信息的信使，是以POS机搭建的网络为载体，将支付信息按照持卡人——特约商户——收单机构——银联——发卡行的顺序传递。那么，收单机构的委托人是持卡人，而不是特约商户，向特约商户收取的费用也并非受托收款的报酬，而是基于POS机的维护成本以及因为提供了便利的支付手段而使得特约商户在吸引客源方面的获益。依该观点，收单机构将资金结算给特约商户也是持卡人委托付款合同的一部分，基于合同的相对性原则，在特约商户没有收到款项的情况下，特约商户应向持卡人主张权利，持卡人再向有过错的发卡行、收单机构追偿。

笔者认为，上述观点虽在不区分具体支付方式，进而对所有银行卡法律关系作统一解释的角度一定优势，但与收单实务不符。首先，收单机构与特约商户之间签订受理银行卡业务协议，约定了结算时间、结算账户、结算手续费、受理银行卡的标准等内容，系收单机构与特约商户之间合意的结果。从资金流即发卡行-收单机构-特约商户的顺序来看，仅发卡行到收单机构是完整执行持卡人支付指令的结果，收单机构到特约商户则并非完全反映持卡人的意思。其次，根据《非金融机构支付服务管理办法》《银行卡收单业务管理办法》等监管规定以及受理银行卡业务协议的标准条款，均明确收单机构系为特约商户代收货币资金，故否认收单机构与特约商户之间的委托代理结算关系，而一律认定委托人是持卡人，与上述规定和当事人意思不符。再次，从委托报酬的支付对象来看，根据《银行卡收单业务管理办法》第十七条规定，收单机构应当按照有关规定向特约商户收取结算手续费，不得变相向持卡人转嫁结算手续费。收单机构与特约商户直接建立合同关系，约定按照刷卡次数向特约商户计收手续费，还另行收取POS机押金、账户管理费等。因此，收单机构向特约商户收取的费用与委托收款服务直接相关，而对持卡人既无直接合同关系也无任何报酬请求权，持卡人始终为委托人的观点难以自圆其说。

实际上，相较于始终将支付业务的起点定位于付款端，委托付款与委托收款的并存关系才更能解释实践现状。就实现资金从持卡人到特约商户的转移而言，收单机构与特约商户之间的法律关系如同持卡人与发卡行之间的法律关系一样，均为支付机构与用户的关系。也即，持卡人与发卡行之间为委托付款，特约商户与收单机构之间为委托收款，发卡行、收单机构同时接入银联卡组织进行清算。由于收单机构系代特约商户受领债权，故对于持卡人的支付指令而言，资金从发卡行到达收单机构即为终结。至于收单机构与特约商户之间如何结算，与持卡人无关，也不影响持卡人在基础关系下的付款义务已履行完毕之认定。因此本案中，邱某某虽欺骗购房人通过POS机付款，但该付款对永某房地产公司而言成立表见代理，法律效果视为有权代理，购房人的付款义务已经履行完毕，委托付款的关系已终结。在此基础上，收单机构以永某房地产公司名义收款，但其后并未向永某房地产公司的账户进行结算，故结算环节的直接受害人并非购房人，而是永某房地产公司。

2. 收单机构作为支付服务提供者的类型认定

收单机构与特约商户之间对外是代收款，对内是资金结算，该资金结算属于支付服务，其法律地位是否具有独立性，进一步取决于该支付服务是为其他支付机构提供辅助，还是有其独立服务内容。

从域外对支付机构的分类来看，欧盟2015年《支付服务指令二》将第三方支付服务提供者划分为两类，即账户管理服务与支付启动服务。我国对第三方支付的监管框架目前主要包括《非金融机构支付服务管理办法》以及基于预付卡发行与受理、银行卡收单、网络支付等三类子业态相继出台的《支付机构预付卡业务管理办法》《银行卡收单业务管理办法》和《非银行支付机构网络支付业务管理办法》，暂未对支付机构作出明确分类，但从监管趋势来看，确有从功能监管的角度对第三方支付进行分类监管的意向，即分为从事储值账户运营业务、支付交易处理的支付机构和支付信息服务机构。国内学者有相同观点认为，支付机构应具体区分为账户型和网关型。账户型支付机构对应欧盟指令的账户管理服务，其通过自有的支付账户，为用户进行收款、付款，实现资金从账户到账户的转移；网关型支付机构对应支付信息服务机构和欧盟指令的支付启动服务，其不接触用户账户的电子簿记，而仅作为支付指令的传达者，故又称为支付指令传输服务提供者。对此进行区分的意义在于，账户型支付机构能够独立完成资金转移，故可以对外承担独立的损害赔偿责任，而网关型支付机构完成支付服务需借助银行或其他支付机构的接受支付指令并配合资金转移，故在法律关系中通常认定为代理人或履行辅助人，与银行或其他支付机构之间存在责任如何分担的问题。

