網上支付法制環境論文

時間:2022-09-04 09:29:00

導語:網上支付法制環境論文一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

網上支付法制環境論文

關鍵字:支付建設網上法制環境

2005年,網上支付市場的快速發展無疑是我國電子商務領域的立法者、業者和用戶關注的最大焦點之一。我國網上支付用戶占使用互聯網用戶數的比例從2004年前的17%增長到26%,第三方網上支付平臺市場2001年是1.6億元,2004年該規模增長為23億元,預測2007年中國第三方支付平臺網上支付平臺市場規模將達215億元左右。

第三方支付平臺的出現,體現了支付方式的變革。作為首都電子商務工程的核心成果--首信“易支付”具有網上支付、電話支付、手機支付、短信支付、wap支付和自助終端,采用二次結算模式,可做到日清日結。2005年2月,由阿里巴巴旗下的淘寶網聯合中國工商銀行、建設銀行等國內多家金融機構共同打造出了“支付寶”交易服務工具。4月7日,從事多元化電子支付應用及服務的通融通公司推出yeepay電子支付平臺,進軍國內電子商務支付市場。5月12日,云網正式推出企業級在線支付系統“支付@網”。5月20日,網銀在線攜手visa國際組織共同宣布在中國電子商務在線支付市場推廣“visa驗證服務”信用卡安全支付標準,期望提高在線支付的便捷性和安全性。7月11日,全球最大的在線支付商paypal宣布落地中國,雖然舍棄了paypal賴以成名的信用卡劃賬和多幣種跨國交易,但這個起名“貝寶”的第三方支付平臺仍然引起了同行的注視和商家的關注。10月,騰訊公司推出“財付通”,進軍網上支付領域。而據有關人士粗略估計,目前我國提供網上第三方支付服務的機構已不下50家!

可以說,2005年已經成為網上支付年。而相應的網上支付的法律問題也得到了人們更多關注,焦點主要集中在支付安全的法律保障、風險責任的承擔、網上支付服務的規范、電子貨幣的合法性、第三方支付平臺的合法性等多個方面。而中國人民銀行的《電子支付指引(第一號)》(中國人民銀行10月26日公告[2005]第23號,以下簡稱“《指引》”的出臺無疑使人們的關注點又一次聚焦。那么,該《指引》將怎樣影響我國電子支付的發展,網上支付所面臨的一系列法律與安全問題能否通過該《指引》得到解決,第三方支付服務平臺該如何得到規范和發展,電子支付法律環境的建設從該《指引》開始又將怎樣陸續得到完善?我們希望通過一些簡要的分析來探索這一進程。

一、對《電子支付指引(第一號)》的總體印象

我國的電子支付近年來發展非常迅速,新興電子支付工具不斷出現,電子支付交易量也不斷提高,已逐步成為我國零售支付體系的重要組成部分,這些都迫切要求我們就電子支付活動的業務規則、操作規范、交易認證方式、風險控制、參與各方的權利義務等進行規范。從而防范支付風險,維護電子支付交易參與者的合法權益,確保銀行和客戶資金的安全。總體來看,目前我國電子支付的法律環境基本處于空白階段,電子支付的發展又呈現發展快、涉及范圍廣、環節多、形式多樣等趨勢,伴隨著這些新特點的是更多新的問題,這些問題都有待我們通過電子支付的法制化建設逐步予以解決。

《指引》的對銀行從事電子支付業務提出指導性要求,對規范和引導電子支付的發展提供了基礎。

《指引》以銀行與客戶關系為主線,以規范電子支付、強化電子支付安全性為主要內容,將“以規范促發展、在規范中發展”作為基本原則,以指引相對靈活的形式全面規范電子支付行為;涉及電子支付各方權利義務、責任、安全保障、信息披露、差錯處理等多個關鍵環節。《指引》的出臺和實施,無疑有利于以下幾個方面:推動電子銀行業務和電子商務的健康、有序發展;明確電子支付活動參與各方的權利義務,防范支付風險;推動支付工具創新,提升支付服務質量;防范和打擊洗錢及其它金融違法犯罪活動。此外,《指引》是人民銀行通過規范性文件的方式來引導和規范電子支付的,在未來有可能再上升至相應的規章或法律法規。2可以說,《指引》開啟了我國電子支付法制化建設的大門!

