在发达国家,大额支付系统都是大额电子支付系统,如美国的联储电划系统(FEDWIRE),清算所银行间支付系统(CHIPS),英国的清算所自动支付系统(CHAPS),瑞士的银行间清算系统(SIC)等。中国国家现代化支付系统(CNAPS)以大额电子支付系统为主体,以计算机网络为支撑环境,将中央银行各分支机构和商业银行有机连接起来。
小额支付系统中的电子支付主要是以客户发起支付命令的方式实现电子化,因客户的支付导致银行间的清算使用上述的大额支付系统,目前基本已经实现电子化。
中国人民银行2005年发布的《电子支付指引(第一号)》的第二条将电子支付界定为:“电子支付是指单位、个人(以下简称客户)直接或授权他人通过电子终端发出支付指令、实现货币支付与资金转移的行为。电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。”
电子支付工具包括卡基支付工具、网上支付和移动支付(手机支付)等。随着电子银行的兴起和微电子技术的发展,电子支付技术日趋成熟,电子支付工具品种不断丰富。电子支付工具从其基本形态上看是电子数据,它以金融电子化网络为基础,通过计算机网络系统以传输电子信息的方式实现支付功能,利用电子支付工具可以方便地实现现金存取、汇兑、直接消费和贷款等功能。
在本研究中,电子支付是使用电子支付工具或电子化支付系统开展的支付活动,它是支付体系电子化的必然产物。所谓电子支付是指电子交易的当事人,包括消费者、销售者和金融机构,使用安全的电子支付手段通过网络进行的货币支付或资金流转。电子支付的方式主要包括电子现金、电子钱包、电子信用卡、电子支票等。电子支付充分利用了现代计算机技术和网络的优势,采用数字信封、双重数字签名、持卡人证书等安全措施,从而保证电子交易的顺利完成。
第一节 电子支付的法律问题与基本法律关系
一、电子支付的基本法律问题
从不同的角度划分,对电子支付引发的法律问题的认识也会有所不同(见图2-1)。
如果从电子支付的主体、行为以及支付工具的角度来划分,电子支付的法律规范可以由以下几方面组成。
首先,因为其属于支付结算行为,则应适用规范支付结算行为方面的法律法规。
其次,支付结算行为属于通常所理解的银行业务,因此提供支付结算服务的组织应该适用相应主体规范。
再次,电子支付中使用的支付工具如银行卡等,也应适用相关的法律法规。
如果从电子支付法律、法规、立法目的的角度,又可以将电子支付引发的法律问题分为以下几方面。
一是消费者权益保护的法律问题。消费者因使用电子支付产品而可能导致的潜在的风险包括:第一,经济损失的风险,经济损失的产生可能因为欺诈、盗窃、电子支付技术系统损坏或者电子支付服务者的营运错误而产生,也有可能因为电子支付服务者的破产和支付不能而导致;第二,支付不及时或者支付不完全的风险;第三,因使用电子支付产品而产生的信息可能被泄露而用于欺诈或者其他损害其利益的目的的风险。
二是维护金融安全的法律问题。金融监管部门为了维持金融市场的稳定性,维护人们对支付系统的信心以及保持对货币政策的控制能力,致力于对清算机构实行一定的市场准入标准、维持一定的储备金、资产的利用要达到一定的安全程度等方面的监管。
三是打击金融犯罪的法律问题。比如避免电子支付活动被用来洗钱、避税和进行非法赌博。一般通过加强电子支付产品的可稽查性(非匿名的),支付额度的小额化来降低电子支付产品对犯罪活动的吸引力。
图2-1 电子支付的基本法律问题
二、电子支付中的基本法律关系
电子支付中的法律关系根据其性质主要可以分为三大类:民事法律关系、行政法律关系和刑事法律关系(见图2-2)。其中电子支付服务提供者和客户之间的关系为民事法律关系。电子支付服务提供者与监管部门之间的关系为行政法律关系。
(一)电子支付中的民事法律关系
1.电子支付民事法律关系中的当事人
从表面上看,电子支付与传统的以银行为中介的支付没有太大的区别。实际上,由于电子支付使用了技术手段和技术系统,导致电子支付的当事人不同于传统支付的当事人。电子支付的当事人可以分为五方主体:付款人、收款人、银行(及网上支付平台)、认证机构、网络服务提供者。
电子支付民事法律关系中涉及的当事人众多,当事人之间的法律关系复杂。目前中国现有的和电子支付相关的法律规范主要是行政管制性的规范,很少有对于当事人之间民事权利义务的规范,因此目前主要是靠规范各当事人之间的民事权利义务,由一组系列合同构成电子支付各当事人之间的法律关系。
付款人:在电子支付中银行和发出支付指令的客户之间是一种委托合同关系,客户通过互联网将支付指令和个人身份信息以加密的方式发送至受托银行,受托银行在对委托人的身份进行核实后,按照委托人的指示将委托人银行账户上指定金额划至另一账户,同时收取一定的委托金。但是此时不同于传统支付方式的是支付指令通过网络传输方能到达银行,因此在客户和银行之外出现第三方当事人,即网络系统的服务提供者。付款人对银行(及第三方支付平台)的主要义务是按照合同约定的方式使用电子支付的服务。付款人和收款人之间还存在基础性的引发其支付义务的法律关系。一般在款项到达收款人账户之前,付款人对收款人的债务未得清偿。
收款人:电子支付中的收款人按照其与接受银行的服务协议,要求其妥善地接受所划转过来的资金。收款人与付款人之间存在一个基础性的法律关系,或者是因为买卖合同,或者是因为其他的对付款人的债权而引发的收取支付的权利。
银行:是电子支付的信用中介、支付中介和结算中介,其支付依据的是银行与付款人(或收款人)所签订的电子支付服务合同。银行的基本义务为按照客户的指示,准确、及时地完成电子资金划转。银行在电子支付的法律关系中同时扮演发送银行和接受银行的角色。作为发送银行,在整个资金划转的链条中,承担着如约执行资金划转指示的责任,一旦资金划转失误或失败,应向客户进行赔付,免责的情形除外。作为接受银行,应按接受银行与其客户的协议妥善地接受划转过来的款项,如有失误或延误,应按其与客户之间的协议来办理。发送银行和接受银行一般都是某一大额电子支付系统的成员,互负义务。
第三方网上支付平台:新兴的第三方网上支付平台因其业务模式的不同,在电子支付法律关系中的法律地位也有所不同。目前从事网上支付业务的公司大约有50家,业务模式有银行网关代理、银联支付网关模式、第三方网上支付平台几种。网关代理模式可以归入到网络软硬件服务商的角色。第三方网上支付平台又可分为纯粹的支付中介(如首信易支付)和支付中介加交易担保(如淘宝)。作为支付中介和结算中介,应承担类似于银行的责任,第三方网上支付平台对客户的基本义务依其与客户之间的协议,按照客户的支付指令,准确、及时地完成电子支付。除了与客户的关系之外,第三方网上支付平台仍然要依托于银行的账户和支付系统才能实现资金的划转。因此,第三方网上支付平台与银行之间也存在客户与银行之间的关系。只是第三方网上支付平台因其从事的业务与普通的个人客户和一般的从事其他业务的企业不同,因此,第三方网上支付平台和银行之间更应适用大额资金划转的规则。
认证机构:即在网络上建立一种权威的、可信赖的、公正的第三方信任机构,为参与电子支付的各当事人的各种认证要求提供证书服务,建立彼此的信任机制,使交易及支付各方能够确认其他各方的身份。
网络硬件及软件服务提供商:主要为银行或其他中介机构提供硬件及软件服务。软、硬件服务提供商与其他主体之间的法律关系也主要由合同约束。因网络系统的问题使电子支付使用者的权益受损时,其直接的追索对象应该是银行或其他中介机构等电子支付服务的提供者,然后银行或其他中介机构再根据它们和软硬件服务商之间的合同确定双方的责任。
2.电子支付民事法律关系的主要内容
(1)银行与客户的法律关系
在电子支付中,银行和发出支付指令的客户之间是一种委托合同关系,在这个以银行和委托支付客户为主体的委托关系中,银行由于在技术和操作环节上处于优势地位,因此,当双方出现纠纷时常常是处于易于逃避责任的强者地位,而相对来说客户处于一个弱者地位。银行在电子支付中的基本义务是按照客户的指示,准确、及时地完成电子支付的指令。
(2)银行之间的法律关系
电子支付银行之间的权利义务受到一系列相互关联的合同的约束。当支付指令发出行通过网络依照客户的要求发出资金划转信息时,作为客户的代理人的发出银行按时足量地将资金划转到接受银行,构成了客户对接受行的一个要约,当接受行收到这个要求并确认后,就视同该接受行做出了对该要约的承诺,于是信息发出行和信息接受行之间就发生了合同关系。
(3)银行与网络服务提供商之间的法律关系
开展电子支付业务的银行与网络服务提供者之间是合同关系。网络传输服务提供商的义务主要有:按正确的模式,依据银行之间的协议传递信息;采取各种安全措施防止信息传递的失误以及信息的丢失;确保传递信息的准确性,使其准确地为接受人收到;保证信息的机密性和安全性。
