深度长文 | 第三方支付公司的法律责任与监管对策探究
内容提要:第三方支付市场迅速发展、影响力不断上升,但目前有关第三方支付的法律规范并未具体规定第三方支付公司的法律责任;此外,目前学界针对第三方支付的研究也主要集中在主体资格、沉淀资金、法律风险和监管方面,因此笔者希望通过分析现行立法关于第三方支付公司的法律责任,并进一步结合相关法律、法理和判例,从而更加清楚的界定其法律责任。同时,对于完善第三方支付的法律监管体系提出了一些建议。
内容提要:第三方支付市场迅速发展、影响力不断上升,但目前有关第三方支付的法律规范并未具体规定第三方支付公司的法律责任;此外,目前学界针对第三方支付的研究也主要集中在主体资格、沉淀资金、法律风险和监管方面,因此笔者希望通过分析现行立法关于第三方支付公司的法律责任,并进一步结合相关法律、法理和判例,从而更加清楚的界定其法律责任。同时,对于完善第三方支付的法律监管体系提出了一些建议。
支付宝、微信钱包等第三方支付工具已经几乎成为每一个网民的标配,不管是消费者还是经营者都一定程度上依赖第三方支付,在互联网金融时代,第三方支付扮演着一个关键的角色,但随着第三方支付法律风险不断出现和消费者利益受到侵害,有必要对第三方支付的法律问题进行深入的研究。那么到底什么是第三方支付?第三方支付公司的法律责任是什么?这些问题将在下文展开。
一、第三方支付基本概念和模式
(一)概念
国内的“第三方支付”最早由马云于2005年提出,但目前学界对这一概念并没有统一的定论,综合学者观点和中国人民银行公布的《非金融机构支付服务管理办法》(以下简称《办法》)第二条的规定:本办法所称非金融机构支付服务,是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务:(一)网络支付;(二)预付卡的发行与受理;(三)银行卡收单;(四)中国人民银行确定的其他支付服务。本办法所称网络支付,是指依托公共网络或专用网络在收付款人之间转移货币资金的行为,包括货币汇兑、互联网支付、移动电话支付、固定电话支付、数字电视支付等。
笔者认为第三方支付的概念是指具备一定实力和信誉保障的第三方企业与国内外的各大银行签约,为买方和卖方提供一项旨在增强信用的服务。从广义上讲,第三方支付是指非金融机构作为收、付款人的支付中介所提供的网络支付、预付卡、银行卡收单以及中国人民银行确定的其他支付服务。而其提到的网络支付则是学术界主要探讨的狭义的第三方支付,这也是本文所探讨的重点,下文提到的第三方支付主要是指第三方网络支付。
(二)交易模式
一般第三方支付模式流程如图所示:
①客户在电子商务网站上选购商品,最后决定购买,买卖双方在网上达成交易意向;
②客户选择利用第三方作为交易中介,客户用信用卡将货款划到第三方账户;
③第三方支付平台将客户已经付款的消息通知商家,并要求商家在规定时间内发货;
④商家收到通知后按照订单发货;
⑤客户收到货物并验证后通知第三方;
⑥第三方将其账户上的货款划入商家账户中,交易完成。
(三)优缺点
1.优点
对于买方,可以规避无法收到卖方货物的风险;同时,相对于网上银行,第三方支付大大节约了买方安装各银行网银认证软件的时间和精力,简化了网上支付的操作流程和成本;此外,第三方支付还提供了诸多增值服务,满足买方停止支付、退款等自由选择权以及实现实时交易查询和交易行为分析;对于卖方,可以规避无法收到买方货款的风险;同时,第三方支付平台架设了卖方和银行之间的桥梁,促成其合作,降低卖方运营成本,为无法与银行
网关建立对接的中小企业提供了便捷的支付平台;此外,由于第三方支付平台的中立性和透明性,在货物质量、交易诚信、退换要求等方面一定程度上保障了卖方在买方心中的认可度,刺激买方的购买欲望,提升其购买力。
2.缺点
