电子支付安全法律问题研究
电子支付安全法律问题研究 摘 要:随着电子商务的迅猛发展,电子支付成为网络交易的主要手段, 然而网络自身的特点给电子支付带来诸多的安全风险,既包括技术上的安全问题, 也包括法律层面的安全问题。电子支付面临的法律安全风险主要包括计算机病毒、 电脑黑客等外来攻击风险,第三方支付平台交易风险,盗窃、欺诈等犯罪行为风 险等。为应对电子支付法律安全风险,政府主管机构应规范第三方支付平台的发 展,明确、协调电子支付各参与方之间的法律关系,加强网络领域犯罪的力度, 保障网络交易的安全。关键词:电子支付;
网上银行;
网络交易安全 0引言 根据有关数据显示,2010年前三季度,中国互联网支付市场(即线上交易) 总规模达到了7255亿元。许多人实现了足不出户便能完成购物、交费等行为。但 是,电子支付的迅猛发展也带来了许多安全隐患。因此,如何保障电子支付中的 安全问题,成为商家、用户、政府乃至学者们重点关注的问题[1]。
1电子支付概述 电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令,实 现货币支付与资金转移的行为。电子支付的类型按电子支付指令发起方式分为网 上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支 付。2010年6月,为了规范金融体系、加强金融监管、稳定金融秩序,央行发布 了《非金融机构支付服务管理办法》(以下简称《办法》),《办法》规定“未 经央行批准,任何非金融机构和个人不得从事或变相从事支付业务”。
wWW.133229.coM这意味着从此第三方支付平台将纳入国家金融管理秩序之中。
2010年4月,在央行报备的第三方支付企业有130多家,根据央行最新公告信息, 最终进入央行首批名单的只有17家。
2电子支付的安全问题 2.1电子支付的高效性与安全性相比于传统的支付方式,电子支付具有成 本低、效率高的优势,因此被许多企业和个人接纳并得到世界各国的大力发展。
有关研究显示,银行卡支付的成本只有纸基支付的1/3到1/2,如果一个国家从纸基支付全面转向卡基支付,节约的总成本至少相当于gdp的1%,并且支付周期将 大大缩短。但是,电子支付对安全性的要求比传统支付方式更高。这是因为信息 网络的发展给支付带来便利的同时也带来了高度危险性。首先,资金在公网中流 转,存在着权益人无法控制的时间差,还有众多的病毒、木马等程序窃取用户的 银行帐号和密码。
其次,在电子支付中,双方无法互相了解对方的支付能力,这也带来一定 风险。同时,电子支付平台也成为犯罪分子套现或洗钱的“帮手”。从经济学角度 分析,电子支付的安全性必须计算到交易成本中。如果片面追求快捷而忽视安全, 电子支付发展之路必定不会长远。在社会生活中,资金的安全直接关系到人们的 切身经济利益,因此公众对支付的安全性尤为关心。
2.2法律层面上的电子支付安全风险从广义上看,电子支付安全包括两个 层面:技术安全与法律安全。技术安全是指从技术角度能够保证指令人对资金的 划拨安全地到达收款人的账户。这种安全仅指电子支付的瞬间动态安全。法律安 全,则是指指令人能够完全控制和支配账户内的资金,不受外来因素的影响。这 种安全是一种稳定的权益保障的状态。电子支付发展到今天,包括银行系统提供 的网上银行和第三方支付平台在内,在技术上并没有出现安全问题。
当前电子支付中存在的法律安全危险主要有如下3种。
2.2.1外来攻击 外来的种种攻击行为,使指令人失去了对账户的控制,主要有钓鱼式欺诈、 计算机病毒及电脑黑客三种。
1)钓鱼式欺诈。这在我国已经发生多起,通常表现为利用仿冒的电子邮 件和网站——例如仿造一个网上银行的网站——欺骗用户登陆并留下银行卡帐 号和密码,然后通过真正的网上银行划拨用户资金。
2)计算机病毒。2005年以来,全球已经发现了多种专门针对网上银行服 务的计算机病毒。该类病毒常驻用户电脑,当用户使用网上银行等业务的时候, 能够自动记录账号、密码等信息并发送出去,造成用户的网上银行资料被盗。
3)电脑黑客。世界上没有绝对安全的物理网络系统,电脑黑客可能攻陷 网上银行的数据库,直接将用户的资金划走。这种行为一旦发生,将给网上银行和用户造成巨额损失[3]。
