上海市浦东新区人民法院

民事判决书

（2018）沪0115民初26533号

原告：

上海技宇网络科技有限公司，住所地上海市浦东新区。

法定代表人：姜鑫，执行董事。

委托诉讼代理人：贾秀萍，

北京市惠诚律师事务所上海分所律师。

委托诉讼代理人：吕福广，

北京市惠诚律师事务所上海分所律师。

被告：

支付宝（中国）网络技术有限公司，住所地中国（上海）自由贸易试验区银城中路XXX号XXX层XXX-XXX室。

法定代表人：彭蕾，董事长。

委托诉讼代理人：周莎，北京

盈科（上海）律师事务所律师。

委托诉讼代理人：李书荣，北京

盈科（上海）律师事务所律师。

原告

上海技宇网络科技有限公司与被告

支付宝（中国）网络技术有限公司服务合同纠纷一案，本院于2018年4月8日立案受理后，依法适用普通程序公开开庭进行了审理。原告的委托诉讼代理人贾秀萍、吕福广、被告的委托诉讼代理人周莎到庭参加了诉讼。本案现已审理终结。

原告

上海技宇网络科技有限公司向本院提出诉讼请求：1、判令被告向原告支付赔偿款1,123,000元；2、判令被告向原告支付自2017年11月28日起至实际支付之日止的利息（以1,123,000元为基数，按

中国人民银行同期贷款利率计算）。事实和理由：原告为支付宝用户并接受被告的服务，已充分阅读、理解并接受《支付宝安全保障规则》的全部内容，原告一直遵循上述规则的所有约定。原告的XXXXXXXXX@qq.com支付宝账户在未经原告授权情况下，分别于2017年11月25日19时26分至22时5分，被擅自分28笔转出654,800元至“*述超”等支付宝账户；11月26日19时45分至20时28分，被擅自分13笔转出274,200元至“*永汉”等支付宝账户；11月27日18时56分至19时18分，被擅自分5笔转出194,000元至“*述超”“*健敏”支付宝账户。原告损失共计1,123,000元。原告发现此事后虽向上海市公安局静安分局报案，但至今未能挽回损失。原告认为，上述交易非经原告授权，且被告对原告负有安全保障义务，被告依约应承担赔偿责任。

被告

支付宝（中国）网络技术有限公司辩称，1、涉案交易使用了凭AppID和RSA密钥完成的即时到帐服务，即“单笔转账到支付宝账户接口”功能，系原告亲自或授权代理人操作其自有运营系统实施，而非盗刷；2、根据约定，原告使用其专有接口发送至被告的指令均视为原告的真实意思表示且不可撤销，被告作为被授权的指令执行方对依照该指令进行的操作及结果不承担任何责任，且被告对于涉案交易在验证付款人身份真实、权限有效时进行的操作也不具有过错，依法不应承担赔偿责任；3、被告现已依据

中国人民银行关于安全防控义务的监管要求，清退了原告支付宝账户的“单笔转账到支付宝账户接口”功能。

经审理查明，原告系一家从事网络科技业务的有限责任公司。2017年6月22日，原告在被告处注册了账号为XXXXXXXXX@qq.com的支付宝企业账户。同日，原告与

杭州蚂蚁金服信息技术有限公司（以下简称蚂蚁金服）在线签订的《开放平台服务协议》约定：“第1.8条：AppID%26amp;RSA密钥，指原告在申请开发应用时获得的由蚂蚁金服授予的应用程序接入账户和密钥；第5.2条：原告应妥善保管登录开放平台的账户和密码、手机等联系方式和通讯工具，蚂蚁金服通过账户、密码识别原告身份及指令，使用原告账户、密码的操作视为原告本人的操作……；第5.7条：原告一旦在开放平台申请成功，并申请发布一个新应用时，原告将得到一个针对该应用的唯一的AppID和蚂蚁金服公钥，蚂蚁金服通过AppID来鉴别原告身份，原告同意，任何时候都不使用其他服务商的AppID和RSA私钥，也不将自身的AppID和RSA私钥泄露给任何第三方，原告同意任何使用原告AppID和该应用的RSA私钥的行为，均被认为是原告的行为。”《开放平台服务协议》中第5.2条、第5.7条均以加粗字体显示。蚂蚁金服开放平台对“单笔转账到支付宝账户接口”快速接入的介绍为：第一步，创建应用并获取AppID。第二步，配置密钥。第三步，搭建和配置开发环境。同时，蚂蚁金服开放平台公示了对签约“单笔转账到支付宝账户接口”的安全提示，包括：该功能为资金支出类的高风险接口；商户需自行妥善保管接入账户和密钥以及保管的具体方法；出现非商户自主操作导致异常资金支出由商户自身承担责任等。

