电子支付安全法律问题分析
电子支付安全法律问题分析 摘 要:随着电子商务的迅猛发展,电子支付成为网络交易的主要手段, 然而网络自身的特点给电子支付带来诸多的安全风险,既包括技术上的安全问题, 也包括法律层面的安全问题。电子支付面临的法律安全风险主要包括计算机病毒、 电脑黑客等外来攻击风险,第三方支付平台交易风险,盗窃、欺诈等犯罪行为风 险等。为应对电子支付法律安全风险,政府主管机构应规范第三方支付平台的发 展,明确、协调电子支付各参与方之间的法律关系,加强网络领域犯罪的力度, 保障网络交易的安全。关键词:电子支付;
网上银行;
网络交易安全 0引言 根据有关数据显示,2010年前三季度,中国互联网支付市场(即线上交 易)总规模达到了7255亿元。许多人实现了足不出户便能完成购物、交费等行为。
但是,电子支付的迅猛发展也带来了许多安全隐患。因此,如何保障电子支付中 的安全问题,成为商家、用户、政府乃至学者们重点关注的问题[1]。
1电子支付概述 电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令,实 现货币支付与资金转移的行为。电子支付的类型按电子支付指令发起方式分为网 上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支 付。2010年6月,为了规范金融体系、加强金融监管、稳定金融秩序,央行发布 了《非金融机构支付服务管理办法》(以下简称《办法》),《办法》规定“未 经央行批准,任何非金融机构和个人不得从事或变相从事支付业务”。这意味着 从此第三方支付平台将纳入国家金融管理秩序之中。2010年4月,在央行报备的 第三方支付企业有130多家,根据央行最新公告信息,最终进入央行首批名单的 只有17家。
2电子支付的安全问题 2.1电子支付的高效性与安全性相比于传统的支付方式,电子支付具有成 本低、效率高的优势,因此被许多企业和个人接纳并得到世界各国的大力发展。
有关研究显示,银行卡支付的成本只有纸基支付的1/3到1/2,如果一个国家从纸 基支付全面转向卡基支付,节约的总成本至少相当于GDP的1%,并且支付周期将大大缩短。但是,电子支付对安全性的要求比传统支付方式更高。这是因为信 息网络的发展给支付带来便利的同时也带来了高度危险性。首先,资金在公网中 流转,存在着权益人无法控制的时间差,还有众多的病毒、木马等程序窃取用户 的银行帐号和密码。
其次,在电子支付中,双方无法互相了解对方的支付能力,这也带来 一定风险。同时,电子支付平台也成为犯罪分子套现或洗钱的“帮手”。从经济学 角度分析,电子支付的安全性必须计算到交易成本中。如果片面追求快捷而忽视 安全,电子支付发展之路必定不会长远。在社会生活中,资金的安全直接关系到 人们的切身经济利益,因此公众对支付的安全性尤为关心。
2.2法律层面上的电子支付安全风险从广义上看,电子支付安全包括 两个层面:技术安全与法律安全。技术安全是指从技术角度能够保证指令人对资 金的划拨安全地到达收款人的账户。这种安全仅指电子支付的瞬间动态安全。法 律安全,则是指指令人能够完全控制和支配账户内的资金,不受外来因素的影响。
这种安全是一种稳定的权益保障的状态。电子支付发展到今天,包括银行系统提 供的网上银行和第三方支付平台在内,在技术上并没有出现安全问题。
当前电子支付中存在的法律安全危险主要有如下3种。
2.2.1外来攻击 外来的种种攻击行为,使指令人失去了对账户的控制,主要有钓鱼式欺诈、 计算机病毒及电脑黑客三种。
1)钓鱼式欺诈。这在我国已经发生多起,通常表现为利用仿冒的电 子邮件和网站——例如仿造一个网上银行的网站——欺骗用户登陆并留下银行 卡帐号和密码,然后通过真正的网上银行划拨用户资金。
2)计算机病毒。2005年以来,全球已经发现了多种专门针对网上银 行服务的计算机病毒。该类病毒常驻用户电脑,当用户使用网上银行等业务的时 候,能够自动记录账号、密码等信息并发送出去,造成用户的网上银行资料被盗。
3)电脑黑客。世界上没有绝对安全的物理网络系统,电脑黑客可能 攻陷网上银行的数据库,直接将用户的资金划走。