资金风险。首先,资金在第三方滞留导致的资金沉淀在缺乏有效流动性管理的情况下存在资金和支付安全隐患。其次,第三方可以自由开立支付结算账户并短期保有资金的行为存在非法转移资金和套现的金融风险。恶意竞争风险。国内同行业间的价格战以及一贯的价格营销策略都加速了这一行业利润被摊薄的恶性循环。交易中出现的纠纷存在取证困难的风险。支付平台存在流程上和安全上的漏洞风险,导致欺诈等不诚信的情况发生等等。
二、第三方支付公司在经营中面临的问题
由于我国目前法律法规对于第三方支付的规范较不完善,支付公司在经营过程面临了几个比较突出的问题,如:
(一)主体资格
我国对于金融行业的监督日趋严格,规定了严格的准入、经营制度,第三方支付公司作为经营者与消费者账户结算的中介商具有金融的性质。《办法》明确界定第三方支付为“非金融机构”,要进行合规支付就得依法取得《支付业务许可证》,现实中由于获取经营许可牌照的难度较大,很多第三方公司出现“无证驾驶”的情况,即在未得到经营许可的情况下为其他人的交易活动提供服务。在这种情况下,容易产生相关的法律责任。
(二)沉淀资金
2009年第三方支付机构“卡付通”携款潜逃事件造成了来自广东、江苏、浙江、山东等多个省份和地区的多个受害者损失的金额大约近20万元。这是由于第三方支付技术的迅速发展,因交易延时支付所导致的资金沉淀在第三方支付平台营运商手中导致的,围绕该资金及其利息的所有权归属,实务中以及法理层面都存在争议。沉淀资金及其利息收入产生于消费者通过第三方支付平台进行的付款行为。因此,确定其资金的法律性质及所有权的归属,首先需要分析消费者与第三方支付平台之间的法律关系。
(三)消费者权益保护
在第三方支付服务中,消费者权益保护面临的主要问题有:消费者的隐私能否得到有效保护、消费者的资金安全是否有保障、消费者与第三方支付机构的纠纷能否得到及时有效的解决。妥善处理这些问题,不仅是保护消费者权益的迫切需要,更是第三方支付产业长远、平稳发展的现实需求。
(四)信息保护
当前各第三方支付公司使用不同的技术方法拥有庞大的用户数据,如个人档案、交易记录、银行授权资料等,第三方支付公司可能存在非法收集消费者个人信息的违法行为,或存在利用消费者个人信息进行其他犯罪的违法行为,这些都值得关注。
(五)非法交易活动
第三方支付的支付流程为套现、洗钱等非法交易活动提供了可乘之机,这使得第三方支付平台极易成为资金非法转移和套现的工具。以支付宝为例,平台用户可以实现资金的自由转移,转移账款没有受到相关监管部门的监管,网络交易采取匿名制,而且目前支付宝对于个体商户而言是免费的,非法交易的成本极低。用户可以在平台上同时充当买方与买方,制造虚假交易,进行非法套现,或者将贩毒、赌博等非法活动取得的资金变为合法财产洗钱。
三、第三方支付公司应承担的法律责任
纵观我国的法律体系,对电子商务的立法并不完善,较少触及到网络支付,关于电子支付的规范散见于相关规章中。目前较为完善的关于第三方支付的法律规范有中国人民银行于2010年6月14日发布并于2010年9月1日生效的《办法》(中国人民银行令〔2010〕第2号)及其实施细则,它界定了第三方支付的法律地位,规定了市场准入、风险防范、经营监管和法律责任,但政策腾挪空间大、界定含糊比如对第三方支付公司的法律责任规定模糊,缺乏具体措施,为第三方支付的后续法律规范预留了思考空间。笔者通过分析目前《办法》中关于“第三方支付公司的法律责任”的规定,并结合相关法理、法律法规进一步分析第三方支付公司的法律责任,希望能更加明确的界定其责任,从而完善第三方支付公司的法律责任规范。
下文主要从互联网第三方支付机构角度出发,就其与用户、行政机构、银行等产生的民事法律责任、行政法律责任以及刑事法律责任进行分析。
(一)民事责任
民事责任是指公民或法人因违反法律、违反约定或者因法律规定的其他事由而依法承担的不利后果。现行《办法》并未规定第三方支付公司的民事责任,因此我国目前并无专门法律调整第三方网上支付法律关系,实践中往往依据《合同法》、《侵权法》和《消费者权益保护法》等来对第三方网上支付法律关系进行调整。