(4)客户之间的法律关系
资金的转移是因为客户之间存在的债权债务关系。一般是合同的买方向银行发出支付指令,银行向卖方划转资金,但是,如果资金并未到达卖方账户,那买方的付款义务并不因其发出支付指令而完成,而应该以资金到达并被卖方确认方可认定买方支付义务的解除。
(二)电子支付中的行政法律关系
电子支付中的行政法律关系主要是因银行业监管机构对电子银行业务和主体进行监管所形成的。主要可以分为行政许可法律关系和行政处罚法律关系。在中国目前的法律框架下,行政许可法律关系主要针对银行业金融机构,依据《网上银行业务管理暂行办法》和《电子银行业务管理办法》,申请开办网上银行业务和电子银行业务会形成相应的行政许可法律关系。行政处罚法律关系则是由于银行业金融机构在办理网上银行业务和电子银行业务时违反相应的法律法规,被行政处罚时所形成的法律关系。
(三)电子支付中的刑事法律关系
相关行为人由于在电子支付中或利用电子支付实施了破坏金融秩序、进行金融诈骗、盗窃财产、破坏计算机信息系统或实施网上赌博行为而形成相应的刑事法律关系。具体可见中国《刑法》第171~200条的关于破坏金融秩序罪、金融诈骗罪的有关规定,及第264条关于盗窃罪,第266条关于诈骗罪,第286条关于破坏计算机信息系统罪,第303条关于赌博罪的有关规定。
图2-2 电子支付中的主要法律关系
三、电子支付主体的合法性、界定和程序
在目前中国的法律框架下,根据中国人民银行1997年颁布的《支付结算办法》第6条的规定:“银行是支付结算和资金清算的中介机构。未经中国人民银行批准的非银行金融机构和其他单位不得作为中介机构经营支付结算业务。但法律、行政法规另有规定的除外。”同时此办法的第3条规定了:“本办法所称支付结算是指单位、个人在社会经济活动中使用票据、信用卡和汇兑、托收承付、委托收款等结算方式进行货币给付及资金清算的行为。”中国人民银行2000年颁布的《支付结算业务代理办法》第2条规定:“本法所称的支付结算业务代理,是指银行双方之间,一方委托另一方办理其支付结算业务的行为。委托方为被代理行,受委托方为代理行。”第5条规定:“经中国人民银行批准可以经营支付结算业务的银行,方可为办理支付结算业务的代理。”从上述规定来看,无论是支付结算业务还是支付结算的代理业务,都属于银行的专营业务,其他未经主管机关批准的非金融机构和其他单位不得作为中介机构经营支付结算业务。那么,目前第三方网络支付机构提供的服务属于支付结算业务吗?对这一问题的回答将直接关系到对第三方网络支付机构的合法性的认识。对于该问题,本书将在第二部分展开讨论。
四、电子支付中法律责任的划分
当电子支付发生故障时就涉及各当事人之间法律责任的划分问题。电子支付故障包括支付不能和支付瑕疵。支付不能是指由于支付交易的一方或双方的过错造成电子支付不能完成,使得客户的真实交易目的无法实现。而支付瑕疵则是由于支付指令或信息的遗失、错误、虚假或是物理事故造成电子支付过错而使得本来的交易目的无法达到。
电子支付故障责任涉及的当事人包括银行、发出支付指令的客户、网络服务提供商、电子支付硬件设备和软件供应商,有时还会涉及认证机构等相关方。根据责任人的不同,电子支付责任可以划分为以下三个部分。
(一)银行的责任
从前述银行的法律地位分析可以看出,银行在电子支付中所处的位置是一个受托人的角色,但是由于在操作上电子支付与传统支付存在较大的差别,电子支付的整个过程可以分为三个阶段:支付指令在客户端尚未传出的阶段,从客户端到银行支付网关之间的中间传输阶段,支付信息进入银行支付系统后的处理阶段。只要客户的支付指令信息通过网络进入银行的支付网关之后所发生的一切支付不能故障的责任都应该由银行来承担责任。对于支付瑕疵而言,除了支付信息的瑕疵成因来自于客户发端方的情况外,当支付指令信息到达银行支付网关后所造成的所有支付故障都应该由银行来承担责任。
(二)客户的责任
客户的责任可以从合同责任和不当得利返还责任两方面来考虑。在电子支付双方的权利义务中,通常来说客户负有在发现电子支付发生意外时及时通知银行以防止损失进一步扩大的义务。但总体上,客户承担的责任在大部分国家和地区是被严格限定的,一般只有在客户欺诈或者严重疏忽时才承担责任。
(三)第三人的责任
第三人的责任可以包括网络服务提供商,银行电子支付软硬件提供商和CA认证中心的责任。
1.网络服务提供商和电子支付软硬件提供商的责任
一般根据其与银行之间或者客户之间的买卖合同、技术开发合同或者承揽合同来确定,或者在侵权行为发生时,根据其过错承担责任。
2.认证中心的责任
认证中心对客户发出的支付信息中的身份信息进行辨认,判断其真实性,并将其判断结果传输给商家和支付机构,其主要职责是通过技术手段对身份的真实性进行鉴定。对于认证中心的责任一般也应采取过错责任原则,除非其存在恶意或过错,否则不应将其责任扩大到由此造成的间接损失。
五、电子支付中的归责原则
归责原则是确认行为人法律责任的标准。电子支付中的归责原则是电子支付中法律责任体系的纲领。它通过对电子支付法律责任的一些基本问题的定性,对电子支付中当事人法律责任的确定起着基础性的指导作用。
电子支付的法律关系与一般的契约关系相比具有特殊性和复杂性。依托网络技术的发展,涉及众多当事人法律责任的承担,出现了一些新情况、新问题,在其归责原则上也提出了新的要求。对电子支付中发生的损害,其归责原则的确定应充分考虑电子支付法律关系的特殊性和复杂性。电子支付领域的归责原则应体现公平、技术中立等特殊要求,因此电子支付中的归责原则建议确定为公平原则和技术中立原则。
(一)公平原则
公平原则作为民商法的一般原则,其基本精神在电子支付法律关系中同样应得到严格的贯彻执行,只是电子支付中的公平原则有着特殊的行业背景。其含义更多地体现为安全性要求和各方当事人利益的平衡。
电子支付资金的安全性依托信息技术的进步,由电子支付法律关系的任何一方来完全承担系统运行的技术风险(包括已知的和未知的风险)都是不合理的。美国在1978年《电子资金划转法》(Electronic Fund Transfer Act)中银行要求其客户同意承担所有未经授权的资金划转的全部责任,直至该客户通知银行其损失为止。其典型的条文如下:“对于所有使用信用卡/磁卡所提取的款项和由此带来的损失银行都将从客户得到支付。”以及“所有使用信用卡/磁卡而从客户端提取的款项都视为信用卡/磁卡持有人的有效提款”。中国目前的大量银行卡协议(章程)都是由银行(甲方)提供的标准合同,不存在持卡人协商的余地,只有接受或不接受该协议两种结果。各发卡银行的“标准合同”(章程等)中基本都有类似规定“凡密码相符的交易视为合法交易……因卡片遗失或密码失密造成的资金损失由持卡人自行承担”。“凡使用客户号、操作代码、密码、客户身份识别和加密设备进行的网上银行业务操作,银行均视为签约客户本人所为。签约客户对该操作引起的后果承担责任。”有的银行方的解释是现行立法不能制约技术进步,如果明确规定发卡银行承担技术不成熟的风险责任则会使中国银行卡业务的开展举步维艰。我们认为这种论点值得进一步商榷,因为由属于弱势群体的消费者(客户)来承担自己不知晓的系统安全风险将会降低客户使用新型技术的意愿,最终会导致市场的萎缩,反而不利于银行方提高改进相关技术的积极性,客观上恰恰阻挠了中国银行卡事业的发展和进步。
从资金电子支付的过程看,有时会出现依当时的技术水平无法判断过错的环节,即无法判断过错方的情况。资金不能正确划转的风险责任由谁承担的问题可以不依传统的过错责任原则和无过错责任原则简单处理。而依经济学原理由受益者(主要是银行卡的经营者和使用者)承担,在责任分配上体现法律所追求的公平。具体而言,过错责任原则不能很好地保护消费者(持卡人)的利益,而无过错责任原则又使得发卡人责任负担过重。均衡各方利益,电子支付领域采用过错推定原则既减轻了消费者的举证困难,也给予了发卡人证明自己没有过错即不承担赔偿责任的机会,这样较为公允。在中国的电子签名法中,针对电子认证服务机构,采取的就是过错推定的原则。
(二)技术中立原则
技术中立原则是电子商务领域的一项特有原则,也适用于与电子商务密切相关的电子支付。其基本出发点是技术的中立。因为就目前而言,电子支付技术远未成熟,相关商业模式和技术条件变化迅速。政府难以制定恰当的条例,过于明晰和硬性的规定可能是不切实际的,并且有妨碍技术进一步发展的潜在危险。因此,由市场而非政府来决定因特网的技术标准是适宜网络经济发展的。电子支付立法在技术上必须是中性的,以保持与变化速度惊人的技术同步。
