(一)第三方支付机构技术安全保障方面的作为发生钓鱼欺诈之虞时,第三方支付机构在作为或不作为左右为难的情况下,到底应该怎么办呢?尽管无论做出哪一种选择,都比较令人神伤,但是积极地应对钓鱼投诉无疑不失为一种“两害相权取其轻”的明智之举,因为毕竟在利益的维护上,第三方支付机构与被钓鱼者具有同向性。由于私力救济的正当性存在质疑,所以如何及时地获得监管公权力的支撑以作为私力救助的有效补充也是第三方支付机构必须考虑的问题。然而,从防患于未然的立场出发,这种治标不治本的做法并不能解决问题的全部。作者认为,构建健全的技术安全保障机制应该是第三方支付机构破题的重点所在。
网络技术发展迅速,要求一般的消费者在网上交易中都能像专家一样对交易的安全进行专业性的识别,这是强人所不能。因此,消费者与业务机构的优势对比之下,只能默示地要求以某种创新技术为基础的业务机构事先在客户身份识别及安全的技术保障上尽到法律上的更多注意义务。在这一点上,民法学抽象过失中的“善良管理人的注意”理论是可以适用的。如此,不仅有利于防止对网络等技术一知半解或基本上是一无所知的消费者免于成为电子商务交易中的牺牲品,而且也可以通过间接压力的方式促使第三方支付机构对相关安全保障的。电子技术进行更新换代式的创新。尽管这一风险的转嫁可能会在短期内抬高第三方支付机构的法律成本,并引发表面上的权利与义务的失衡,但是在“消费者就是上帝”的商业化时代,有一点是第三方支付机构在安全技术保障作为或不作为时必须务实地认识到的,即,电子商务的最终价值源于生活,其规范化发展必须贯彻从生活中来到生活中去的理念。现时下,第三方支付已深度渗透到了公民生活的方方面面,如网购、资金汇转、生活缴费、证券投资等,其价值链环节正日益影响着国民经济和国民生活的质量。然而,这种价值链究竟能延伸多长还严重依赖于作为市场主导者的买家对这种交易方式的认可度与信赖度。当钓鱼类欺诈横行而第三方支付业务的消费者权益无从获取足够的技术与合法保障时,也就是这种业务步向山穷水尽之时。
古语云:识时务者为俊杰。若能深切地意识到安全性保障事关第三方支付的成败,那么第三方支付机构在经营态度及业务安全的技术保障上必定是该行业的领跑者与典范。如作为国内最早成立的第三方支付企业“环讯支付”就曾经同时获得VISA和Master Card颁发的“最佳风险控制奖”的称谓。只要点开该支付企业的网站细观其开户协议,不难发现其协议内容简单,并无过多的关于网络安全类责任推卸条款。多年前,为了确保在线支付的安全,该机构就成立了风险控制中心,并通过了国际PCI—DSS{7}CLASS1信用卡安全认证。当下,其已构建了以风险控制中心为主体,A.N.T.{8}信用卡反欺诈系统、Net Screen硬件防火墙、MD5数字签名{9}、PCI—DSS认证、SSL数字证书加密{10}及安全控件相融合的系统性安全控制体系。而且,在前端服务中,环讯还设立了全天候的客户服务系统,如消费者遭遇钓鱼等欺诈,则可以在第一时间内采取救济措施,从而将损失降低到最低程度。无疑,在扼制钓鱼等欺诈中,此种实事求是的技术先行是值得该行业借鉴与深思的。
(二)消费者自身作为——合理的安全注意义务法律是公平正义的艺术,在权利与义务的配置上,好的法律绝不会刻意去偏袒任何一方。因此,不分情形而将被钓鱼欺诈的风险全部归责于第三方支付机构也是显失公允的。在从事电子商务中,被钓鱼者理应尽到合理的注意义务。尽管钓鱼欺诈的表现形式繁多,但是其可以万变不离其宗地被归结为以下几种:“发送电子邮件,以虚假信息引诱用户;假冒知名网站,骗取用户账户密码等信息,以窃取资金;利用木马和黑客技术手段窃取用户信息进行盗窃;利用虚假的电子商务进行诈骗;利用用户的弱口令等漏洞,破解用户的账号和密码等。”[4]实际上,由于网址与域名的唯一性,无论造假者如何穷其所能,假的都不可能成为真的,也正是因为被欺诈者的过于自信或过于疏忽,才使得钓鱼成功。如在已有的钓鱼案例中,造假者将汇丰银行的真实网址“www.hsbc.com”仿制为“www.hkhsbc.com”,将中国银行的域名“www.bank—of—china.com”假冒为“www.bank—off—china.com”,将农业银行的域名“www.95599.com”假冒为“www.965599.com”,将工商银行的域名“mybank.icbc.com.cn”仿冒为“mybank.1cbc.com.cn”。对诸如此类的仿冒,只要被欺诈者擦亮自己的眼睛尽到应有的注意义务,其损失是完全可以避免的;对于弱口令问题,如果用户能将密钥设定复杂些,其资金损失的风险亦会随之降低;对于钓鱼者利用电话、短信或邮件,以中奖或账户被盗或可能被有权机关冻结等为名目,要求用户登录指定网址进行身份验证,以套取卡号、密码、身份证等信息之情形,只要及时电话咨询银行客服,那么钓鱼者的意图自然会落空;钓鱼者常在网吧、图书馆等公共场所内的电脑上安装恶意的监测程序、键盘记录器等来盗取被钓鱼者的账户信息。对于此类钓鱼,只要用户能做到在公共场所尽量不使用网银,多使用动态口令与数字证书及在密码输入时,尽可能使用网络键盘,离开时,做到清除网页历史和cookies,被钓鱼的机率亦会随之下降。