1.归责原则
在支付过程中,第三方支付公司与用户和发卡银行都存在民事法律关系,第三方支付公司与银行、银行与客户之间的责任较为清晰,在此不做赘述。仅针对支付公司与用户的关系进行分析,根据《办法》第21条规定,支付机构应当制定支付服务协议,明确其与客户的权利和义务、纠纷处理原则、违约责任等事项。因此,第三方支付公司与用户之间的法律关系为服务合同关系。因此,若双方因违反合同产生的法律责任应为违约责任。我国《合同法》关于违约责任的归责原则釆取的是二元结构,即采用无过错责任原则为主、过错责任原则为辅,两者相结合的二元体系。我国目前对于第三方支付公司的民事责任承担并未作出其他特殊规定,但由于第三方支付行业的专业性、用户处在弱势地位,因此笔者认为为了平衡利益保护,应当采取过错责任原则前提下的举证责任倒置模式,即用户仅对过错范围内的风险承担责任,其他情况包括一些不可归责于任何一方当事人的风险都由互联网第三方支付机构承担责任。
2.责任分析
第三方支付公司与用户的服务合同出现违约,一般应依照合同以及我国法律的相关规定进行认定、处理。但由于第三方支付的特殊性,笔者将在下文对几个支付过程中常见的问题进行分析。
(1)沉淀资金及其利息的归属
因交易延时支付所导致的资金沉淀在第三方支付平台营运商手中,围绕该资金及其利息的所有权归属,实务中以及法理层面都存在争议。在第三方支付系统中,支付的账务处理与支付指令的处理并不同步,交易环节和支付结算环节的资金流是先由买方到第三方支付平台,等第三方支付平台得到买方确认授权付款后,再由第三方支付平台将资金转给卖方。
由于沉淀资金及利息收入都是来自于用户通过第三方支付公司的付款行为,为了界定其权益归属,应该着眼于第三方支付公司与用户之间的民事法律关系。根据我国《合同法》第365条关于“保管合同”的规定,消费者将货款交付给第三方支付平台,由其代为保管时,双方之间形成了保管合同关系;根据《合同法》第396条关于“委托合同”的规定,该部分资金随后因延时交付或延期清算而形成第三方平台的沉淀资金,当第三方支付平台接受消费者支付货款的指令,将该货款支付给商家时,双方形成了一种委托合同关系。比如支付宝在与用户签订的《支付宝服务协议》中明确指出,“支付宝服务是我们向您提供的非金融机构支付服务,是受您委托代您收付款的资金转移服务。收付款服务是指我们为您提供的代为收取或代为支付款项的服务。”
根据“保管合同”、“委托合同”的法理,所有权归委托人即用户所有。因此,沉淀资金的利息归属就比较清晰了。该利息收入是沉淀资金所产生的法定孳息。根据我国民法的所有物与孳生物原理,孳息应当属于原物所有人即用户所有,除非根据协议约定孳息归属。因此,如果第三方支付公司非法占有沉淀资金及其利息,则应当向用户承担侵权责任。
(2)未经授权支付的责任承担
在互联网第三方支付的情况中,未经用户授权支付具体是指因用户银行卡遗失、账户密码被盗或其他原因导致未授权人使用用户互联网第三方支付平台账户发出支付指令,从而导致用户资金受损的情况。在这种情况下,一般需要视用户与互联网第三方支付机构的服务协议中有无规定而定。如《支付宝服务协议》中明确规定,若用户发现有人冒用、盗用等造成的账户名和密码泄露,应在合理期限内以有效方式通知支付宝公司,若支付宝公司未在合理时间内采取有效措施,导致损失扩大的,对于扩大损失,由支付宝公司承担。如果不存在相关协议,则应该结合具体案情,按照法律规定进行责任认定,一般是运用“谁主张、谁举证”的规则进行认定。