具体到银行卡收单业务来看，收单机构代为接受持卡人基于实质交易所支付的款项，并在一定条件成就、一定期间截止时将该款项转移给特约商户，系从事支付交易的处理。由于收单机构与特约商户商定的结算时间和其与发卡行的清算时问通常不一致，根据《非银行支付机构客户备付金存管办法》规定，非银行支付机构为办理客户委托的支付业务而实际收到的预收待付货币资金为客户备付金，支付机构应在中国人民银行开立专门存放客户备付金的账户。收单机构需就预收款的归集专门开立客户备付金账户，从而能够直接管控用户备付金账户的电子簿记并进行资金转移。因此，收单机构所提供的委托收款服务并非只是在发卡行和特约商户开户行之间传输指令，而应认定是提供账户管理服务的账户型支付机构。该分类进一步印证了收单机构的独立法律地位，如违规行为发生在资金结算环节的，收单机构应独立向特约商户承担损失赔偿责任。

本案中，对于永某房地产公司的购房款损失而言，显然存在邱某某和杉某支付公司两个不同的责任主体，故还需论证本案由杉某支付公司承担责任的理由及其与邱某某责任的关系。

1. 收单机构的责任认定

收单机构向特约商户提供的支付服务包括代为受领债权和按约结算款项两方面，在本案分别对应POS机的开立和结算账户的设置两项关键事实。在行政监管方面，据中国人民银行上海分行认定，杉某支付公司对特约商户入网审核不严、未按照规定设置结算账户，违反《银行卡收单业务管理办法》的相关规定。

关于POS机的开立，因涉及支付服务首次建立，相关监管规定及行业自律规范均明确收单机构应当对特约商户实行实名制管理，并对商户申请收单服务真实意愿的负有实质性审核义务。对于未尽审核义务的法律后果，根据《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》(以下简称《银行卡规定》)第九条第二款的规定，发卡行未尽告知义务足以影响持卡人是否决定使用网络支付功能的，持卡人以其与发卡行未达成合意为由请求不承担因使用该功能而导致网络盗刷的责任，法院应当支持，非银行支付机构新开通网络支付业务的，参照此规则处理。也即，特约商户若与支付机构之间未达成开通支付业务的合意，可以不承担因使用该支付业务而导致的盗刷责任。此外，支付行业协会也有类似规定，即《银行卡业务风险控制与安全管理指引》第八十六条，因未充分落实商户资质审核义务而给收单机构自身或其他业务主体造成的风险及损失责任，由收单机构承担。本案中，杉某支付公司在开立POS机时未严格核实邱某某的职权范围和开户资料，径将永某房地产公司商户联系人、财务联系人均设置为杉某支付公司工作人员，未按规定对永某房地产公司进行现场检查，存在过错，应认定未尽到审核义务。

但实际上，无论是有权还是无权代理，代为受领债权本身并不必然导致特约商户的损失，如杉某支付公司正确向永某房地产公司进行了结算，后者仍能取得购房人全部款项，故本案的重点应放在杉某支付公司违规设置结算账户的讨论上。首先，根据《银行卡收单业务管理办法》第二十九条规定，收单机构应当建立特约商户收单银行结算账户设置和变更审核制度，严格审核设置和变更申请材料的真实性、有效性。特约商户的收单银行结算账户应当为其同名单位银行结算账户，或其指定的、与其存在合法资金管理关系的单位银行结算账户。也即，特约商户为单位的，不得将其结算账户设置为个人账户，杉某支付公司违反该规定。其次，收单机构作为从事交易处理的支付机构，代收款后应向特约商户账户进行结算，而向邱某某结算的主要依据是邱某某伪造的账户授权书，故该结算行为系非基于永某房地产公司真实意思的资金转移，构成“非授权支付”。根据电子商务法第五十七条第二款规定，未经授权的支付造成的损失，由电子支付服务提供者承担。