二、《指引》的適用范圍

《指引》所稱的電子支付是指單位、個人直接或授權他人通過電子終端發出支付指令,實現貨幣支付與資金轉移的行為。電子支付的類型按電子支付指令發起方式分為網上支付、電話支付、移動支付、銷售點終端交易、自動柜員機交易和其他電子支付。

《指引》的規范主體主要是銀行及接受其電子支付服務的客戶。根據參與主體的不同,電子支付至少可以區分為幾類:銀行之間、銀行與其客戶之間以及其他支付服務組織與其客戶之間的電子支付。隨著電子商務的發展,作為銀行向客戶提供的新型金融服務產品,大量的電子支付服務面對的是個人消費者和商業企業在經濟交往中產生的一般性支付需求——服務對象數量眾多、支付需求千差萬別,與人們日常生活息息相關,社會影響廣泛。故此,保證這類電子支付系統的獨立性和效率非常重要。這類電子支付參與主體眾多,涉及銀行、客戶、商家、系統開發商、網絡運營服務商、認證服務提供機構等,其中銀行與客戶之間的關系是這類電子支付賴以存在的基礎和前提。因此,《指引》以調整銀行和客戶之間的關系為主線,引導和規范境內發生的銀行為客戶提供的電子支

付業務。在商業銀行、第三方電子支付公司、安全認證機構、商戶以及用戶等組成的電子支付產業生態圈中,《指引》解決的是銀行與支付公司這一核心紐帶。而對于更多的第三方電子支付平臺而言,“是技術公司還是金融公司”的爭議將告一段落。與此同時,商業銀行與支付公司之間的關系也在經歷悄然調整的過程,過去的合作伙伴也許就是明日強勁的競爭對手,誰能在市場角逐中成為最大贏家,尚待在第二號和第三號指引出臺后方能一窺端倪。

三、《指引》所體現的七個基本原則

第一,循序漸進原則:由于電子支付活動中支付工具和支付方式的復雜性、參與主體的多樣性以及其不斷而快速的創新,通過一個《指引》進行全面規范的難度較大。因此,針對電子支付業務的特點、模式和參與主體的不同,綜合不同發展階段的管理要求,陸續出臺相應的“指引”,以對電子支付進行更為全面的規范,這就是循序漸進的原則。目前,人民銀行已經著手研究電子支付過程中涉及到的虛擬電子貨幣、非銀行支付服務組織的電子支付業務規范等問題。這些可能就是我們即將看到的電子支付指引第二號、第三號。從遠期的立法計劃而言,我們還需要與電子支票、電子發票的合法性直至電子資金劃撥法有關的規定。

第二,安全第一原則:有鑒于電子支付的高技術性、虛擬性、無國界性和網絡世界種種黑客縱橫、病毒頻出、欺詐肆虐的現實,高度的安全風險無疑是我們開展電子支付最大的敵人。《指引》通篇突顯了一個焦點問題,那就是電子支付的安全性。從《指引》要求銀行采用符合有關規定的信息安全標準、技術標準、業務標準;建立針對電子支付業務的管理制度,采取適當的內部制約機制;保證電子支付業務處理系統的安全性,以及數據信息資料的完整性、可靠性、安全性、不可否認性;提倡使用第三方認證,并應妥善保管密碼、密鑰等認證數據等一系列規定和制度設計來看,都是圍繞著安全性出發的。

第三,以規范促發展原則:目前,我國電子支付業務處于創新發展時期,涉及電子支付業務的許多法律問題仍處于研究和探索階段。尤其令人關注的是第三方支付平臺的合法性問題,究竟應按照金融機構的要求來規范它們,抑或按照一種第三方中介服務的模式對其進行管理?這不但直接關系著第三方支付業的生存和發展,也是我國進一步發展電子支付所面臨的最為棘手的問題之一。