实施技术中立原则,在相关立法上要体现公平待遇,即电子支付不应享有较其他支付形式更优惠或不利的待遇,电子支付中的各方当事人受同等法律保护;电子签名和文件应当与书面签名和书面文件具有同等的法律地位;各国基本法律框架应当是一致的和可预见的,而不论电子支付是国内的还是跨国进行的。具体到法律责任方面,政府应保证参与者能够自由地选择电子方式进行交易并能够按双方意愿确定协议内容,明确权利义务关系。但在某些领域,政府的干预在促进电子商务和保护消费者方面可能是必要的,如银行方的格式条款受到来自法律方面的限制。在这种情况下,政府的干预应是支持与营造一个有预测性的、最低限度的、一致的、简化的法律环境。其目的是保障公平竞争、防止欺诈、保护消费者利益、促进商业交易和争议的解决。
六、电子支付中有关法律责任的主要问题
(一)消费者未经授权的划转的责任限制
电子资金划转是否是未经授权的划转,在实践中常引起银行与客户之间的纷争。在电子支付发展初期,包括美国在内的许多国家的立法或银行卡条例都保护银行利益。规定客户应对所有的银行卡交易负责。但美国后来的立法,尤其是《电子资金划转法》及其实施细则E条例体现了对客户(消费者)这一弱势群体加强保护的倾向,专门就“未经授权的电子资金划转”的责任进行了明确规定,主要是限制消费者对未经授权的交易承担责任。
美国1970年的《信用卡发行法》就规定信用卡发卡机构不得向没有提出书面申请的人发卡;在信用卡合法持卡人报告其信用卡丢失或被盗以后,可以不付账单上不经认可的部分,即被“盗用”的部分。在信用卡合法持卡人通知信用卡公司其信用卡被偷盗以前发生的全部被盗账目额度后,多数持卡人被要求最多负担50美元的费用。
英国《银行业惯例守则》规定假设第三人通过某种手段获取了电子密码,伪造或篡改支付指令从而获取了客户的资金,责任承担分以下情况:为防止未经授权的欺诈人向银行发送支付指令,客户与银行应建立使用电子密码或确认字符的安全程序。如经安全程序证实了支付指令的真实性后,银行也接受了该支付指令,则即使该支付指令是欺诈人所发,银行仍有权借记客户在银行开立的账目。但安全程序必须能足以防止欺诈,保障支付指令的安全并在商业上是合理的;如客户能证明未经授权的支付指令既非客户或其代理人所发也非从客户所控来源而得知安全程序的第三人所发,则客户就能免于承担责任。如因欺诈或过失导致电子资金划转延误,甚至未能完成,银行一般承担返回资金、支付利息、补足差额、偿还汇率波动造成的损失的责任。
(二)举证责任
电子资金划转出现错误或欺诈,在举证责任的承担上银行应负有更多的义务。这是因为电子支付的各个环节都涉及信息技术问题,电子支付的运行程序和数据涉及商业秘密也不为消费者所知,消费者作为受害者要去举证提供电子支付服务的银行方是否存在过错在实践中是非常困难的,在电子支付法律关系中传统的过错责任原则值得进一步商榷。但是在网络技术迅猛发展的时代,法律调整也不应阻挠先进技术进一步发展的空间,如电子支付法律关系采用无过错责任原则,又可能因责任风险过大而影响银行方拓展网络银行业务的积极性。因此,电子支付法律关系中建议实行过错推定责任制度,可借鉴中国电子签名法中的有关规定。
(三)银行(金融机构)的责任承担
在电子支付中,银行等金融机构可能同时扮演指令人和接收银行的身份。作为电子支付的重要环节,银行的基本义务是完成资金划转任务。其责任则表现为在充当指令人时银行如果发送了错误的指令,就应承担赔偿付款人的责任。即使不是银行的过错导致指令的错误发送,银行也应承担赔偿责任。能够查出出错的具体环节的,则由过错方赔偿银行的损失,属于免责范围的,银行不承担责任。作为接收银行时,银行的责任是执行指令人资金划转的指令,妥善地接收所划转的资金,如果在履行资金划转指示时有延误或失误的情况,接收银行应承担违约责任。
具体来说,发送银行承担如约执行资金划转指令的责任,如资金划转失误或失败,发送银行应向客户赔偿。查出是哪家银行的过失,则有过失的银行赔偿,如发送银行查不出,则由整个划转系统分担损失。
接收银行的责任则是一接到发送银行的资金划转指令就立即履行义务,如延误或失误,承担相应的违约责任。一般说,接收银行应在收到支付指令的银行日履行义务,如当天未能执行则应在接到支付指令的第二十个银行日的午夜之前履行义务,但支付指令中特别指明或暗示了执行日期的例外。
接收银行向客户支付的义务开始于它代表客户接受支付指令时,而一旦接收银行向客户支付了款项,它就履行完了自己的义务,而且这种支付是不可撤销的。
(四)赔偿责任范围问题
美国《电子资金划转法》等规定,金融机构对电子资金划转服务中的失误承担赔偿消费者全部损失的责任:第一,当金融机构得到消费者的适当指示进行电子资金划转后,未根据账户条件以正确的金额或及时的方式进行该电子资金划转;第二,当金融机构未根据账户条件将收到的资金存款贷记消费者账户,使该金融机构由于账户资金不足未进行电子资金划转;第三,当金融机构接到指示,要求它根据账户条件停止支付从消费者账户划出资金的预先授权的划转时,金融机构未停止支付。
另外,银行未进行及时划转或未按指示停止支付如果是出于善意的失误,尽管合理地采取了安全程序避免此类错误,银行仍应对消费者的实际损失承担赔偿责任。
关于具体的赔偿范围,根据合同法的原理,当事人一方不履行合同义务或履行合同义务不符合约定的,赔偿对方因此遭受的损失应相当于因违约所造成的损失,包括合同履行后可以获得的利益,但不得超过违约方订立合同时预见到或者应当预见到的因违反合同能造成的损失。因此,一般来说,银行的赔偿责任限于划转的款项及其利息,其他的直接责任在有明示书面协议或当事人明确向银行申明发生重大错误损失时才发生,而且赔偿额不能超过银行与客户订立资金电子支付协议时能合理预见或应当预见的损失范围。在美国Evra.v.Swiss Bank一案中,被告瑞士银行就是以无法预见没有履行支付27000美元的资金划转会引起210万美元的利润损失为由,拒绝承担巨额赔偿,最终法院采纳了被告方的辩解意见,限制了银行的过大的赔偿责任。
《国际贷记划转示范法》采纳了美国《统一商法典》的观点,赔偿范围以当事人在订立合同时可以预见到的损失为限,银行对接受资金划转指令时无法预见的损失不负赔偿责任,但当事人有特别约定的除外。
第二节 部分经济体关于电子支付的法律规定
一、美国的有关法律规定
小额电子支付系统在美国受到高度的管制。这种管制既包括联邦层面上的管制,也包括地方州法的管制。管制此类电子支付的法规有:联邦《电子资金划转法》及其联邦储备理事会颁布的E条例(Federal Reserve’s Regulation E),各州关于电子资金划转的法律,《真实信贷法》(Truth in Lending Act)及其联邦储备理事会颁布的Z条例,联邦储备理事会颁布的D条例(Federal Reserve’s Regulation D),联邦及各州的关于设立分支机构的法律。其他一些联邦法与州法对小额电子支付划转服务的不同方面也有重要影响,例如,联邦及各州的隐私规则对获得电子资金划转系统处理的有关客户的信息有所限制;电信条例影响电信服务的费用和质量——这对电子资金划转网络十分重要;关于资金可利用的法律影响了无人电子终端处理存取款;关于残疾人的法律影响了银行终端的物理性质;关于在ATM上犯罪的法律可能影响金融机构对ATM上进行的犯罪活动的责任。另外,每一家电子资金划转系统一般有通过系统进行划转的管辖规则,但是,电子资金划转规则主要调整参加电子资金支付系统的金融机构间的关系,而不调整这些金融机构与其消费者即客户间的关系。金融机构与其消费者间的关系一般由消费者和金融机构之间的协议来管辖。
(一)《电子资金划转法》及E条例
美国国会针对电子资金转移的模式,认为它将会对使用者产生实质上的利益,因此于1978年完成了《电子资金划转法》的制定,用于调整小额电子支付系统,以规范金融机构与使用者的相关权利、义务与责任,并于1989年完成修正,全文共计19条。联邦储备理事会又颁布解释规则——E条例,就法案内容提出解释说明以利于执行。1996年美国总统签署《债务回收改进法》(Debt Collection Improvement Act)之后,电子资金转移涵盖的范围又进一步扩大,解释规则也于1998年完成了最后的修订。
《电子资金划转法》的宗旨是为设立电子资金划转系统中各参与方的权利、义务及责任提供基本框架,首要目标是规定个人消费者的权利。《电子资金划转法》的适用范围由以下两项因素决定:一是存在特定的账户;二是适用特定的电子工具贷记账户或借记账户以实施资金划转。
该法和E条例对“账户”(Account)进行了定义,包括由金融机构直接或间接持有的,主要是为私人、家人或家庭设立的活期存款(支票)账户、储蓄账户或其他消费者资产账户,不包括在一项无限额信贷计划中的偶然的或附属的贷方余额,也就是说向商业存款账户或信贷账户划入资金或从商业存款账户或信贷账户划出资金排除在该法的适用范围外。同时,从一个政府账户中划转政府津贴也不由该法管辖。