2017年11月7日，原告向被告申请开通该账户下的“单笔转账到支付宝账户接口”功能，并通过电子签约方式与被告签订了《支付宝服务合同》《支付宝安全保障规则》。“单笔转账到支付宝账户接口”功能系资金支出类的高风险接口，使用AppID和RSA密钥，无须输入支付密码，就能操作账户资金支出。《支付宝服务合同》第1.4条约定：“即时到帐服务：指除甲乙双方（甲方为原告，乙方为被告）另有约定外，付款人一旦确认付款，款项即时到达收款人支付宝账户的服务，乙方对此不提供支付宝中介服务，所有的风险和责任由付款人和收款人自行解决与承担。”该合同附件“单笔转账到支付宝账户接口”服务规则约定：“1、在即时到账交易模式下，付款人一旦确认付款，款项即时到达收款人支付宝账户内，乙方对此不提供中介服务，所有的风险和责任由付款人和收款人自行解决与承担。2、甲方对使用本服务过程中发出的指令的真实性及有效性承担全部责任，该指令视为甲方的真实意思表示且不可变更或撤销；且甲方应对其向乙方提供的用户支付宝账户的准确性和真实性负责。3、甲方承诺，乙方按照甲方指令进行操作的一切风险均由甲方承担。……9、甲方同意，在使用本服务进行转账时，甲方无需另行输入支付宝账户的支付密码。甲方在开通本服务前，已充分认识到无密转账的风险，并承诺由甲方自行承担无密转账的风险。”另外，《支付宝安全保障规则》中“本公司提醒您认真阅读、充分理解本规则各条款，特别是以粗体标注部分”以及“保障的范围”部分约定的内容均以加粗字体显示。

原告开通“单笔转账到支付宝账户接口”功能后，至11月25日之前,频繁通过该功能向参与其运营的“斯摩格庄园”游戏的相关游戏玩家发放奖励，未有争议。2017年11月25日始发生涉案交易：当日19时26分至22时05分，及次日19时45分至20时28分，原告该支付宝账户分别向“*海川”等10人的支付宝账户分28笔共计转出654,800元、向“*霆霆”等5人的支付宝账户分13笔共计转出274,200元。

2017年11月27日11时26分，原告法定代表人就前述交易致电被告反映其账户被盗,并表示其开通了“单笔转账到支付宝账户接口”功能，不登录支付宝账户，也可以通过接口进行转账，但当被告客服询问是否需要关闭原告支付宝账户的余额支付和提现功能时，其予以拒绝。当日15时，原告向公安机关报案，称其被人利用漏洞骗取了929,000元，并称涉案交易可能是有人利用原告的认证漏洞，跳过认证程序，或者破解了原告的支付宝账户和密码所进行的转账。当日18时56分至19时18分，原告该支付宝账户又分5笔共计转出194,000元至“*述超”、“*健敏”的支付宝账户。当日19时29分，原告法定代表人致电被告反映账户再次被盗，要求被告关闭了涉案支付宝账户的支付功能。当日19时30分许，原告再次补充报案，称其账户又被人利用漏洞骗取了194,000元。

2017年12月5日，上海市公安局静安分局决定对原告被诈骗一案予以立案，该案目前仍在侦查中。2017年12月8日，被告清退了原告支付宝账户的“单笔转账到支付宝账户接口”功能。

上述事实，为原告提供的支付宝转账记录、案件接报回执单、立案告知书、《支付宝安全保障规则》、原告部分历史交易记录等，被告提供的《支付宝服务合同》及附件、《开放平台服务协议》、风险提示及介绍页面、支付宝账户查询图、涉案交易的系统日志、电话录音等，以及本院依法至上海市公安局静安分局调取的《询问笔录》、当事人证据交换笔录、庭审笔录等所证实。

本院认为，原、被告双方签订的《支付宝服务合同》《支付宝安全保障规则》等系双方真实意思表示，合法有效，对双方当事人具有法律约束力。原告的诉讼请求是否应予支持，关键在于对以下争议焦点的审查判断：第一，涉案交易能否认定为未经原告授权的交易；第二，被告对涉案交易的风险是否尽到了审慎合理的提示义务。就此，本院分别阐述如下：

一、关于涉案交易能否认定为未经原告授权的交易。原告认为，涉案交易未经原告授权，交易发生在非工作日，IP地址也不是原告常用的IP地址，不是原告真实意思表示，并已向公安机关报案；被告认为，其对交易时间和IP地址更换并不作审查，亦不会因此阻断交易，涉案交易经正确输入其专有接口的AppID和RSA密匙完成，应为原告或授权代理人操作其自有运营系统，向支付宝系统发送支付指令，代表原告的真实意思。