為了給電子支付業務的創新和發展創造較為寬松的制度環境,以促進電子支付效率的提高,保障電子支付安全,我國監管部門通過先以“指引”這種規范性文件的方式引導和規范電子支付行為,待條件成熟后再上升至相應的部門規章或法律法規,體現了監管部門審慎負責的態度和“在發展中規范,以規范促進發展”的指導思想。

第四,重點突破原則:如前所述,個人和企業在經濟交往中產生的一般性支付需求數量眾多且與人們日常生活息息相關,對社會影響廣泛。電子支付參與主體眾多,涉及銀行、客戶、商家、第三方支付平臺、系統開發商、網絡運營服務商、認證服務提供機構等,而各個參與者之間都存在著各種各樣的復雜關系。欲全面理順這些關系、明確各方的權利義務絕非易事,若不能針對其中的主要矛盾解決問題,就很可能陷入顧此失彼的尷尬局面。在這些復雜的關系中,銀行與客戶之間的關系是這類電子支付賴以存在的基礎和前提,相關的第三方支付平臺、系統開發商、網絡運營服務商、認證服務提供機構等都是為他們服務的。所以,《指引》以調整銀行和客戶之間的關系為主線,進而逐步達到明確規范各方關系的目的。

第五,用戶至上原則:由于電子支付本身的高技術性、多樣性和多環節性,在調整以銀行--用戶關系為主線的各類關系中,最大的難點無疑就在于如何平衡各方的權利義務關系。這種平衡一方面必須能體現法律的公平、合理、權利與義務一致的原則,另一方面應具有可操作性。絕對的平衡一般是不可能的,相對的平衡就在于發生利益沖突時以何者之利益為先,縱觀《指引》,得出的答案應該是用戶。所以《指引》第四十二條規定:“因銀行自身系統、內控制度或為其提供服務的第三方服務機構的原因,造成電子支付指令無法按約定時間傳遞、傳遞不完整或被篡改,并造成客戶損失的,銀行應按約定予以賠償。因第三方服務機構的原因造成客戶損失的,銀行應予賠償,再根據與第三方服務機構的協議進行追償。”第四十七條規定:“因不可抗力造成電子支付指令未執行、未適當執行、延遲執行的,銀行應當采取積極措施防止損失擴大。”第二十七條規定:“銀行使用客戶資料、交易記錄等,不得超出法律法規許可和客戶授權的范圍。銀行應依法對客戶的資料信息、交易記錄等保密。除國家法律、行政法規另有規定外,銀行應當拒絕除客戶本人以外的任何單位或個人的查詢。”

第六,規范技術應用關鍵環節的原則:在《指引》中,電子支付包括網上支付、電話支付、移動支付、銷售點終端交易、自動柜員機交易等各種形式;涉及計算機、電話、銷售點終端、自動柜員機、移動通訊工具等多種終端設備,可以說,技術性極強;而不同技

術應用模式的具體應用環境、安全性要求等也往往存在較大的差別。如果我們把規范的落腳點放在一些技術細節上,就可能導致我們疲于應付的局面,所以唯有抓住各類應用模式普遍具備的一些關鍵環節進行約束,才能起到事半功倍的效果。也因此在該《指引》中,明確了諸多要求,譬如要求銀行應與客戶簽訂協議,客戶終止電子支付協議應提出電子或書面申請;銀行應采取有效措施保證電子支付業務處理系統中的職責分離,應確保對電子支付業務處理系統的操作人員、管理人員以及系統服務商有合理的授權控制;應與開展電子支付業務相關的專業化服務機構簽訂協議,并確立一套綜合性、持續性的程序,以管理其外包關系等,這些都是非常關鍵的環節,確保了對這些環節的有效控制,才能基本上解決支付中的各種主要問題。

第七,貫徹落實電子簽名法原則:作為在《中華人民共和國電子簽名法》(《電子簽名法》)實施半年后出臺的規定,《指引》在數據電文的有效性、電子簽名的應用、電子認證的推廣等方面都提出了明確的要求,是到目前為止我們看到的貫徹《電子簽名法》最為全面、徹底的一部規定,這尤其體現在《指引》第五條3、第九條4、第十條5、第二十五條6和第三十四條7。