另外,即使符合账户的条件,该法还要求只有向该账户划入资金和从该账户划出资金的划转行为是使用电子工具时才受该法的调整,因此在同一金融机构开立的消费者账户间的自动划转和由支票、汇票或类似纸面工具发端的交易都被排除在该法的管辖之外。
《电子资金划转法》规范包括利用卡片或其他存取方式直接由消费者账户进行资金转移的行为,因此借记卡以及电子现金的使用都包含在《电子资金划转法》的范围内。
《电子资金划转法》与E条例的内容涉及消费者与提供电子资金划转服务的金融机构间关系的各个方面,包括客户与金融机构间“存取工具”的申请与发放。根据1996年E条例的规定,存取工具是指能被消费者用以发动电子资金划转的卡、密码或其他存取消费者账户的工具或它们的任何组合,E条例的官方人员注释进一步指出,存取工具包括可以由消费者用以向消费者的账户或从消费者的账户发动电子资金划转的借记卡、个人确认号码、电话划转和电话汇票支付密码和其他工具;电子资金划转服务的不同因素及消费者与这些服务有关的权利的初始披露和重大情况的继续披露;有关金融机构接受某些特定交易的规定及金融机构向消费者周期性报告其账户的规定;客户声称账单错误的调查与解决;消费者与发卡人间对未经授权而使用消费者存取工具所造成损失的责任分担;等等。
为了实现《电子资金划转法》的宗旨和目标,该法授权联邦储备理事会制定有关条例,明确信息披露示范条款或规则。根据此项规定,联邦储备系统理事会制定了E条例。该条例经过多次修改,现在适用的是1996年4月23日制定的新条例,从内容上看,E条例实际上是《电子资金划转法》的实施细则,是对《电子资金划转法》内容的具体化。
在实践运作中,人们主要依据E条例和官方人员注释,而很少参照《电子资金划转法》本身。
《电子资金划转法》规定,该法不使各州关于电子资金划转法的法律无效、变更或受影响。但是其相关法律与该法抵触时,则抵触范围内的法律规定不在此限。若州法对消费者的保护范围较大时,则州法的规定视为无抵触。若联邦储备理事会认为州的法律对某一类电子资金划转规定与办法的规定相似,且有适当条文执行该规定,则理事会应依所颁布的规则,于该州内就该类电子资金划转免除该法的适用。联邦储备系统理事会颁布的E条例、D条例、Z条例也对电子资金划转进行了补充规定。
(二)“真实信贷法”与Z条例
“真实信贷法”是《消费者信贷保护法》的第一编,该法授权联邦储备理事会制定有关条例来实施这些法律,即Z条例。Z条例是对该法的补充和实施。“真实信贷法”与Z条例主要涉及信用卡的责任、信用卡账单的有效保护和解决账单争议的程序三个方面的内容。
1.关于信用卡的责任
一般认为,如果卡是经过消费者授权而使用的,消费者应该承担卡划转所产生的法律后果,但是,如果该卡的使用是未经授权的,则Z条例将持卡人的责任限制在50美元以内,如果持卡人通知发卡人时未授权划转造成的损失少于50美元,那么持卡人的责任以承担该损失为限。如果发卡人未能告知持卡人其应享有的权利,信用卡不能识别使用者,或者发卡人没有提供给持卡人一个将其损失通知给发卡人的方法,则持卡人对未经授权的划转所造成的损失不承担任何责任。
2.信用卡账单的有效保护
Z条例关于持卡人向发卡人所享有的请求权或抗辩权的主要内容是:当信用卡持卡人不满意解决消费信贷交易中用信用卡购买商品或服务而产生纠纷时,持卡人可向发卡人主张各种赔偿,也可对发卡人就该消费信贷交易和未能解决该纠纷而提出的理由进行抗辩,持卡人有权拒绝支付与未付信用金额相当的款项,该款项包括产生纠纷的商品或服务和因该款项产生的所有赔偿金额及其他费用。根据上述规定,如果持卡人扣留了该消费信贷交易争议的未付信用金额,在争议解决期间或判决作出之前,发卡人不得报告该金额是违法的。
3.账单争议的程序
根据Z条例第13条的规定,当持卡人向发卡人申诉账单错误时,发卡人必须在30天内确认该申诉,对问题进行善意的调查,并在申述之日起90天内解决有关纠纷。该法规定,如果发卡人未能根据该条款尊重消费者的权利,那么该发卡人将由于该争议金额而被罚50美元,并承担一些额外的责任,包括代理费用等,即使消费者是错误的而发卡人是正确的,该项罚款也必须支付。
在美国《电子资金划转法》颁布之前,Z条例是否适用于电子资金划转并不明确,在《电子资金划转法》颁布后,美国才有了专门调整小额电子资金划转的法律。
(三)D条例
联邦储备理事会的D条例对美国的存款金融机构设置了储备要求,这些储备要求是美国货币政策的重要组成部分,它保证存款金融机构有充足的流动资金以满足消费者对现金的提款需要。
因为使用电子资金划转系统向第三方当事人进行支付被认为是为D条例目的向第三方当事人支付,所以D条例影响到在美国进行的电子资金划转,使用电子资金划转系统向第三方当事人进行支付,如在POS上使用借记卡以购买货物或服务等。如果存款金融机构对储蓄账户的电子资金划转的使用程度超过D条例允许的使用程度,这可能使账户的性质改变为交易账户,而交易账户对资金储备的要求更高。因此,参加了电子资金划转网络的存款机构应该拒绝消费者通过网络使用储蓄账户,或者实施控制机制以防止消费者不明智地超过允许的金额从事储蓄账户交易。
(四)专门管辖电子资金划转的州立法
大多数州关于电子资金划转的法律与联邦《电子资金划转法》在很大程度上是重复的。与《电子资金划转法》一样,各州关于电子资金划转的法律主要规定了消费者在电子支付划转交易中的权利,一般只适用于消费者资产账户而不管辖商事划转或贷记划转。这些法律多包含存取工具的发放、披露要求及未经授权划转的责任等内容,许多州在关于电子资金划转的法律中对消费者提供了比联邦《电子资金划转法》更强的保护。
(五)美国货币监理署《防范虚假银行网站指引》
2005年7月,美国货币监理署(OCC)就银行虚假网站的危害及如何检测、防范并应对网站欺诈等行为向各国银行机构发布指引,即美国货币监理署《防范虚假银行网站指引》,其主要内容包括以下方面。
1.虚假银行网站的主要表现及其危害
虚假网站欺诈一般是指开设与银行真实网站相似致使银行消费者产生混淆并对消费者产生损害的行为。例如,犯罪分子通过网站链接或其他方式诱使银行消费者输入其网上银行用户名、密码、银行卡号等相关信息,并利用上述信息实施欺诈或窃取消费者账户资金等。网站欺诈不仅给银行带来战略风险、经营风险及商誉风险,损害银行履行其对消费者的保密义务,还可能使银行和消费者遭受金融诈骗。
2.防范银行网站欺诈的有关途径
为防范虚假银行网站欺诈问题,银行有必要建立网络监测及相关信息收集的工作机制;同时,应责成并组织培训有关人员专门应对虚假银行网站问题。如果银行将其网站维护等项目外包给外部技术服务商,银行则应通过协议约定等方式确保该服务商建立适当的网站欺诈事件的监测及报告体系,并且有必要将该服务商处理网站欺诈的机制纳入银行内部的处理体系。
为减少虚假网站的侵害及有关风险,银行还可以加强对银行消费者的教育,如向银行消费者发布声明材料,通过网站向消费者介绍虚假网络利用电子邮件或网址等各种方式实施网络诈骗的行为。此外,由于网络浏览器及操作系统存在的薄弱环节均可能给网络欺诈行为带来可乘之机,银行还应向其消费者说明确保电脑系统安全运行的重要性。
美国货币监理署《防范虚假银行网站指引》还特别规定了应对虚假银行网站问题的具体措施,主要包括以下三方面:
第一,加强网络监测工作。为提高监测虚假网址欺诈行为的能力,银行可以加强对其内部可获取的相关信息的监控,并搜索互联网上非法使用或未经授权使用银行名称或商标的有关动向。
第二,加强和完善信息收集工作。银行在确认其正成为虚假网站实施欺诈的目标后,应收集与网站欺诈相关的信息并作出适当应对措施。这些信息主要包括:银行获知其成为虚假网站欺诈目标的途径;诱使银行消费者进入虚假网站的有关文件或电子邮件等;虚假网站的IP地址及其地理位置、网络地址及注册域名等。在必要时,银行可寻求IT专家或服务商协助搜集此类信息。这些信息有助于银行识别并关闭虚假网站,确定银行消费者的信息是否被窃取,同时也有助于银行协助司法部门开展调查。
第三,建立网络欺诈事件的应对机制。为有效应对网络欺诈事件,银行应建立健全相应的应对机制,例如:立即与虚假网站主机所在的网络服务商(ISP)联系,并要求关闭虚假网站;立即联系域名登记商,并要求不得再继续使用虚假网站的域名;及时向银行监管部门报告;通过法院的司法程序识别虚假网站,并根据有关法律(如美国《数字千禧年版权法》等)恢复消费者的有关资料。通过落实该机制,可以及时发现并关闭虚假网站,防止虚假网站获取银行消费者的信息资料,归集并保存有关证据协助司法机构的相关调查工作。
(六)美国货币监理署《关于网上银行客户身份认证问题的指引》
2005年10月,美国货币监理署(由其附属的FFUEC委员会)发布《关于网上交易客户身份认证问题的指引》(以下简称《客户身份认证指引》),并取代2001年发布的《电子银行业务中的身份认证问题指引》。为解决消费者使用金融机构网上交易中的身份认证问题,《客户身份认证指引》对金融机构网上服务的风险评估、消费者教育及安全保障等方面作了明确规定。