“非授权支付”从实质上来说，就是支付命令的欺诈，其典型表现是第三人以用户的名义向支付机构发出未经授权的指令，指示支付机构将资金划拨给未经授权人指定账户。早期司法实践中，“非授权支付”侵害的是谁的资产、谁受到欺诈这一问题存在争议，之前观点认为账户资金的所有权为用户所有，所以资金减少是用户所有权受到侵害。而后随着对货币法律概念认识的加深，观点逐步统一为货币所有权随交付而转移，用户仅享有债权而非所有权。故“非授权支付”的直接后果是支付机构自身资产的减少。以借记卡“非授权支付”为例，用户将现金存入银行，资金所有权随之从用户转移给银行，若银行受欺诈向第三人进行了给付，除非存在表见代理的适用，对用户不发生法律效力。因此，用户仍可以向银行主张全额债权，并在银行拒付时请求其承担违约责任。该共识解决了“非授权支付”的举证责任分配，即一旦发生“非授权支付”，先是支付机构的所有权受到侵害，只有当支付机构证明其行为得到了本人的授权，才能将损失转嫁给用户承担。因此本案中，杉某支付公司主张永某房地产公司明知且放任邱某某以个人账户收款，但未能提交充分的证据予以证明，应承担举证不能的后果。

但是，“非授权支付”也不是由支付机构“全有或全无”的责任。具体分两种情况，第一，如果构成“非授权支付”的，银行自担损失，但用户未对身份识别信息和交易验证信息尽到妥善保管义务具有过错，应基于与有过失承担部分责任。第二，如果不构成“非授权支付”的，用户自担损失，亦可以基于支付机构未尽保障用卡安全义务，依过错程度请求其承担相应责任。因此，“非授权支付”的事实只是对直接受害人的确定，在非授权使用者作为终局责任人无法找到或丧失清偿能力的情况下，还需要结合双方过错程度分担损失。

2. 与非授权使用者责任的关系

无论在何种法律关系层面，认定受欺诈的是持卡人、特约商户还是支付机构，实际侵占资金的邱某某显然是终局责任人，故“非授权支付”通常同时存在“刑民交叉”的问题。对此，支付机构作为向公众提供金融服务的特许经营者，在提供支付服务获得收益的同时应当以更加安全的技术保障支付安全，发生“非授权支付”的，由其先于犯罪嫌疑人承担责任，符合制造风险者应防范风险的法理以及风险与收益相对等原则。美国大法官Poser与Rosenfield对于合同风险负担曾提出“优势风险承担者”理论，意即优势风险承担者系合同关系中，最有能力让意外事故或不可抗力致合同无法履行的损失最小化的人，包括事前预防、事中损失降低，以及确保难以预见的剩余风险不再发生的能力，应由优势风险承担者负担风险发生所致损失。并且，支付机构具有相较于用户更为强大的风险预防、控制和承受能力，有利于鼓励发卡行提供安全性更高的银行卡产品和服务，从源头上减少风险发生概率，防控金融风险，促进银行卡产业安全稳定发展。这一规则在我国《银行卡规定》对于伪卡盗刷的责任分配中亦有体现，即在发卡行和持卡人之间，适用无过错归责原则认定发卡行“非授权支付”的违约责任。域外也持相同立场，如欧盟《支付服务指令二》规定用户通知之后的非授权交易由支付服务提供者负全部责任，用户通知之前的非授权交易，除非用户存在故意或重大过失，无论损失额度多少，用户仅需负责50欧元的损失，剩余部分由支付服务提供者负担。又如美国《电子资金转移法》及《诚实借贷法》，亦规定用户知悉非授权交易后在规定期间内通知的，责任上限为50美元。

从两者关系来看，杉某支付公司是基于未授权支付的规定向永某房地产公司独立承担责任，与邱某某刑事责任的给付内容虽然不一致，但给付目的都是为填补永某房地产公司的购房款损失，构成不真正连带责任关系。也即，数个债务人基于不同的发生原因而偶然产生同一内容的给付，责任构成要件不相同，应当各自独立地对债权人负全部履行的义务，并因任一债务人的履行而使得全体债务人的债务归于消灭。现没有证据证明邱某某已经向永某房地产公司实际履行了赔偿责任，故杉某支付公司不能要求减免自己的民事责任或要求永某房地产公司先行向邱某某主张责任。杉某支付公司承担责任后，可以向邱某某进行追偿。

本栏目主持人：刘璇、张钦

编辑团队：唐波、李萍、彭同辉、

赵科文、陈子卓、刘璇、曹轶品、

孙翌、汤昊宇、周帅妤、张钦