2.2.2网上银行与第三方支付平台的破产与其他经济危机网上银行与第三 方支付平台遭遇破产或者其他严重危机时,用户的资金账户可能脱离用户的控制, 安全面临极大威胁。相比之下,我国网上银行几乎都由传统金融机构开设,此种 风险较小。而第三方支付平台却如雨后春笋般一拥而上,现在已达到一百多家, 在缺乏严格的市场准入机制下,公司规模大小参差不齐,随着市场竞争的加剧, 不少企业面临破产危险,用户存放在其账户内的资金安全问题便尤为突出。可喜 的是,央行于2010年6月发布了《非金融机构支付服务管理办法》,规定经营第 三方支付平台业务须申领许可证,并设定了相应的准入门槛,如注册资本最低要 求为3000万元人民币、连续两年盈利等,2011年我国境内第三方支付平台将重新 洗牌。
2.2.3盗窃、诈骗等违法犯罪行为传统的盗窃、诈骗等违法犯罪活动已将用 户的电子货币作为新的目标。不少犯罪分子利用电子支付的便捷性,将盗窃与诈 骗等行为的目标瞄准到用户网络银行账户内的资金。近几年频繁发生盗取网上银 行帐号后转移用户账号资金的案件;
利用短信诈骗,利用银行提供的atm自动柜 员机转账的便利,诱导用户使用转账,使得不少用户上当受骗。
3电子支付信息网络安全的法律应对措施3.1规范第三方支付平台的发展 第三方支付平台与用户之间的关系,应当是一种民事上的合同关系。亦即,用户 与第三方支付平台达成协议,使用该平台来支付,第三方支付平台根据用户指令 完成相关行为。因此,根据契约自由这一合同法上的基本理念,同时为了促进电 子支付的发展,应当允许银行之外的第三方支付平台从事电子支付业务。但是, 第三方支付平台所提供的服务会涉及用户资金的大量往来和一定时期的代管,这 些都类似于金融业务,如果不加以监管,资金的安全将会大受威胁。据此,对第 三方支付平台的电子支付业务应当进行严格规范,其要求在某些方面应当比银行 更加严苛。
首先,应当提高第三方支付平台的市场准入条件。对于第三方支付平台的 市场准入不能以普通公司注册,而是应当设立一个较高的注册资本门槛,保证其 信用度;
同时履行特定的审批程序,由专门的机构来主管,可以由人民银行以类 似于金融机构的方式进行管理。这样有利于避免第三方支付平台因注册资本太低、 抵抗市场经营风险的能力太小而出现的破产或其他经济危机,造成用户资金的不 安全。其次,应当提高对第三方支付平台的规范要求。从事电子支付业务的第三 方支付平台与银行相似,均关系到用户的资金安全,如果行为不当,可能给用户 造成重大损失。因此,在允许第三方支付平台从事电子支付业务的同时,必须加 强业务规范。
为配合2010年6月21日颁布的《非金融机构支付服务管理办法》(以下简 称《办法》)的实施,中国人民银行于2010年12月1日制定并颁布了《非金融机 构支付服务管理办法实施细则》。
《办法》和细则对非金融机构支付服务业务(即第三方支付服务)主体资 格的申请和批准、经营活动的监督和管理作了详细的规定:1)准入制度《办法》 实施前对已经从事支付业务的非金融机构,应该在2011年9月1日前申请取得《支 付业务许可证》,没有取得许可证的,将不得继续从事支付业务。支付机构依法 接受中国人民银行的监督管理。未经中国人民银行批准,任何非金融机构和个人 不得从事或变相从事支付业务。
2)严格准入门槛 非金融机构提供支付服务应具备的条件主要包括:(1)商业存在。申请 人必须是在我国依法设立的有限责任公司或股份有限公司,且为非金融机构法人。
(2)资本实力。申请人申请在全国范围内从事支付业务的,其注册资本至少为1 亿元;
申请在同一省(自治区、直辖市)范围内从事支付业务的,其注册资本至 少为3千万元人民币,且均须为实缴货币资本。(3)主要出资人要求。申请人的 主要出资人(包括拥有其实际控制权和10%以上股权的出资人)均应符合关于公 司制企业法人性质、相关领域从业经验、一定盈利能力等相关资质的要求(。4) 反洗钱措施。申请人应具备国家反洗钱法律法规规定的反洗钱措施,并于申请时 提交相应的验收材料。(5)支付业务设施。
申请人应在申请时提交必要支付业务设施的技术安全检测认证证明。(6) 资信要求。申请人及其高管人员和主要出资人应具备良好的资信状况,并出具相 应的无犯罪证明材料。