美国货币监理署认为,金融机构在通过互联网提供金融服务时,应当对其客户进行有效可靠的与特定金融服务或产品相适应的身份认证程序,但是,目前许多金融机构采取的单因子身份验证手段(如采取ID或密码验证等手段)并不足以防范账户欺诈、客户信息或资金被窃取或被转移的风险。在《客户身份认证指引》中,美国货币监理署特别强调:如果有关风险评估认为单因子身份验证手段不足以防范风险时,金融机构应当实施多因子身份验证手段、分层安全保障措施及其他能够防范有关风险的控制手段等保障网上银行交易的安全。
根据《客户身份认证指引》,金融机构通过互联网向消费者提供金融服务时,应当持续性地达到以下要求。
第一,确保其信息安全保障方案,包括下述内容:
识别并评估以网络为平台的产品及服务相关的风险。风险评估程序应当落实以下工作:识别各种交易及以网络为平台的服务或产品的风险介入层级;对降低风险的各种技术(包括身份验证技术等)进行识别并予以评估;应有能力测算各种降低风险的技术在应对各种交易类型或风险路径层级方面的有效性。
确定降低风险的方案,如采取可靠手段办理网上开户业务,加强身份确认能力等。在网上银行交易中,传统的依赖纸质核验方法难以实现,金融机构应当采取其他可靠的替代方案落实对开户身份的验证程序及要求。
对消费者教育方面的工作进行评估。加强消费者教育对防范网络欺诈、制止盗取身份信息至关重要,金融机构应采取切实措施加强消费者的教育工作。《客户身份认证指引》还就此对金融机构的管理层提出了相关要求。
第二,根据技术的发展情况、消费者信息的敏感度及信息受侵害的可能性等因素,对其采用的信息安全保障方案及时作出调整。
第三,实施合适的降低风险策略。
此外,《客户身份认证指引》还对监管机构评估银行落实指引要求的进展情况做出了具体部署,同时要求各银行在2006年末达到指引的要求。
二、欧盟的有关法律规定
(一)对电子货币发行人的态度
欧盟对电子货币的发展持积极的调整态度,欧盟在1994年《预付价值卡报告》中指出:“代表购买力价值的储存在电子钱包中的资金需要被看作银行存款,因而只能由银行来处理。”因此,对电子货币的发行,欧盟认为只能由银行来承担。其理由主要在于可以维护小额支付系统的安全,有利于中央银行和被监管银行之间沟通信息,同时表示电子货币资金同银行存款没有本质区别,电子货币也可以利用现行的银行清算系统。但欧盟法律并不禁止非银行机构同银行合作开发电子货币产品,或者自己独立投资开设银行从事电子货币经营。作为例外,该报告也指出,在某些情况下,比如该政策出台前已经运作的电子货币系统,地方银行相关机构可以允许其继续由非银行机构运作的必须满足三个条件:一是只能在国内提供服务;二是必须遵守适当的规定,如流动性的规定;三是由银行监管机构进行监管。
目前欧盟已经有9个国家通过对适用现有法律扩大解释的方式,以及修改法律和重新制定新法的方式,规定只有银行才有权利发行电子货币,其中奥地利、西班牙、希腊、法国、德国、意大利、荷兰和葡萄牙8个国家规定,储值卡类的电子货币只能由银行发行,在这8个国家中,奥地利、德国、法国、意大利和荷兰进一步规定以计算机为基础的电子货币也只能由银行发行。
欧洲中央银行1998年发布的《电子货币报告》是目前为止欧盟发布的对电子货币进行监管的重要文件。该报告认为,最直截了当的方法就是将电子货币的发行主体限制为银行,这样就不会改变现有的有关货币政策和银行业务活动的法律体制。
但几乎同时,欧盟执行委员会于1998年9月针对电子货币提出建议案,将电子货币明确定义,并否定1994年电子货币等同存款的报告。该建议案提议修订法律,将非金融单位的发行机构纳入金融法的规范中。根据该立法建议的说明,整个立法建议的目的在于“促进欧洲电子货币市场的竞争,允许市场的不断发展和创新,以便于向消费者提供符合其需要的产品,并在国际市场上具有竞争力”。欧盟委员会之所以采取这样的态度,主要还是为了继续保持欧盟在卡类电子货币方面的优势,同时面对美国非金融机构的竞争,特别是在网络电子货币方面的竞争,为自己境内的机构松绑。但该建议案并没有产生法律效力。
(二)对电子货币业务的监管要求
《电子货币报告》对电子货币如何进行监管提出了最低要求,与此同时,欧盟委员会提出的《关于电子货币机构审慎监管的立法建议》也对电子货币的监管提出了立法动议。这两个文件虽然对电子货币的发行人持不同的态度,但对电子货币业务机构的监管却采取了相近的态度。具体包括以下内容。
1.监管目标
监管目标是促进系统的相互兼容,这种相互兼容实际上是支付系统效率的体现,这需要电子货币系统的发行人、设计者进行合作,防止重复投资并促进各个系统的相互兼容。其中,最重要的表现就是采用共同的标准,通过共同的标准,实现系统之间的相互兼容,从而为消费者和特约商户提供选择的余地。可以很容易放弃一个系统,转用另外一个系统,这也能够促进竞争,提高效率。
监管的另外一个目标就是对社会信用的监管,为了维护消费者和特约商户对电子货币系统的信心,防止某一个电子货币发行人倒闭带来的对系统稳定的影响,为电子货币提供一定程度的政府信用保证。到目前为止,已经有法国、意大利、瑞典、奥地利、德国和西班牙都将现有的存款保险制度适用于电子货币系统。
2.对消费者的保护
欧盟委员会《立法建议》第2条规定,在什么情况下电子货币项下的款项不被认为是存款,即如果电子货币的发行人规定,电子货币发行后只能用于购物,消费者从发行人那里取得电子货币之后,不能再用电子货币从发行人那里回赎,这时电子货币项下的资金就不被认为是存款。那么,发行人应该在合同中向消费者披露,该电子货币是否可以由消费者直接向发行人回赎,如果可以回赎,则要具体说明回赎的条件、形式和期限。
欧洲中央银行《电子货币报告》在这方面也提出一些类似的最低要求,即电子货币必须由确定和透明的法律安排。总的来讲,就是要使各方当事人明白电子货币各个交易环节中自己的权利和义务,主要是通过有关的法律文件向当事人披露有关信息,包括电子货币是否有保障制度、争端解决机制。如果是跨国的电子货币系统,系统的开发者和发行人必须根据系统的技术特点,确保其符合所涉及国家的法律,在所涉及国家可能产生的法律后果和可执行力。
欧盟委员会1997年发布了名为《增进消费者对电子支付手段的信心》的通告,提到监管机构应考虑与消费者有关的问题:一是监管机构必须向电子货币的发行人和使用者提供透明度、责任和争议解决程序的指南,以维护使用者的信心。为此,欧盟委员会随公告附上给各成员国的建议,该建议涉及的问题主要包括交易条件应透明、发行人应披露的最低限度的信息和条件,发行人和使用者的权利和义务,争端解决程序,等等。二是监管机构必须考虑欺诈和伪造的风险,提高安全性。欧盟委员会1998年发布了《反对非现金支付工具的欺诈和伪造行动框架》的通告,该通告的主要内容是要求各国将欺诈和伪造非现金支付工具规定为犯罪行为,以利于打击欺诈和伪造活动。
3.技术安全
1999年1月,欧盟经济与社会委员会也对执行委员会的建议案提出了不同意见,包括立法目的、电子货币定义、分类、犯罪与管制等问题。欧盟部长理事会于同年11月根据相关意见对执行委员会的建议案进行修改,完成《电子货币发行机构法草案》。
欧盟于2000年1月19日公布了《电子签名法指令》(Directive 1999/93/EC of the European Parliament and of the Council of 13 DEC.1999 on the Community Framework for Electronic Signatures),其主要内容除了定义电子签名外,还提出相关的法律规范,另外也限制了提供认证服务的必要条件,以达到一定水准的安全程度。欧盟根据此指令,要求其他会员国在2001年7月之前完成有关电子签名法的修订。
三、英国金融服务局《关于金融服务投诉的指引》
2005年5月,英国金融服务局发布《关于金融服务投诉的指引》(以下简称《FSA金融服务投诉指引》)。
金融消费者在购买金融产品或者接受金融服务时,可能出于各种原因对该等金融产品或服务感到不满意,在这种情况下,最好的解决方式是金融消费者直接与有关金融机构协商解决。但如果无法通过协商方式解决分歧,金融消费者则可向有关监管部门投诉,要求有关金融机构承担赔礼道歉、恢复原状及赔偿损失等责任。而《FSA金融服务投诉指引》的目的在于指引金融消费者如何维护其正当权利,如何有效地向有关机构投诉并使有关问题得以圆满解决。