四、《指引》的主要內容——五大基本制度的設計

1、電子支付活動中客戶和銀行權利義務的基本規定

《指引》明確要求,客戶申請電子支付業務,必須與銀行簽訂相關協議,并對協議的必要事項進行了列舉。銀行有權要求客戶提供其身份證明資料,有義務向客戶披露有關電子支付業務的初始信息并妥善保管客戶資料。

《指引》要求客戶應按照其與發起行的協議規定,發起電子支付指令;要求發起行建立必要的安全程序,對客戶身份和電子支付指令進行確認,并形成日志文件等記錄;要求銀行按照協議規定及時發送、接收和執行電子支付指令,并回復確認。同時還明確了電子支付差錯處理中,銀行和客戶應盡的責任。

2、信息披露的制度設計

為維護客戶權益,《指引》要求辦理電子支付的銀行必須公開、充分披露其電子支付業務活動中的基本信息,尤其強調對電子支付業務風險的披露,并對銀行作出如下要求:

明示特定電子支付交易品種可能存在的全部風險,包括該品種的操作風險、未采取的安全措施、無法采取安全措施的安全漏洞;

明示客戶使用特定電子支付交易品種可能產生的風險;

提醒客戶妥善保管、妥善使用、妥善授權他人使用電子支付交易存取工具。

建立電子支付業務運作重大事項報告制度,按有關法律法規披露電子支付交易信息,及時向有關部門報告電子支付業務經營過程中發生的危及安全的事項。

3、電子支付安全性的制度設計

安全性是電子支付的重中之重。《指引》要求銀行采用符合有關規定的信息安全標準、技術標準、業務標準;建立針對電子支付業務的管理制度,采取適當的內部制約機制;保證電子支付業務處理系統的安全性,以及數據信息資料的完整性、可靠性、安全性、不可否認性;提倡使用第三方認證,并應妥善保管密碼、密鑰等認證數據;明確銀行對客戶的責任不因相關業務的外包關系而轉移,并應與開展電子支付業務相關的專業化服務機構簽訂協議,確立綜合性、持續性的程序,以管理其外包關系;同時還要求銀行具有一定的業務容量、業務連續性和應急計劃等。

《指引》還要求銀行根據審慎性原則,針對不同客戶,在電子支付類型、單筆支付金額和每日累計支付金額等方面作出合理限制。同時,明確提出了在三種情況下的具體金額限制:“銀行通過互聯網為個人客戶辦理電子支付業務,除采用數字證書、電子簽名等安全認證方式外,單筆金額不應超過1000元人民幣,每日累計金額不應超過5000元人民幣。”、“銀行為客戶辦理電子支付業務,單位客戶從其銀行結算賬戶支付給個人銀行結算賬戶的款項,其單筆金額不得超過5萬元人民幣,但銀行與客戶通過協議約定,能夠事先提供有效付款依據的除外。”、“銀行應在客戶的信用卡授信額度內,設定用于網上支付交易的額度供客戶選擇,但該額度不得超過信用卡的預借現金額度”等。這些措施對防范電子支付風險,保障客戶資金安全將發揮積極作用。

5、電子證據合法性的制度設計

《指引》以《電子簽名法》為法律依據,進一步確認了電子證據的法律效力和實際可采性。如《指引》第五條規定:“電子支付指令與紙質支付憑證可以相互轉換,二者具有同等效力。”從原則上確定了電子證據的證據效力。第九條規定:“銀行應認真審核客戶申請辦理電子支付業務的基本資料,并以書面或電子方式與客戶簽訂協議。銀行應按會計檔案的管理要求妥善保存客戶的申請資料,保存期限至該客戶撤銷電子支付業務后5年。”這又從制度上保證了訴訟期間相關證據的可采納性。此外,《指引》第十條規定:“銀行為客戶辦理電子支付業務,應根據客戶性質、電子支付類型、支付金額等,與客戶約定適當的認證方式,如密碼、密鑰、數字證書、電子簽名等。認證方式的約定和使用應遵循《中華人民共和國電子簽名法》等法律法規的規定。”這又進一