3)限定服务范围 根据《办法》,非金融机构支付服务主要包括网络支付、预付卡的发行与 受理、银行卡收单以及央行确定的其他支付服务。网络支付业务是指非金融机构依托公共网络或专用网络在收付款人之间转移货币资金的行为,包括货币汇兑、 互联网支付、移动电话支付、固定电话支付、数字电视支付等;
预付卡是指以营 利为目的发行的、在发行机构之外购买商品或服务的预付价值,包括采取磁条、 芯片等技术以卡片、密码等形式发行的预付卡。银行卡收单是指通过销售点(pos) 终端等为银行卡特约商户代收货币资金的行为。
4)严格货币资金管理 支付机构不得转让、出租、出借《支付业务许可证》。支付机构之间的货 币资金转移应当委托银行业金融机构办理,不得通过支付机构相互存放货币资金 或委托其他支付机构等形式办理。支付机构不得办理银行业金融机构之间的货币 资金转移。
对于备付金,支付机构接受的客户备付金不属于支付机构的自有财产。支 付机构只能根据客户发起的支付指令转移备付金。
禁止支付机构以任何形式挪用客户备付金。支付机构的实缴货币资本与客 户备付金日均余额的比例,不得低于10%。
5)退出机制 支付机构有下列情形之一的,中国人民银行及其分支机构有权责令其停止 办理部分或全部支付业务:(一)累计亏损超过其实缴货币资本的50%;
(二)有重 大经营风险;
(三)有重大违法违规行为。
3.2明确、协调电子支付各参与方之间的法律关系参与电子支付过程的各 方主体,包括指令人(即用户)、收款人、网上银行以及第三方支付平台等,他 们之间的法律关系即各自的权利义务必须以法律来明确。
从法理角度分析,电子支付各参与方之间的法律关系是一种合同关系。因 此,在世界范围内,许多国家并没有用专门的法律规范来调整电子支付的法律关 系,而是用侵权法和合同法来规制。有些国家即使出台了专项立法,也未形成一 个新型的法律关系。就我国而言,可以在现行《电子支付指引(第一号)》对指 令人(即用户)与银行之间的合同关系的确认基础之上,进一步细化相关规定, 并对其他参与方之间的法律关系作出明确规范。
首先,应当对指令人(即用户)与银行之间的关系作出更加全面的规范。在传统观点中,要求银行对未经用户授权的电子支付承担责任的可能性非常小, 因为在认领银行卡或者账号的协议中有明确约定,由客户对其所拥有的银行卡交 易负责。但是从国外的经验来看,一些国家逐渐倾向于由银行对未经用户授权的 支付行为承担一定的责任。例如,美国《电子资金划拨法》及其实施细则e条例 规定,用户对未经授权的电子资金划拨承担有限制的责任。按此规定,如果信用 卡是经过消费者授权而使用的,消费者应当承担卡划拨所产生的法律后果,但是, 如果该卡的使用是未经授权的,则条例将持卡人的责任限制在50美元以内,如果 持卡人通知发卡人时未授权划拨造成的损失少于50美元,那么持卡人的责任以承 担该损失为限。如果发卡人未能告知持卡人的权利,信用卡不能识别使用者,或 者发卡人没有提供给持卡人一个将其损失通知给发卡人的方法,则持卡人对未经 授权的划拨所造成的损失不承担任何责任。
其次,应当对收款人、第三方支付平台等其他参与方在电子支付中的法律 地位及权利义务作出明确规定。
收款人与指令人之间的关系属于普通的民事关系,在电子支付过程中并不 具备特殊性,用合同法、侵权法等已有法律即可规范。但是收款人与银行、第三 方支付平台之间的关系比较复杂,例如当指令人与银行/第三方支付平台约定向 收款人进行支付而银行/第三方支付平台未支付时,收款人有无权利直接向他们 (而非向指令人)提出支付请求?严格来说,这个问题在传统社会中也存在,亦 应在法律中作出规定。但是,电子支付存在的一个重要目的即为使支付更为便捷, 如果在电子支付中这个问题得不到解决,将势必妨碍便捷目标的实现。
因此,本文认为,鉴于电子支付的特殊性,我们不妨在此种情形下赋予收 款人以直接的支付请求权。当然,该项权利的行使应当具有严格条件,例如必须 存在指令人的事先明确认可等等,以防止收款人假借名义侵害指令人的合法权益。
至于第三方支付平台在电子支付中的法律地位,可以类推适用网上银行的 规定,使其在与指令人、收款人之间的法律关系中享有明晰的权利,承担确定的 义务。