本院认为，判断涉案交易是否经原告授权，并非从原告主观认识予以考察，应当着重审查支付指令的发出及完成是否依合同约定的方式使用了正确的AppID和RSA密匙。首先，从原告申请开通“单笔转账到支付宝账户接口”功能的情况来看，原告在涉案交易有约定“用户需自行创建应用并获取AppID、配置密钥、搭建和配置开发环境”的要求下，仍选择签约并开通该功能，表明原告自信自己具备使用该功能的技术条件。其次，从原告使用该功能进行支付的情况来看，原告仅需依约使用其AppID和自行生成并保管的RSA密钥即可完成交易，无须输入支付密码，被告不从中提供中介服务，双方也未约定交易应特定在工作日或有固定IP地址的设备上；被告仅应依约验证完成交易所需的AppID和RSA密钥是否正确；原告开通该支付功能后，一直使用该支付方式向其游戏玩家发放佣金，其在历次使用过程中均未对交易方式持有异议。故现涉案交易能够完成，应认为系因使用正确的AppID和RSA密钥所完成。再次，原告向公安机关的报案陈述认为，涉案交易可能系案外人利用原告的支付漏洞跳过了认证程序或者破解了原告的支付宝账户和密码所致。该报案行为针对的是案外人可某某在的侵权行为，不能直接证明涉案交易指令的发出或完成存在不符合合同约定的情形。综上，因原告未提供证据证明涉案交易指令的发出及完成未依合同约定的方式进行，涉案交易应认定为系经原告授权的交易。

二、关于被告对涉案交易的风险是否尽到了审慎合理的提示义务。原告认为，被告对免除其责任的条款未进行特别说明，未采取短信提醒措施；被告认为，涉案交易在原告支付宝系统均有提醒，原告应予注意，《支付宝服务合同》及蚂蚁金服开放平台均对涉案交易的风险进行了充分揭示。

本院认为，首先，从合同内容来看，涉案交易采用即时支付、即时到账方式，即原告一旦确认付款，款项即时到达收款人支付宝账户，款项的支付与否及支付对象的确定完全由作为用户的原告直接控制，并通过原告自行设置的支付流程发出指令，被告仅有依约验证指令的义务，没有理由和机会拒绝执行用户的交易指令。正是基于该类交易方式的即时性、高风险特点，故双方在《支付宝服务合同》及其“附件”中就交易风险责任的分配均作“甲方承诺，乙方按照甲方指令进行操作的一切风险均由甲方承担”等相关约定，该约定内容契合交易特点，对于合同双方权利义务的设置并无不合理，双方当事人应予遵从。其次，在签约及功能开通阶段，被告对涉案交易的风险通过对合同中的相关内容以加粗字体呈现及网站公示等方式进行揭示的做法，符合电子合同签订过程中的交易习惯，亦可证明被告适时充分、合理地履行了风险提示义务。再次，在功能使用阶段，被告按约通过支付宝账户向原告及时告知了交易信息，原告认为应当通过短信方式提醒的主张缺乏合同依据。最后，原告作为一家网络技术公司，凭借其专业技术及应有的行业风险识别意识和能力，对涉案交易可某某在的风险，亦应知晓并力所能及的予以防范，但原告对自身账户的安全并未尽到相应的审慎注意和保障义务，甚至当被告客服在涉案交易发生后提示原告法定代表人是否需要关闭余额支付和提现功能时，其仍予以拒绝，相应的后果应自行承担。综上，被告作为电子支付服务提供者，对涉案交易的风险已向原告尽到了审慎合理的提示义务。

综上所述，本院认为，电子支付服务作为高风险的网络交易方式，合同各方不仅需恪守契约自由、诚实守信等市场交易规则，还应尽到相应的风险防范和安全保障义务。本案中，双方的合同约定对于原、被告的权利义务设定未有失衡，亦与行业交易习惯相合，被告作为电子支付服务提供者依约履行了合同项下的义务，原告未能证明被告存在履约过错，故原告以被告未尽安全保障义务为由主张被告承担赔偿责任的诉讼请求，缺乏事实和法律依据，本院不予支持。据此，依照《中华人民共和国合同法》第六十条、《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第九十条规定，判决如下：

驳回原告

上海技宇网络科技有限公司的诉讼请求。

案件受理费15,054元，由原告

上海技宇网络科技有限公司负担。

如不服本判决，当事人可在判决书送达之日起十五日内，向本院递交上诉状，并按对方当事人的人数提出副本，上诉于上海金融法院。

审判长  金民珍

审判员  王鑫

审判员  孔燕萍

二〇一八年十一月二十一日

书记员  杨璞