在《FSA金融服务投诉指引》中英国金融服务局提醒金融消费者并非所有问题都能构成其向金融机构投诉的理由;随后,英国金融服务局详细列举说明消费者可对金融机构的服务或产品投诉的情形以及消费者不能或没有理由向金融机构投诉的主要情形。例如,由于投资产品本身固有的风险所造成的损失,消费者一般不能以此向金融机构投诉;但是,如果金融机构在销售或提供金融产品和服务时,存在过失、信息误导、不尽职尽责及价格歧视等情形,消费者有理由就该等产品或服务投诉。
英国金融服务局还就指引的性质及其责任豁免作了说明。在《FSA金融服务投诉指引》扉页中,英国金融服务局明确指出,其就消费者服务投诉的指引旨在向消费者提供相关信息,协助消费者进行金融决策,便于消费者理解金融服务体系;有关信息包括英国金融服务局对不同金融产品固有的风险及收益的一般理解,但并不构成消费者作出具体的金融投资的专业咨询意见。消费者如需获得金融服务方面的咨询和服务,应另行咨询有关专业人士。
四、OECD《有关金融消费者教育问题的若干建议》
近年来,金融产品和交易结构日趋复杂,金融消费者在参与金融产品投资及交易过程中承担的责任和风险也随之加重。但是,OECD的有关调查却发现,普通居民或消费者对金融知识或金融交易等方面了解甚少。因此,加强对金融消费者的教育工作不仅有助于消费者有效管理其金融资产,防止受金融欺诈的损害,也有助于完善金融服务质量,保持金融秩序的稳定。基于上述考虑,OECD于2005年7月发布《有关金融消费者教育问题的若干建议》(以下简称《OECD若干建议》),对OECD成员国和非OECD成员国的金融机构及有关政府机构在金融消费者教育工作方面提出若干原则性建议和具体建议。
(一)金融教育的定义
根据《OECD若干建议》,“金融教育”是指通过必要的教育过程,促使金融消费者或投资者提高对金融产品的概念及风险的理解认识能力,并通过提供有关金融信息、指导或咨询,提高消费者辨别金融风险并把握金融投资机会的技能和信心,了解在出现问题时寻求救助的方式和途径,并使消费者能够采取其他有效手段提高其金融财富。金融教育不仅是向金融消费者提供金融信息及指导,更体现在对金融消费者权益的保护等方面。
(二)金融教育的若干原则
第一,金融教育应体现公平原则,向消费者提供的信息应当适当、公正,不应存在误导因素或偏见。
第二,在制定金融教育方案时,应根据当地金融环境和金融消费者的实际情况,优先解决若干重点问题,突出重点。
第三,金融教育应被纳入金融监管及政府管理框架,并与金融机构的监管及消费者的保护(包括对金融信息及咨询文件的监管等)一道进行系统性全盘考量。特别需要强调的是,金融教育不能替代金融监管,对于消费者保护而言,加强金融监管是根本,而金融教育则是金融监管的补充。
第四,金融教育机制应纳入金融机构公司治理框架。金融机构不仅需就其提供的金融方面的信息和咨询服务承担责任,还应就加强和促进对金融消费者(客户)的教育承担责任。
第五,金融教育的有关方案应满足消费者的现实需求,考虑消费者的理解能力,同时还应体现消费者获取金融信息的主要方式。由于金融产品不断创新,产品越趋复杂,金融教育工作应当是一项长期的持续性的工作,并考虑在金融产品发展的不同阶段,对金融教育方案作相应的调整。
(三)政策建议
第一,发动全社会的宣传教育,提高民众对加强金融风险意识必要性的认识,通过金融教育,促使民众了解防范金融风险的基本方法。
第二,金融教育应从学校抓起,从娃娃抓起,使公众尽早接受金融方面的教育。
第三,如果可行,可将金融教育纳入国家福利救济体系。
第四,鼓励在全国及各地现有行政主管部门内设立专门负责金融教育的职能机构,加强金融教育及各领域的合作。
第五,鼓励建立专门的金融教育网站,向公众提供相关的金融信息,开发免费的金融信息;鼓励消费者、专业机构或其他组织建立相应的机制,对可能损害金融消费者利益的高风险问题提出警示。
第六,加强国际间金融教育领域的合作。
五、巴塞尔委员会《金融服务外包指引》
在国际金融市场中,出于降低经营成本及银行整体战略等目的,越来越多的金融机构将某些金融服务外包给第三方,例如,金融机构将其信息科技业务(包括科技项目开发、编程及知识产权保护等)、特定业务的经营(例如,融资业务的某些环节、后台支持以及管理等活动)及合同管理等职能外包给独立第三方经营。但是,金融机构的外包服务可能带来相应的风险,如何有效控制有关风险以及符合监管机构的监管要求,这是金融机构、监管部门及外包服务商均应认真思考的问题。为加强对金融服务外包业务的监管,巴塞尔委员会于2005年2月发布《金融服务外包指引》。
(一)金融服务外包的定义
根据《金融服务外包指引》的规定,金融服务外包是指金融机构利用第三方(包括该金融机构集团内的附属机构)现在或未来持续性实施某些通常可由该金融机构自身实施的活动。通常而言,金融机构除了将有关活动转交第三方实施外,接受外包的第三方还可能再次外包给其他服务提供商,前者可称为“初次外包”,后者可称为“转外包”。
服务外包与服务买卖的概念相似:服务外包的外包商与服务的出卖方均应对其提供的产品或服务承担物的瑕疵担保和权利的瑕疵担保责任。但是,服务外包有别于服务买卖。在服务买卖中,购买方在获得卖方的产品、服务或其他设施时,不向卖方转让或转移其客户或其经营活动有关的其他非公开信息或专有信息;而在服务外包中,服务出包方为外包之目的,(在签署保密协议的前提下)需将其非公开的客户信息或专有信息披露给服务外包商。
(二)金融服务外包的风险
《金融服务外包指引》详细分析并列举了金融服务外包可能性存在的各种风险,主要包括以下内容。
战略风险:服务商提供外包服务可能与金融机构的整体战略目标存在冲突;由于缺乏必要的专业人员,金融机构难以对服务商实施有效的监控等。这些因素都可能产生战略风险。
信誉风险及交易对手风险:如服务商的信用状况不佳或其提供的服务不符合金融机构的要求或无法满足银行消费者的需求等。
合规风险:服务商未能遵守银行客户信息的保密义务及其他法定义务,也未能建立有效的合规管理体系和内控制度等均可能产生合规风险。
操作风险:如外包服务商在提供外包服务过程中发生技术故障、欺诈或错误并对金融机构造成损失,而该服务商又缺乏足够的赔偿能力等。
退出风险:即金融机构过于依赖某些外包服务商而形成的“骑虎难下”的风险。如果金融机构过分依赖于某些外包服务商而金融机构缺乏自主技术能力,金融机构难以终止与某些外包服务商的服务关系,或者因此被迫接受外包服务商的不合理要求等风险。
国家(地区)风险:政治、社会及法制环境等均有可能增加外包服务的风险。
合约风险:主要涉及外包协议能否执行的风险;如果涉及跨境外包,如何适用准据法也至关重要。
信息获取风险:金融机构将其服务外包后,可能难以及时获取其经营资料或信息并向监管部门报送,并可能影响监管部门的有效监管。
集中性和系统性风险:如果众多的金融机构将其大部分金融业务外包给服务商,可能形成集中性风险,其结果可能导致单个金融机构难以有效控制服务商的服务,并可能导致整个行业的系统性风险。
(三)对金融机构的指引要求
第一,将服务外包的金融机构应建立完善的规章制度,对某项金融服务是否需要外包及如何适当外包作出评估。该项工作可由金融机构的董事会(或其他类似机构)负责落实。(www.xing528.com)
第二,金融机构应建立服务外包风险控制体系,及时解决外包过程中的有关问题,妥善处理并协调与外包服务提供方的关系。
第三,金融机构应确保有关服务外包的安排不会削弱其履行对消费者及监管部门所承担义务的能力,也不得影响或阻碍监管部门实施的有效监管。
第四,在选择外包服务的提供方时,金融机构应进行适当的尽职调查。
第五,在服务外包时应签署书面协议,明确载明服务外包的重要安排,包括外包服务的提供方和接受方的权利义务及对服务外包效果的预期等。
第六,金融机构及外包服务提供方应建立针对意外事件的应对方案,包括灾害处理方案及对备份设备的定期检测等。
第七,金融机构应采取适当措施,要求外包服务提供方采取切实措施,有效防范因故意或疏忽造成金融机构自身及其客户的保密信息泄露。
六、韩国的有关法律规定
韩国于1998年12月24日由资讯与通信部门(the Ministry of Information and Communication,MIC)完成《电子签名法》(Electronic Signature Act,ESA)的立法,1999年又先后完成《电子交易基本法》(Electronic Transaction Basic Act,ETBA)与《信息网络法》(Information Networks Act)的立法,并持续进行了《电子资金划转法》(Electronic Fund Transfer Act,EFTA)[或《电子货币法》(Electronic Currency Act)]的立法程序。
(一)货币政策方面
由于电子货币(E-money)的总量还很小,因此,还未被纳入货币发行量进行统计。一旦电子货币的使用开始普及,韩国银行(Bank of Korea)将会把这种新型货币纳入货币统计范围。