这种行为一旦发生,将给网上银行和用户造成巨额损失[3]。2.2.2网上银行与第三方支付平台的破产与其他经济危机网上银行与 第三方支付平台遭遇破产或者其他严重危机时,用户的资金账户可能脱离用户的 控制,安全面临极大威胁。相比之下,我国网上银行几乎都由传统金融机构开设, 此种风险较小。而第三方支付平台却如雨后春笋般一拥而上,现在已达到一百多 家,在缺乏严格的市场准入机制下,公司规模大小参差不齐,随着市场竞争的加 剧,不少企业面临破产危险,用户存放在其账户内的资金安全问题便尤为突出。
可喜的是,央行于2010年6月发布了《非金融机构支付服务管理办法》,规定经 营第三方支付平台业务须申领许可证,并设定了相应的准入门槛,如注册资本最 低要求为3000万元人民币、连续两年盈利等,2011年我国境内第三方支付平台将 重新洗牌。
2.2.3盗窃、诈骗等违法犯罪行为传统的盗窃、诈骗等违法犯罪活动已 将用户的电子货币作为新的目标。不少犯罪分子利用电子支付的便捷性,将盗窃 与诈骗等行为的目标瞄准到用户网络银行账户内的资金。近几年频繁发生盗取网 上银行帐号后转移用户账号资金的案件;
利用短信诈骗,利用银行提供的ATM 自动柜员机转账的便利,诱导用户使用转账,使得不少用户上当受骗。
3电子支付信息网络安全的法律应对措施3.1规范第三方支付平台的 发展第三方支付平台与用户之间的关系,应当是一种民事上的合同关系。亦即, 用户与第三方支付平台达成协议,使用该平台来支付,第三方支付平台根据用户 指令完成相关行为。因此,根据契约自由这一合同法上的基本理念,同时为了促 进电子支付的发展,应当允许银行之外的第三方支付平台从事电子支付业务。但 是,第三方支付平台所提供的服务会涉及用户资金的大量往来和一定时期的代管, 这些都类似于金融业务,如果不加以监管,资金的安全将会大受威胁。据此,对 第三方支付平台的电子支付业务应当进行严格规范,其要求在某些方面应当比银 行更加严苛。
首先,应当提高第三方支付平台的市场准入条件。对于第三方支付平 台的市场准入不能以普通公司注册,而是应当设立一个较高的注册资本门槛,保 证其信用度;
同时履行特定的审批程序,由专门的机构来主管,可以由人民银行 以类似于金融机构的方式进行管理。这样有利于避免第三方支付平台因注册资本 太低、抵抗市场经营风险的能力太小而出现的破产或其他经济危机,造成用户资 金的不安全。
其次,应当提高对第三方支付平台的规范要求。从事电子支付业务的第三方支付平台与银行相似,均关系到用户的资金安全,如果行为不当,可能给 用户造成重大损失。因此,在允许第三方支付平台从事电子支付业务的同时,必 须加强业务规范。
为配合2010年6月21日颁布的《非金融机构支付服务管理办法》(以 下简称《办法》)的实施,中国人民银行于2010年12月1日制定并颁布了《非金 融机构支付服务管理办法实施细则》。
《办法》和细则对非金融机构支付服务业务(即第三方支付服务)主 体资格的申请和批准、经营活动的监督和管理作了详细的规定:1)准入制度《办 法》实施前对已经从事支付业务的非金融机构,应该在2011年9月1日前申请取得 《支付业务许可证》,没有取得许可证的,将不得继续从事支付业务。支付机构 依法接受中国人民银行的监督管理。未经中国人民银行批准,任何非金融机构和 个人不得从事或变相从事支付业务。
2)严格准入门槛 非金融机构提供支付服务应具备的条件主要包括:(1)商业存在。申请 人必须是在我国依法设立的有限责任公司或股份有限公司,且为非金融机构法人。
(2)资本实力。申请人申请在全国范围内从事支付业务的,其注册资本至少为1 亿元;
申请在同一省(自治区、直辖市)范围内从事支付业务的,其注册资本至 少为3千万元人民币,且均须为实缴货币资本。(3)主要出资人要求。申请人的 主要出资人(包括拥有其实际控制权和10%以上股权的出资人)均应符合关于公 司制企业法人性质、相关领域从业经验、一定盈利能力等相关资质的要求(。4) 反洗钱措施。申请人应具备国家反洗钱法律法规规定的反洗钱措施,并于申请时 提交相应的验收材料。(5)支付业务设施。
申请人应在申请时提交必要支付业务设施的技术安全检测认证证明。
(6)资信要求。申请人及其高管人员和主要出资人应具备良好的资信状况,并 出具相应的无犯罪证明材料。
3)限定服务范围 根据《办法》,非金融机构支付服务主要包括网络支付、预付卡的发行与 受理、银行卡收单以及央行确定的其他支付服务。网络支付业务是指非金融机构 依托公共网络或专用网络在收付款人之间转移货币资金的行为,包括货币汇兑、互联网支付、移动电话支付、固定电话支付、数字电视支付等;
