其一是不作为的后果是什么?若第三方支付机构面对被钓鱼者的请求而无动于衷,那么在日后有铁证证明钓鱼事实的存在,在追究法律责任时,其是否仍能心安理得地独善其身呢?作者认为,答案是否定的。民事责任主要是一种过错责任,其要求行为人在主观上应尽到应有的注意义务。否则,行为人就必须对自己行为的后果买单。如法学家耶林就认为,不是因为有损失才承担责任,而是因为有过错才承担责任。这一精神也大同小异地反映于世界各国的民事立法中,如《法国民法典》第1382—1383条就规定:“因自己的过失而使损害发生之人……负赔偿责任;任何人对其行为所引起的损失,而且对因其过失或疏忽所造成的损害负赔偿责任”。对此,我国在《意见》第106条也大体类似地规定:“公民、法人由于过错侵害国家的、集体的财产,侵害他人财产、人身的,应当承担民事责任。”由此可推断,当被钓鱼者提出救济请求,第三方支付机构不作为或作为不力而导致被钓鱼的资金转移的,该机构在主观上存有过错的,其理应根据过错的大小承担相应的赔偿责任。
其二是该第三方支付机构能否为其不作为作有效抗辩?若在第三方支付机构开立有账户的钓鱼者利用该第三方支付机构的网站或通过在该机构或其商户的网站上构建链接的方式使被钓鱼者上钩,则该第三方支付机构面对被钓者的诉求能否利用协议中的免责性规定来对其不作为进行法律上的自我防御呢?一般而言,为了划定义务边界与突出中间结算的角色,第三方支付机构往往在协议中规定,其与基础性交易法律关系等无涉。而且,在协议中植入多种免责性的规定,以达到对其责任进行立体式封闭处理的效果,如支付宝在其服务协议中即规定:“本网站含有到其他网站的链接,但本公司对其他网站的隐私保护措施不负任何责任。本公司可能在任何需要的时候增加商业伙伴或共用品牌的网站。本公司仅按现有技术提供相应的安全措施来使本公司掌握的信息不丢失,不被滥用和变造。这些安全措施包括向其它服务器备份数据和对用户密码加密。尽管有这些安全措施,但本公司不保证这些信息的绝对安全。”为了理清这一问题的是非,我们应该分二种情形进行讨论:一是被钓鱼者非第三方支付机构用户的情形。在该情形下,由于被钓鱼者与第三方支付机构之间并不存在协议关系,所以自然该第三方支付机构不能利用合同中的免责条款进行抗辩,但是面对被钓鱼者的请求时,如前所析,机构应尽到合理的注意义务;二是被钓者属于第三方支付机构用户的情形。由于在该情形下,被钓鱼者和该第三方支付机构存在合同关系,理所当然地后者可以主张其抗辩。然而,问题是以免责性规定为基础的抗辩是否具有效力。作者认为,这是一个必须慎重对待的问题。我国《合同法》第40条规定:“格式条款具有本法第五十二条和第五十三条规定情形的,或者提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的,该条款无效。”而该法第53条的内容是:“合同中的下列免责条款无效:造成对方人身伤害的;因故意或者重大过失造成对方财产损失的。”勿庸置疑,结合《合同法》的规定,第三方支付机构与被钓鱼者协议中的免责性条款的效力是有待法院进一步考察的。
四、出路何在?——一种多方合力的作为第三方支付机构所涉当事人较多,如买卖双方当事人、商业银行、第三方支付机构等。而且,由于第三方支付业务具有浓厚的技术先行特点,所以如果不事先评估技术因素,那么无论法律制度设计得如何完善无缺,很可能纯规则的制度安排也只是一种看上去很美但实际不中用的东西。再者,由于在实践中第三方支付机构对商户资金的结算多采取T+1或T+0模式,在发生钓鱼投诉时,留给第三方支付机构缓冲的时间并不充裕。因此,在对策寻觅中,必须恪守三个原则:一是网上远程支付结算技术安全保障机制先行于法律而被法律化的原则;二是秉承事前的防范永远胜于事后救济的原则。具体的思路如下;三是有效的钓鱼欺诈防范必须走群策群力的多方协作路线。