目前规制预付价值卡(包括电子货币)的主要法规是《专门信用金融业务法》(Specialised Credit Financial Business Act)。其规定包括要求附担保的产品和可回赎的产品的发行人预留发行总额3%的准备金,等等。因为这部法案最初只是为了规范预付价值卡,因此对电子货币的规制并不充分。因此政府向国会提交了《电子金融交易法(草案)》(a Draft Electronic Financial Transaction Act),草案的内容包括电子货币和电子金融交易的定义和规制。
(二)安全方面
采取了一些提高安全程度的措施,比如排除了卡对卡的交易(Card-tocard Transaction),交易的每一步都要求认证,对预付卡中的价值设置限额,妥善管理密钥,等等。
(三)监管方面
目前政府还没有宣布对于电子货币的发行必须经过其许可。但是韩国银行(BOK)认为其应该设法对发行和经营电子货币的信用卡公司的财务状况进行检查。
韩国的电子货币产品目前看来对洗钱等犯罪活动很少具有吸引力,因为其产品禁止卡对卡的交易以及对产品设定储值的最高限额。但是韩国中央银行正设法通过对电子货币的发行和运营确定详细的规则来使韩国的电子货币产品对犯罪分子的吸引力降到最低限度。
此外,目前政府还没有采取具体的措施来解决关于税收、消费者保护、竞争方面的问题。
(四)韩国金融监管委员会《金融服务公司外包规范》
2005年7月27日,韩国金融监管委员会修订《金融服务公司外包规范》,该修订最重要的变化就是对可能外包的活动从列举式变为排除式,从而大大增加了金融服务企业可以外包的活动范围。本次修订主要包括以下内容。
1.外包范围
原则上,金融服务企业可以外包其活动,除非该活动:构成该金融服务企业核心业务的一部分;法律强制金融服务企业从事的活动;将对金融服务企业的安全性造成威胁,损害其业务秩序或损害消费者的利益。
此外,规定中明确规定了何种活动构成金融服务企业的核心业务,因此非核心业务的外包将不会受到监管者的干涉。
修订后的规定将外包定义为“利用第三方的服务或设施从事经FSC/SS批准的金融服务活动”,并规定外包的范围包括金融服务企业的“后台”及其他支持。原则上,除相关法律另有规定或是外包可能造成对顾客利益的损害外,“后台”及其他支持活动均可外包。
修订后的规定特别指明可接受金融服务企业外包工的“第三方”既包括个人(自然人)也包括法人。
2.对外包活动的报告
第一,对新形式的外包需要提前报告。作为保障措施,在开展新形式的外包之前需要提前备案,以确保金融服务企业遵守监管方面的要求,并确保对金融公司外包的监管维持在一个适当的水平上。
第二,对已外包的活动采用简化的报告程序。现阶段无须报告的外包活动需要每半年报告一次,报告时只需使用较短的报告表。此规定的目的在于确保对外包活动的适当监管。
第三,关于外包的内部指导原则。金融服务公司应当建立关于外包的内部指导原则以及控制措施,以便系统化管理有关外包活动的风险。金融服务公司应当在采纳新的强制性规定的基础上,结合金融服务具体领域的特征以及服务公司自身的特点、订立拟施行的内部指导原则以及控制措施。
七、日本的有关法律规定
(一)电子货币方面
预付价值卡及其发行人适用1998年12月发布的《预付证明规制法》(通常称《预付卡法》)。预付工具的发行人要求向内阁总理大臣备案或登记,并且政府有权对这些机构行使检查或者要求其提供相关信息和文件。如果发行在外的未使用的价值超过1000万日元,那么发行人就必须向司法部法律事务署缴存相当于未使用价值一半或者一半以上的准备金。
《预付卡法》允许预付工具的发行人成立行业组织。从2002年12月到2003年7月,预付卡发行人行业组织下设的一个工作组开始一项新型支付工具引起的消费者保护和其他问题的研究。
(二)网络支付方面
2001年日本发布了《有关为了利用信息通信技术所进行的相关文书支付等的调整的法律》,在民法典之外承认了电子承诺和电子要约在消费者合同中的效力。这项法律也建立了有效的关于在线交易的消费者保护措施。
(三)监管方面
作为日本支付体系的监管者,日本银行密切监管私人部门零售支付体系的发展,包括电子货币、网络支付,关注这些发展所带来的效率和风险。目前,无论从其交易的规模或者性质来看,这些支付还不被认为会对日本的整个支付体系产生系统性的影响,日本银行还不认为需要对这个问题予以紧急关注。
八、中国台湾的有关法律规定
(一)电子货币政策
尽管目前台湾电子货币使用的比重还很小,但是一旦电子货币的使用成为主流,台湾的“中央银行”将面临重大的挑战:铸币税的减少;货币政策的有效执行受到阻碍;加大了管理支付和清算系统的负担;维持一个稳定的外汇汇率更加困难。
为了应对这些问题,台湾的银行必须获得相应的管理部门的批准才能发行预付价值卡;并且相应的管理部门可以在咨询“中央银行”的意见后制定发行的批准和管理方面的规章。“财政部”于2001年10月8日发布了“银行发行预付价值卡批准的管理规定”(Regulations Governing Approval of the Issuance of Store Value Cards)。根据这项管理规定,非银行机构不得以预付价值卡的形式发行电子货币。发行预付价值卡被视为吸收存款,因此吸收的金额必须根据“存款保险法”(Deposit Insurance Act)第4条投保。另外,“中央银行”要求发行行从2002年1月开始每个月向其报告电子货币方面的数据。
根据这项管理规定,“中央银行”有权对发行电子货币的银行实行现场检查,重点在银行电子货币经营层面,包括执行机制、IT技术系统、安全控制、反欺诈、商业运营指南、内部审计、内部控制、风险管理等。当一家被授予牌照的银行违反了上述规定时,“中央银行”有权采取及时措施或者在必要时施加一系列处罚。
(二)网络支付政策
为了给电子商务创造一个稳定的法律环境,中国台湾发布了一些规定。
“金融机构从事电子银行业务的安全和管理标准”(1998年5月):这些标准的目的在于建立电子银行业务安全控制的最低标准,包括对称和非对称密码规则等。用于降低安全风险,比如信息的篡改、交易的否认以及黑客攻击等。当银行从事电子银行业务时,应该采取适当的防范措施来保护重要的数据以及基于个人电脑、专用网络或开放性公众网络的支付命令的发送渠道。这些防范措施的采用必须使数据满足机密性、完整性、真实性、不可复性及不可否认的要求。
“个人电脑及网络银行服务标准合同”(1999年5月):这个合同主要是为希望给客户提供电子银行业务的银行提供一个范本。
此外还出台了“电子签章法”和“电子商务中的消费者保护指引”。
表2-1 各国(地区)在电子支付方面的立法及监管一览[1]
续表
九、部分经济体电子支付法律规定的启示
(一)立法技术方面
首先,在立法上首先应该对相关的概念,比如电子支付、电子货币、预付价值卡等进行详细具体的界定。美国的《电子资金划转法》对电子资金转移进行了详细的界定,欧盟的《电子货币报告》首先也是界定了电子货币的概念。只有明确相关的概念,才能清晰相关法律法规的适用范围,将市场上的产品纳入其中。我国目前的法律对于概念的界定还不够重视,界定概念的条款与国外类似法律规定相比只能说是三言两语地一带而过。带来的后果就是在法律适用过程中,哪些产品应该适用这部法律,哪些产品在适用的范围之外就不是很清楚,这样就导致了相应主管部门解释权的过大。《银行卡管理办法》第二章的分类及定义条款就相当简略,尽管与之前的《信用卡业务管理办法》相比已有很大的进步。
其次,发达国家电子支付的相关规定一般都比较注重技术上的中立性。因为电子支付产品还处在技术变革中,市场需要和技术的发展一直在不断变动,所以相关立法应避免对市场上技术的发展施加影响。因此,我国的主管部门在立法的过程中也应注意给市场主体的发展以相应的空间,不应在市场发展初期即扼杀这个市场发展的活力。
最后,对电子货币的发行人,各国监管当局一般都要求其具有相应的资质及符合一定的审慎监管的要求。另外,一般还要求其执行一定的反洗钱等反金融犯罪方面的规定。
(二)构建合法的信息披露机制
商业银行信息披露不仅关系到银行的规范经营以及股东权益保护,而且对银行接受社会监督、监管机构监督有极为重要的意义。近年来,有关国家和地区(如美国和中国香港)制定相应的信息披露规则,强化了商业银行(包括其董事及高级管理人员)在信息披露方面所承担的义务和责任,如美国的《萨班斯—奥克斯利法案》(SOX)。中国有关法律及监管法规虽然对公司的信息披露作了原则性规定,但仍显薄弱,有必要强化商业银行在信息披露方面所承担的责任。对于商业银行而言,应加强内控机制,增强信息披露的主动性和合法性。
(三)加强网上银行交易安全保障
1.防范网络欺诈,维护银行消费者权益