此外,由于在用户使用支付服务的过程中,第三方支付公司往往会提供相关“安全程序”,以确保用户支付行为的安全性,而该“安全程序”对于未授权支付责任的承担有着很大的影响。所谓安全程序,是支付指令接受银行与其客户约定的一种确保电子数据真实性的程序,其目的在于证实支付指令或其修改、取消指令为该客户所签发,或者查明指令在内容或传送的错误。例如,支付宝研发的CTU风控手段(“风控大脑”),就是根据支付设备、位置、行为、习惯、偏好等细分为1万多条风险策略,以此来判断该支付指令是否由客户本人发出。只要不是主人操作,哪怕是掌握密码也不行。比如每个人触控手机屏幕的方式不同,借助手机上的传感器,通过指压、接触面积、连续间隔时间等,来判断是否是主人操作。事实证明,CTU风控手段的运用,的确大幅降低了支付宝的支付风险,其支付差错率低至1/10万,大大低于VISA和PayPal的差错率。若支付机构提供的“安全程序”存在瑕疵,则可以认定其存在过错,应当承担部分责任。关于如何认定“安全程序”是否具有商业合理性,本文认为,在目前的支付环境下,如果支付公司具有“商业合理性”,就可以认定为合法的“安全程序”(需由第三方权威组织的鉴定)。若指令经过安全程序的检测,则所产生的一切法律后果由客户承担。反之,由第三方支付公司承担相关责任。
笔者检索两个关于“未经授权支付产生的责任承担”案件
第一:陈某与兴业银行股份有限公司成都某支行借记卡纠纷、金融借款合同纠纷案
【案情简介】
2012年3月28日,陈某在兴业银行办理借记卡开户,2014年3月22日,陈某在支付宝公司进行实名注册,后陈某支付宝账户绑定兴业银行的涉案借记卡。2014年4月14日,陈某申请开通短信口令、网上支付、网上银行以及手机银行转账汇款等功能。2015年6月6日,陈某的兴业银行账户向某工商银行账户完成多笔转账,合计金额55015元。2015年6月6日,陈某的手机、涉案借记卡以及身份证都由其掌控。陈某称2015年6月6日未操作过余额宝提现、银行卡网上支付以及转账。陈某认为,其与兴业银行之间系储蓄合同关系,其与支付宝公司系理财合同关系,基于此合同关系,兴业银行与支付宝公司未尽到安全注意义务,提供的证据均系单方制作,且无任何其他客观证据予以佐证,要求兴业银行与支付宝公司承担违约责任,全额返还资金本息。
【判决结果】
法院认为:涉案款项5万元从余额宝提现到陈某的兴业银行借记卡,需输入登录密码,登录支付宝账户,支付时还需输入支付密码。支付宝的账户名、登录密码、以及支付密码由陈某设置并保管,支付宝公司按照协议约定在接受指令后完成向陈某绑定的银行卡支付。陈某未提交证据证明支付宝公司在此过程中违反合同约定或法定义务。判决,陈某请求兴业银行与支付宝公司给付55015元及利息的诉讼请求无事实及法律依据,不予支持。
第二,人人贷商务顾问(北京)有限公司、林世忠借记卡纠纷二审民事判决书
【案情简介】
2014年2月19日,林某向农行某支行申请办理了IC借记卡(普通卡),同时开通了电子银行业务。之后该卡发生过多笔交易,包括支付宝和网银等方式的款项支付。2015年7月18日,林某以个人身份向某第三方支付机构注册了账户。2015年7月24日,邮储银行办理了一个开户业务,申请人以“林某”之名。2015年8月6日20时28分24秒,林某农行卡存款23426元被转出至某第三方支付机构。2015年8月6日20时28分40秒,林某在某第三方支付机构注册账户充值23426元。2015年8月7日,户名为“林某”的邮储账户入账23426元。后林某向公安机关报案,且向法院起诉要求农行某支行、邮储银行、某第三方支付机构承担赔偿责任。一审法院判决农行某支行、邮储银行、某第三方支付机构三方均承担责任。某第三方支付机构不服上诉。
【判决结果】