预付卡是指以营 利为目的发行的、在发行机构之外购买商品或服务的预付价值,包括采取磁条、 芯片等技术以卡片、密码等形式发行的预付卡。银行卡收单是指通过销售点 (POS)终端等为银行卡特约商户代收货币资金的行为。
4)严格货币资金管理 支付机构不得转让、出租、出借《支付业务许可证》。支付机构之间的货 币资金转移应当委托银行业金融机构办理,不得通过支付机构相互存放货币资金 或委托其他支付机构等形式办理。支付机构不得办理银行业金融机构之间的货币 资金转移。
对于备付金,支付机构接受的客户备付金不属于支付机构的自有财产。
支付机构只能根据客户发起的支付指令转移备付金。
禁止支付机构以任何形式挪用客户备付金。支付机构的实缴货币资本 与客户备付金日均余额的比例,不得低于10%。
5)退出机制 支付机构有下列情形之一的,中国人民银行及其分支机构有权责令其停止 办理部分或全部支付业务:(一)累计亏损超过其实缴货币资本的50%;
(二)有重 大经营风险;
(三)有重大违法违规行为。
3.2明确、协调电子支付各参与方之间的法律关系参与电子支付过程 的各方主体,包括指令人(即用户)、收款人、网上银行以及第三方支付平台等, 他们之间的法律关系即各自的权利义务必须以法律来明确。
从法理角度分析,电子支付各参与方之间的法律关系是一种合同关系。
因此,在世界范围内,许多国家并没有用专门的法律规范来调整电子支付的法律 关系,而是用侵权法和合同法来规制。有些国家即使出台了专项立法,也未形成 一个新型的法律关系。就我国而言,可以在现行《电子支付指引(第一号)》对 指令人(即用户)与银行之间的合同关系的确认基础之上,进一步细化相关规定, 并对其他参与方之间的法律关系作出明确规范。
首先,应当对指令人(即用户)与银行之间的关系作出更加全面的规 范。在传统观点中,要求银行对未经用户授权的电子支付承担责任的可能性非常小,因为在认领银行卡或者账号的协议中有明确约定,由客户对其所拥有的银行 卡交易负责。但是从国外的经验来看,一些国家逐渐倾向于由银行对未经用户授 权的支付行为承担一定的责任。例如,美国《电子资金划拨法》及其实施细则E 条例规定,用户对未经授权的电子资金划拨承担有限制的责任。按此规定,如果 信用卡是经过消费者授权而使用的,消费者应当承担卡划拨所产生的法律后果, 但是,如果该卡的使用是未经授权的,则条例将持卡人的责任限制在50美元以内, 如果持卡人通知发卡人时未授权划拨造成的损失少于50美元,那么持卡人的责任 以承担该损失为限。如果发卡人未能告知持卡人的权利,信用卡不能识别使用者, 或者发卡人没有提供给持卡人一个将其损失通知给发卡人的方法,则持卡人对未 经授权的划拨所造成的损失不承担任何责任。
其次,应当对收款人、第三方支付平台等其他参与方在电子支付中的 法律地位及权利义务作出明确规定。
收款人与指令人之间的关系属于普通的民事关系,在电子支付过程中 并不具备特殊性,用合同法、侵权法等已有法律即可规范。但是收款人与银行、 第三方支付平台之间的关系比较复杂,例如当指令人与银行/第三方支付平台约 定向收款人进行支付而银行/第三方支付平台未支付时,收款人有无权利直接向 他们(而非向指令人)提出支付请求?严格来说,这个问题在传统社会中也存在, 亦应在法律中作出规定。但是,电子支付存在的一个重要目的即为使支付更为便 捷,如果在电子支付中这个问题得不到解决,将势必妨碍便捷目标的实现。
因此,本文认为,鉴于电子支付的特殊性,我们不妨在此种情形下赋 予收款人以直接的支付请求权。当然,该项权利的行使应当具有严格条件,例如 必须存在指令人的事先明确认可等等,以防止收款人假借名义侵害指令人的合法 权益。
至于第三方支付平台在电子支付中的法律地位,可以类推适用网上银 行的规定,使其在与指令人、收款人之间的法律关系中享有明晰的权利,承担确 定的义务。
3.3加强打击网络领域金融犯罪的力度网上盗窃、诈骗犯罪行为猖獗, 使广大消费者遭受了极大的损失,也严重影响整个电子商务的健康发展。为创造 一个良好的电子商务环境,使电子支付手段成为既便捷又安全的支付手段,国家 立法机关、司法机关应从立法和执法多个层面加大打击网络犯罪的力度,最大限 度保障网络交易安全。(责编杨晨)[2]中国人民银行.电子支付指引(第一号)第2条. [3]陈小龙,余跃飞.网上银行身份认证技术探究[J].信息网络安全,2011, (03):15-16.