步從操作的層面保證了電子證據的可采納性。

另一方面,《指引》還從交易和管理的角度鼓勵合理保存、采用電子證據。例如第十八條規定“發起行應采取有效措施,在客戶發出電子支付指令前,提示客戶對指令的準確性和完整性進行確認”;第十九條規定“發起行應確保正確執行客戶的電子支付指令,對電子支付指令進行確認后,應能夠向客戶提供紙質或電子交易回單”;第二十條規定“發起行、接收行應確保電子支付指令傳遞的可跟蹤稽核和不可篡改”;第二十一條規定“發起行、接收行之間應按照協議規定及時發送、接收和執行電子支付指令,并回復確認”;第三十條規定:“銀行應采取必要措施為電子支付交易數據保密:(一)對電子支付交易數據的訪問須經合理授權和確認;(二)電子支付交易數據須以安全方式保存,并防止其在公共、私人或內部網絡上傳輸時被擅自查看或非法截取;(三)第三方獲取電子支付交易數據必須符合有關法律法規的規定以及銀行關于數據使用和保護的標準與控制制度;(四)對電子支付交易數據的訪問均須登記,并確保該登記不被篡改。”所有這些規定都是圍繞電子支付指令與簽名的合法、有效性的,如果能夠按照這樣的程序去操作,再結合電子簽名法的相關法律要求,理論上應該可以做到電子支付過程中相關電子證據的合法有效性。

6、防止欺詐的制度設計

目前,在電子支付領域,種種欺詐、“釣魚”、冒充身份、非法侵入、篡改信息等現象屢見不鮮,這些欺詐侵權行為一旦得手,往往會給用戶帶來很大的損失8。

電子支付是通過開放的網絡來實現的,支付信息很容易受到來自各種途徑的攻擊和破壞,信息的泄露和受損直接威脅到企業和用戶的切身利益,所以信息安全是樹立和維護客戶對電子交易信心的關鍵。《指引》要求銀行在物理上保證電子支付業務處理系統的設計和運行能夠避免電子支付交易數據在傳送、處理、存儲、使用和修改過程中被泄露和篡改;采取有效的內部控制措施為交易數據保密;在法律法規許可和客戶授權的范圍內妥善保管和使用各種信息和交易資料;明確規定按會計檔案的要求保管電子支付交易數據;提倡由合法的第三方認證機構提供認證服務,以保證認證的公正性;此外,亦要求在境內完成境內發生的人民幣電子支付交易信息處理及資金清算。還有,《指引》對于應用電子簽名、簽署書面協議、交易限額、日志記錄、指令確認、回單確認、信息披露和及時通知都作出了一系列的要求,這些制度的設計都是圍繞防止欺詐的。如果我們能夠嚴格貫徹這些要求,應該可以對那些看似無孔不入的欺詐起到一定的防止作用。

7、差錯處理的制度設計

在《指引》的四十九條規定中,關于差錯處理的規定就占了十條,應該說是規定得比較全面的;不僅明確了電子支付差錯處理應遵守的據實、準確和及時的原則,還充分考慮了用戶資料被泄露或篡改,非資金所有人盜取他人存取工具發出電子支付指令,客戶自身未按規定操作或由于自身其他原因造成電子支付指令未執行、未適當執行、延遲執行,接收行由于自身系統或內控制度等原因對電子支付指令未執行、未適當執行或遲延執行致使客戶款項未準確入賬,因銀行自身系統、內控制度或為其提供服務的第三方服務機構的原因造成電子支付指令無法按約定時間傳遞、傳遞不完整或被篡改等多種實際情況。明確了處理差錯的原則和相應的補救措施。

以上信息披露制度、安全保障制度、證據保存制度、防止欺詐制度、差錯處理制度可以并稱為《指引》的五大基本制度。

五、《指引》的三點不足

作為一部從體例到內容都很具探索意義的規定,《指引》在某些細節處理上存在一定的不足或值得進一步探討之處肯定是在所難免的,畢竟其中涉及了太多的法律問題、技術問題和管理問題。