二审法院认为:上诉人某第三方支付机构在申请人以“林某”的名义注册昵称为“××”的账户过程中,通过填写的手机号进行了短信验证;账户完成注册后,对开立账户的申请人进行了真实身份证号码安全验证,申请人提交的身份证号码与被上诉人林某的身份证号码相同。因此,上诉人在“林某”注册账户的过程中已经尽到了合理的注意义务,其审核过程的安全措施符合一般的行业要求,没有过失。“林某”充值和转款,必须通过其在相关其他商业银行开立的同名账户进行,并应填写在该银行账户开户时预留的手机号码进行短信验证,转出款项的银行在核对手机短信验证号码准确后,才会将款项转入或转出某第三方支付机构的账户。回到本案的实际情况中,如果农行某支行履行了自己的安全保障义务,向上诉人预留的手机号码发送了手机短信验证码,那么可以避免案涉款项的错误转出;如果邮储银行尽到了基本的注意义务,那么持有与公安机关发放的真实身份证的有效期限不一致的那位“林某”,是不可能申领邮政储蓄银行卡成功,也可以避免案涉款项的错误领取。因此,造成被上诉人案涉款项的损失,过错在原审被告农行某支行和邮储银行。上诉人某第三方支付机构在被上诉人款项被他人领取的过程中,没有过错,不需要承担上诉人款项损失的连带赔偿责任。上诉人的上诉理由成立,本院予以采纳。
针对以上两个案例,笔者认为法院在认定第三方支付公司的责任认定时一般遵守以下三个判断标准,即合同约定、谁主张谁举证和第三方支付公司安全程序是否符合规定。从第一个案例中可以看出,涉案款项从余额宝提现到案涉借记卡,需输入登录密码、登录支付宝账户、支付时还需输入支付密码,陈某设置相关密码并应妥善保管。支付宝公司按照协议约定在密码正确的情况下接受指令后完成向陈某绑定的银行卡支付,支付宝账户与银行账户系陈某本人相同户名,均在陈某名下,不会造成损失,支付宝公司的行为并无不当,故其主张支付宝公司基于违约承担责任的上诉理由不成立。在第二个案例中,第三方支付公司所有的支付流程完全符合合同约定和安全规则,应视为第三方支付公司的安全机制运作良好。例如,第三方支付公司在检测到客户的支付账户登录异常后需要及时采取发送风险提示邮件、临时关闭支付账户、手机校验及电话核实个人信息等措施,还可根据客户要求进行扫描二维码、声波支付等身份识别方式。如果第三方支付机构在非授权交易情形下实施了上述行为,即可免责。
(3)基于格式条款的违约责任认定
在电子支付的环境下,经常会出现失误或迟延支付的现象。第三方支付中,在客户同意指令之后,第三方支付公司存在未完全支付、未及时支付或者未支付等违约行为,应当依照合同规定承担责任。但在现实中,由于第三方支付公司占据主导地位,往往通过格式条款减少自身责任,扩大用户义务即把该承担的责任转嫁给了客户,单纯的依照合同约定来认定第三方支付公司违约责任的做法显失公平。因此,笔者认为存在格式条款的前提下,应该依据《合同法》第40条认定为无效,按照实际情况依法认定违约责任。出现违约事实,首先应该从具体情况推定致害一方的当事人在主观上有过错。当事人认为无过错,需要承担举证责任。证明成立,可以免责,否则,构成违约责任,如造成对方损失,还须承担损害赔偿责任。但应该对其违约责任有所限制,按照“可预见性原则”,应限于退还收取的资金划拨费用或补足差额、赔偿用户资金利息损失等,不承担赔偿用户商业性间接经济损失,同时赋予第三方支付公司向其他最终责任人追偿的权利,这样做有利于平衡各方当事人利益。
(4)消费者权益保护责任承担
消费者权益保护的初衷即对市场交易中的弱势群体进行倾斜保护,以维护当事人意思自治和市场交易的安全性。在第三方支付交易市场中,由于消费者在经济实力、信息获取、专业技术等方面的弱势地位较为明显,因此消费者在选择第三方支付公司进行支付交易的过程中自身的合法权益容易受到侵害。除了传统的《消费者权益保护法》《民法通则》和《合同法》对消费者权益保护做出了规定,《办法》及其实施细则针对第三方支付公司中沉淀资金的管理以及消费者网络账户资金可能存在的安全风险等问题也明确了相应的解决措施,在一定程度上保障了消费者的权益。2015年12月,中国人民银行为又专门发布了《非银行支付机构网络支付业务管理办法》(以下简称为《业务管理办法》),该《业务管理办法》对2010年《办法》的不足之处进行了填补,对第三方支付平台中消费者权益的保护起到了重要的作用。专门设立了第四章“风险管理和客户权益”对消费者在支付交易中存在的风险进行保护性规定,要求支付机构必须建立健全相应的风险准备金以及交易赔付的制度,在不能提出充足证据证明是因消费者原因导致其资金损失的时候,应先全额赔付,这一做法突出了对消费者合法权益的保障。因此,第三方支付公司除了履行一般法律对于消费者权益保护的规定,还应该严格依照中央人民银行的有关规章制度保护消费者合法权益。
(二)刑事责任
目前《办法》对于第三方支付公司的刑事规定主要是一些模糊规定,仅仅规定了“构成犯罪的,依法追究刑事责任”,并未做出具体规定,因此笔者认为有必要对第三方支付公司的刑事责任进行进一步探究。
1.未经许可提供第三方支付服务可能涉嫌非法经营
《办法》明确了第三方支付是非金融机构,应该纳入到我国的金融监管体系。《办法》第3条明确规定非金融机构提供支付服务,应当依据本办法规定取得《支付业务许可证》,成为支付机构。支付机构依法接受中国人民银行的监督管理。未经中国人民银行批准,任何非金融机构和个人不得从事或变相从事支付业务。对于申请许可做出严格的规定,因此从事第三方支付必须取得支付业务许可证。然而现实中有些提供第三方支付的公司,在未得到经营许可的情况下为他人的交易活动提供服务的行为属于《刑法》规定的非法经营。在其情节严重的情况下,司法机关可以认定构成非法经营罪,给予刑事处罚。
2.非法占有沉淀资金及孳息可能涉嫌侵占或者非法吸收公众存款
通过前文分析,第三方支付公司对沉淀资金及其孳息只有保管的权利,并无法律上的所有权。在第三方支付活动中,第三方支付公司只有占有的权利,并无使用、收益和处分的权利。在第三方支付公司转给经营者之前,对于所涉钱款,消费者与第三方支付公司之间形成债权与债务关系,原则上,只要第三方支付公司未将钱款转给经营者,消费者有权随时索回;至于钱款,对个别消费者而言所涉数额可能很小,但众多消费者的钱款在第三方支付公司的账户沉淀后,若第三方支付公司并不是立即将钱款转付给经营者,那么在第三方支付公司的账户上就会形成沉淀资金,大多数第三方支付公司会将沉淀资金转存于专门的银行账户,而有些第三方支付公司则可能会直接占有沉淀资金。但有些第三方支付公司并未将沉淀资金存放至固定的银行账户,这种做法违反了相关规范,如中国人民银行于2013年6月7日发布的《支付机构客户备付金存管办法》。在此情况下,第三方支付服务提供者涉嫌侵占罪或者非法吸收公众存款罪,存在被追究刑事责任的风险。
3.由于用户存在非法交易行为而成为犯罪工具时可能涉嫌洗钱、信用卡诈骗等
由于第三方支付公司只是个平台,本身不介入用户之间的交易活动,因而在缺乏必要审核渠道的情况下,无法避免用户合意的非法交易活动,在这种情况下,第三方支付公司可能涉及以下犯罪:一是构成帮助网络犯罪活动罪,根据刑法修正案(九)的规定,明知他人利用信息网络实施犯罪,仍为其提供支付、结算等帮助,情节严重的,将构成帮助信息网络犯罪活动罪。二是容易触碰洗钱类犯罪红线,现实中,虚构网络交易和利用木马洗钱犯罪活动频发。因此,第三方支付机构需要全方位注意监测支付双方的情况,履行法定报告义务。三是滋生逃汇、骗汇类犯罪。跨境支付服务通过互联网传递交易信息、完成交易流程,缺少书面纸质凭证,增加了监管难度,容易滋生此类犯罪。在用户存在非法交易的情况下,第三方支付公司应该承担何种法律责任呢?笔者认为应当将第三方支付公司是否尽到充分审查他人交易内容的义务作为首要判断标准,如果能够尽到充分审查的义务那么就可以免责,如果没有履行义务或者履行不充分,则存在被苛责的可能性。如果存在非法经营即未取得支付业务许可证、不具有经营条件时,为了谋取经济利益,在主观上放任用户之间的非法交易,则应当被追责,成立相应犯罪的共犯,从而面临刑事处罚。
4.不当处理用户的个人信息可能涉嫌侵犯公民个人信息