第一,電子支付指令的效力等同問題不夠細化。

《指引》第五條規定:“電子支付指令與紙質支付憑證可以相互轉換,二者具有同等效力”。可以說,這樣的規定十分必要,和《電子簽名法》9的規定相呼應,賦予電子憑證以法律效力。但在實踐中,該條款能產生多大的效力,卻可能需要我們劃一個問號,并且值得我們深思如何能切實地讓這個條款在實踐中具有可操作性。

第二,將電子簽名與數字證書不宜并列。

《指引》第十條規定:“銀行為客戶辦理電子支付業務,應根據客戶性質、電子支付類型、支付金額等,與客戶約定適當的認證方式,如密碼、密鑰、數字證書、電子簽名等”,該規定將電子簽名與數字證書、密碼、密鑰等相并列,這一表述同樣出現在《指引》第二十五條中。

但是,電子簽名與數字證書并非同一層次上的概念。根據《電子簽名法》第2條的規定“本法所稱電子簽名,是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據”,這里的電子簽名的范圍是很廣的,包括符合條件的密碼、口令、密鑰乃至眼虹膜透視識別等,當然也包括數字簽名,而數字證書實際上就是用認證機構的私鑰對證書申請簽名,并形成特定格式的證書;證書以認證機構的私鑰簽名以后,發送到目錄服務器供用戶

下載和查詢。認證機構通過向其用戶提供可靠的目錄,保證證書上用戶名稱與公鑰是正確的,從而解決可能被欺騙的問題10。證書之內容包括用戶姓名、公鑰密碼、電子郵件地址以及其他信息的數位化文件。

在該有效期內的證書可以藉以推定以下事項:

1、公鑰系依據其被指定之目的而有效使用;

2、公鑰與其他載于證書內之信息之約束力是有效的11。

而就認證機構所簽發之證書,申請人必須對任何信賴該證書內所記載之資料之人士承擔應負之責任。

因此,數字證書是驗證數字簽名的工具。也就是說,密碼、密鑰、數字證書、電子簽名之間存在相互依存的關系,它們之間并不是并列的概念。既便于將他們并列,那么也應理解,出現在此的也應是數字簽名而不是數字證書。再者,根據國際上普遍確立的技術中立原則,任何一種達到簽名功能的簽名技術都不應受到任何限制或任何偏袒,12也就是說,數字簽名只是目前電子簽名技術中相對成熟的手段,并不是唯一或永遠最科學的電子簽名方式13。

第三,銀行責任承擔問題規定不清。

《指引》第四十一條規定:“由于銀行保管、使用不當,導致客戶資料信息被泄露或篡改的,銀行應采取有效措施防止因此造成客戶損失,并及時通知和協助客戶補救。”在這里,我們不得不說,其中回避了一個十分重要的問題,那就是銀行是否應作出相應賠償的問題。

第四十二條規定:“因銀行自身系統、內控制度或為其提供服務的第三方服務機構的原因,造成電子支付指令無法按約定時間傳遞、傳遞不完整或被篡改,并造成客戶損失的,銀行應按約定予以賠償。”該條款非常重要,體現了用戶至上的原則,有利于保護用戶的合法權益。但是美中不足的是“按約定予以賠償”的問題,因為在實際操作中,相關約定恐怕都是銀行方面制訂的,14大部分消費者恐怕都沒有進行這方面約定的意識和能力,這樣的保護很可能在實踐中就要變成“擺設”了。

從根本上而言,《指引》的不足主要是由先天和后天因素造成的。作為一種規范性文件,《指引》不可能規定任何罰則和強制性措施,它只有上升至相應的法律法規才具有普遍約束力。另一方面,由于電子支付問題在現實中的復雜性,《指引》采取循序漸進的折衷方式,對目前比較成熟的環節單獨進行規范,冀望能將其它問題留待日后的《指引》第二號或第三號來解決。我們希望,《指引》第二號或第三號能夠合理避免相類似的問題。