在电子商务时代,为了生活的便利与交易的快捷,用户往往不加防备的就将个人信息自愿告知第三方支付公司,在这一情形下,用户十分容易面临信息被侵害的危险——第三方支付机构违法运用客户信息和自行收集客户信息。在违反运用客户信息的情形下,用户在使用第三方支付事需要提供具体信息,比如姓名、性别、身份证号码或者营业执照编码、开户行名称及银行账号、收货地址或者经营场所等。但第三方支付公司在获得这些信息后并非只是在本次交易或者类似交易中使用,而是可能运用支付公司其他金融业务中;此外,若支付公司被收购或与其他商业公司合营,则会出现原来收集的信息被传递到新的公司中,这显然不是用户自愿提供信息的初衷。在自行收集客户信息的情形下,用户通过第三方支付公司购买、销售商品、服务的过程中会留下相应的交易活动记录,由于大数据的运用,第三方支付公司很容易获取用户的基本信息,在自行收集用户信息后用于热点推送、广告推广,这是非常有利于企业发展的方式。但在没有明确许可的情况下,根据隐私权保护规则,第三方支付公司即使自行收集了用户信息,但不能自行对留存信息进行分析、梳理并直接使用,否则将涉嫌非法侵犯公民信息安全罪。
(三)行政责任
央行于2016年3-5月期间对通联支付网络服务股份有限公司、银联商务有限公司开展了银行卡收单业务检查。经核查,上述两家公司存在未落实商户实名制、变造银行卡交易信息、为无证机构提供交易接口、通过非客户备付金账户存放并划转客户备付金、外包服务管理不规范等严重违规现象。根据相关法律,央行对银联商务和通联支付数罪并罚,没收通联支付违法所得303.38万元,处以罚款1110.13万元,对其总公司及4家分公司相关责任人给予警告并处罚款;依法没收银联商务违法所得613.43万元,处以罚款2653.7万元,对其总公司及5家分公司相关责任人给予警告并处罚款。两家公司被没收违法所得约916.81万元;处罚约3763.83万元。共计4680.64万元的巨额罚单也创出第三方支付监管以来的处罚金额历史之最。可见国家对第三方支付公司的监管之严。
目前《办法》对于第三方支付公司的行政责任主要集中于对“主体资格”的监管,但这样的规定是片面的,实践中,仍存在一些问题《办法》尚未涉及,这些问题也正是当前第三方支付急需解决的问题。
1.协助税收征管的责任
在电子商务领域,我国目前相关的税收政策较为宽松,但随着电子商务交易规模的日益扩大,对电子商务进行征税必然会提上议事日程。由于网上交易的特点,决定了政府难以直接掌握有关纳税义务人的具体交易信息。虽然根据《税收征收管理法》的规定,银行等金融机关有协助税收征管的法律责任。但是,电子商务进行的产销直接交易,降低了传统中介机构,如银行和代理商的作用。而第三方支付公司作为网络服务经营者以及网络交易信息的直接处理者,因其经营业务内容具有低成本、较准确获取交易信息的便利条件,对于相关税收的征管检查,其应当负有协助义务。若第三方支付公司违反了相应的义务,应承担法律责任。
2.协助信用卡非法套现监管
在实践中,第三方支付公司已然成为信用卡非法套现的重灾区。实践中,与利用银行pos机套现相比,利用第三方支付公司套现成本更低,也更为简便,因此其负面影响也更大。由此可见,在法律上明确第三方支付公司在信用卡非法套现监管方面的义务十分重要。具体来说,可以采用提高客户利用信用卡套现的成本,设置重点监控机制,对多次恶意套现者及时向信用卡发卡行和监管部门汇报等方式,充分利用支付机构自身的技术优势,信息优势,做好防范工作,保持金融业的稳定发展。
3.格式条款接受行政控制的责任
第三方支付公司往往通过提供格式条款来提高用户注意义务,这一做法不利于保护用户的合法权益,因此有必要得到控制与规范。如果每个关于格式条款的纠纷都诉诸法院,这对于司法资源来说是一大浪费,因此要借助行政力量进行规制。比如上海制定了《格式合同管理办法》,要求九类格式合同必须在工商行政管理机关备案。笔者认为虽然政府干预色彩较为严重,但对于司法效率的提升和用户权益的保障具有一定的意义。
四、完善第三方支付的相关建议
(一)加快相关法律的制定与出台
1.在现有法规的基础上,建立全方位、多层次的针对第三方支付机构的法律体系
具体建议如下:一是借鉴发达国家经验,制定电子资金划拨方面的法律法规,提升监管的法律层次;二是尽快制定与《非金融机构支付服务管理办法》相配套的法规和办法,如预付卡业务管理办法、反洗钱管理办法、备付金管理办法等,通过细化监管措施提高可操作性;三是要有发展眼光,对于未来的第三方支付市场可能存在的各种问题,提前制定好如网络购物管理办法、银行卡管理办法等条例法规;四是加强第三方支付行业的行业自律作用,制定自律公约,要求企业自觉维护市场秩序。条件成熟,还可以将有关第三方支付的部门规章上升为行政法规或法律,增强其效力等级。
2.提高消费者保护力度,制定相关的消费者权益保护法
明确《非金融机构支付服务管理办法》中有关消费者保护的规定,明确并制定严格的具体处罚条款;在央行内部成立相关的消费者保护机构,专门用于处理第三方支付交易中出现的金融投诉及纠纷事宜;普及和加强对第三方支付消费者关于第三方支付流程和风险方面的教育,提高消费者安全意识,从源头上减少此类纠纷和案件的发生。
3.遵循刑法原则,加强判例指导
网络犯罪在行为上不如传统犯罪明显,结果也可能不直观,对其进行规制需要司法实践者的理性思维和对刑法原则的深入理解。另外,当前对网络犯罪的定性和量刑并无统一的标准,典型案例的指导可就特定类型的网络犯罪形成相对一致的法律规则或原则,使其具有普适性,最大程度实现“同案同判”。
(二)加强对第三方支付的监管
1.完善第三方支付监管立法
首先,我国虽然制定了《办法》,但其仅是一部部门规章,在我国的法律层级划分体系中,法律效力层级比较低,可以采取的监管和处罚方法有限。其次,《管理办法》仅对各类支付服务业务规则、沉淀资金管理、消费者保护、反洗钱等做了原则性规定,可操作性较差,有必要尽快制定相应的配套办法。再次,与第三方支付有关的刑事立法、民事立法也有待进一步完善。
2.构建多层级监管机构
《办法》将中国人民银行确定为非金融机构支付服务(第三方支付服务)的主管机关。然而,由于互联网第三方支付行业的多重性质,单就人民银行一家,很难进行全面监管。笔者认为,应当建立起以中国人民银行为主,银保监会及工信部门、商务部门、工商部门、公安部门、税务部门等多个监管主体为辅,协同人民银行做好第三方支付监管工作,来对网络第三方支付进行多方位的监管,加上行业自律的互联网第三方支付行业监管体系。
3.构建分级监管模式
准确监管定位,构建分级监管模式。第三方支付属于非金融机构,禁止其从事资金转移外的行为,但目前对其注册资本金及备付金的要求几乎与银行的注册资本金及资本充足率的要求等同。笔者认为,应将第三方支付机构的角色与监管对应起来,构建分级监管模式。
(三)第三方支付公司
必须取得支付业务许可证;做好风险防控,明确合同义务,做好格式条款提醒;充分审查用户内容,完善工作流程;合法收集适用用户信息,不得未经用户同意擅自使、不得用于其他非法用途;建立与客户备付金管理相关的内部控制机制、强化用户备付金管理,完善支付机构内部管理架构,设立独立的客户备付金管理部门,确保用户备付金必须与支付机构自有资金两户分离,分别管理。
(四)用户
认真学习法律,依据《消费者权益保护法》可以请求第三方支付公司进行赔偿,依据《非银行支付机构网络支付业务管理办法》相关规定,用户可以向第三方支付公司主张“先行赔付”即当客户发生资金损失时,现由支付机构为客户无条件赔付,之后再由支付机构协助公安部门调查案件,追偿损失。
结语
第三方支付公司面临着主体资格、资金沉淀、消费者权益保护等诸多法律问题,当前的立法一定程度上解决了上述问题,但仍存在不足之处,笔者希望通过本文对我国第三方支付公司法律责任的相关分析,以及对我国今后在第三方支付行业的立法与监管提出的相应完善建议,能对我国第三方支付行业的发展有所裨益。