为防范虚假网站等网络欺诈对银行消费者造成侵害,银行有必要建立网络监测及相关信息收集的工作机制,指定和培训有关人员专门应对处理虚假银行网站问题。银行应注意加强对银行消费者的教育,向银行消费者发布声明材料,通过网站警示向消费者介绍利用电子邮件或网址链接等各种方式实施网络诈骗的行为;同时,告知银行消费者妥善保护网上银行用户名、密码、银行卡号等相关信息,防范不法分子利用上述信息实施欺诈或窃取消费者账户资金等。
2.完善网上银行客户身份认证程序
银行应改进并完善电子交易中客户身份认证技术和程序,确保客户信息等数据的保密及完整性,确保网上银行交易模式在技术上及操作上的可靠性和安全性。
(四)加强对银行消费者的教育
为了使消费者正确认识和把握银行产品与服务的特点、风险,保护消费者的正当权益,应当进一步加强对银行消费者的教育,明确银行在教育银行消费者方面的职责和义务。加强银行消费者教育工作需要注意以下几个问题。
1.对银行消费者的教育应体现公平原则
向消费者提供的信息应当公正,不应存在误导因素或偏见的内容。同时,银行消费者的教育应体现便利原则,银行应通过消费者容易获取的信息渠道及方式向其消费者(包括一般公众)提供有关金融业务的咨询和教育,扩大金融教育覆盖的广度和深度。
2.对银行消费者的教育应符合消费者的实际需求
银行消费者教育的有关方案应满足消费者或客户的现实需求,考虑受众的理解能力及其可能获取金融信息的方式。例如,银行在推出新产品时,可以通过产品说明书等方式以通俗易懂的语言和表述方式向客户解释说明产品的结构、特征及风险等问题。
3.对银行消费者的教育应当突出重点
银行在制订消费者教育方案时,应根据金融环境、银行业务和消费者的实际情况,优先解决若干重点问题,突出重点。例如,在网上银行业务中,银行应针对消费者普遍关注的热点,教育并引导银行消费者识别常见的网络欺诈、电话欺诈、手机短信欺诈的表现方式及其防范对策,提高银行消费者对有关风险的防范意识和辨别能力。
4.加强金融服务外包的规范和监管
近年来,中国金融服务外包活动发展迅速,但主要是非核心业务的外包,或者是核心业务部分服务环节的外包,包括技术开发的外包、处理程序的外包、业务营销的外包、某些专业性服务的外包以及一些后勤服务的外包等。此外,随着中国银行机构国际化进程不断加快以及越来越多境外银行进入国内市场,银行业务跨境外包问题也引起了人们的关注。因此监管部门应针对中国金融服务外包问题完善有关监管法律,而银行在委托或接受外包时也应建立内控机制,防范服务外包中可能引发的各种风险。在这个问题上巴塞尔银行监管委员会《金融服务外包指引》的基本要求及韩国《金融服务公司外包规范》的监管思路对中国监管机构及银行均有一定的参考价值。
第三节 中国关于电子支付的法律规定
一、关于银行卡的法律规定
1994年国内贸易部出台了《关于加强信用卡管理的若干规定》,对企事业单位申领信用卡作了规定。1996年中国人民银行为了规范和管理信用卡业务,促进中国信用卡市场的健康发展,制定了《信用卡业务管理办法》,对信用卡业务规则、业务管理以及信用卡的申领与销户等事项作了具体的规定。该办法对中国信用卡市场的发展起到了良好的推动作用。但是,这一办法在内容上亦存在着不足,如其第3条规定:“本法所称的信用卡,是指中华人民共和国境内银行(含外资银行、中外合资银行)向个人和单位发行的信用支付工具。”这一定义将银行发行的借记卡也包含在信用卡之列,不符合国际上关于信用卡的定义。再如,该办法要求信用卡的申领者必须向发卡银行缴存备用金(办法第11条),这也不符合信用卡申领的一般做法。为克服该办法的不足之处,更好地鼓励和规范信用卡市场的发展,1999年中国人民银行出台了《银行卡业务管理办法》(以下简称《管理办法》),该《管理办法》对以下几个方面的内容进行了规定。
表2-2 中国电子支付法律法规及规章一览表
(一)《管理办法》对银行卡与信用卡的定义与分类
根据《管理办法》的定义,银行卡是指由商业银行(含邮政金融机构)向社会发行的具有消费信用、转账结算、存取现金等全部或部分功能的信用支付工具。从这一定义可知,银行卡不仅包括商业银行所发行的各类卡片,而且也包括邮政储蓄部门发行的卡片。
《管理办法》明确规定,银行卡包括信用卡和借记卡,信用卡具有透支功能,而借记卡不具备透支功能;信用卡按是否向发卡银行缴存备用金分为贷记卡和准贷记卡,前者持卡人不需要缴存备用金,后者则要缴存一定的备用金。
上述这些规定从本质上对市场上出现的各类卡片作了分类和界定,有利于对各类银行卡进行规范和管理。
(二)《管理办法》对发行银行卡的主体资格和程序的界定
《管理办法》规定,商业银行开办各类银行卡业务,应当按照中国人民银行有关加强内部控制和授权、授信的规定,分别制定统一的章程或业务管理办法,报中国人民银行审批。第63条规定了“非金融机构、金融机构的代表机构经营银行卡业务的,由中国人民银行依法予以取缔”。可见,在中国发行银行卡的只能是商业银行。
《管理办法》第13条规定,商业银行开办银行卡业务应当具备下列条件:开业3年以上,具有办理零售业务的良好业务基础;符合人民银行颁布的资产负债比例管理监控指标,经营状况良好;已就该项业务建立了科学完善的内部控制制度,有明确的内部授权审批程序;有合格的管理人员和技术人员与相应的管理机构;安全、高效的计算机处理系统;发行外币卡还须具备经营外汇业务的资格和相应的外汇业务经营管理水平;中国人民银行规定的其他条件。
(三)《管理办法》对使用贷记卡进行交易提供一定的优惠条件并规定了银行计息和电子支付涉及的其他机构的收费标准
贷记卡持卡人进行非现金交易的,按规定可享受一定的优惠条件,即在银行记账日至发卡行规定的到期还款日之间享受免息还款期待遇,免息还款期最长可达60天。如果超出免息还款期的,还可按照发卡行的规定享受最低还款额待遇。
《管理办法》对在ATM机上取款的上限和取款手续费的承担作了规定,填补了《信用卡业务管理办法》的空白。
(四)《管理办法》设专章对银行卡当事人的权利义务作了明确的规定,加强了对持卡人利益的保护
发卡人首先有信息披露的义务,包括初始信息披露和定期信息披露。初始信息披露是发卡人与消费者在缔结银行卡使用协议时向消费者披露信息。《管理办法》第52条规定:“发卡银行应当向银行卡申请人提供有关银行卡的使用说明资料,包括章程、使用说明和收费标准。”如果银行卡设了密码,“发卡银行应当在有关卡的章程或使用说明中向持卡人说明密码的重要性及丢失的责任”。与之相对应,第53条同时规定了持卡人的信息知悉权,“申请人、持卡人有权知悉其选用的银行卡的功能、使用办法、收费项目、收费标准、适用利率及有关的计算公式”。定期信息披露是发卡人和持卡人在缔结有关银行卡使用的合同后,发卡人在规定的时间定期向持卡人披露有关信息,体现为发卡银行应当向持卡人提供对账服务,按月向持卡人提供账户结单。同时,持卡人有权在规定时间内向发卡银行索取对账单,并要求对不符账务内容进行查询或改正。
《管理办法》还规定,发卡银行应当本着权利义务对等的原则制定银行卡申请表和信用卡信用合约;应设立针对银行卡服务的公平、有效的投诉制度;应当设立24小时挂失服务电话。实践证明,这些规定对改变过去由于发卡银行与持卡人间信息不对称而造成的持卡人极为被动的状况起了有效的纠正作用,有力地保护了持卡人的合法权益。
(五)《管理办法》规定了银行卡的争议解决机制
银行卡在使用中,很有可能出现错误,对产生的争议如何解决,《管理办法》第53条规定了持卡人投诉的权利,即“持卡人享有发卡银行对其银行卡所承诺的各项服务的权利,有权监督服务质量并对不符服务质量进行投诉”。第52条则对发卡行的义务进行了规定:“发卡行应当设立针对银行卡服务的公平、有效的投诉制度,并公开投诉程序和投诉电话。发卡行对持卡人关于财务情况的查询和改正要求应当在30天内给予答复。”通过上述两条规定,强制发卡行建立争议的内部解决机制,对持卡人的权益进行保护。但是,该《管理办法》只对发卡行的义务和期限予以规定,对举证责任的分担、未在30天内答复或超期答复或持卡人对答复不满意的处理、银行的责任和免责事由等都未详细规定。
对于客户和银行之间民事争议的解决,最有效的依据是持卡人和发卡人之间为使用银行卡而签订的合同,这直接关系到双方的权利、义务和责任的界定。该合同包括:第一,银行卡卡面印有的一些初始信息的内容,其中包括发卡银行名称和注意事项,这些内容作为强制信息披露,应该属于发卡人和持卡人合同的一部分。第二,申请表和领用合约。《管理办法》第56条规定“银行卡申请表、领用合约是发卡银行向银行卡持卡人提供的明确双方权责的契约性文件,持卡人签字,即表示接受其中各项约定”。因此,银行卡申请表和领用合约构成了双方当事人之间的合同。第三,银行卡使用说明材料。发卡人向客户提供的使用说明材料中还包括章程、使用说明和收费标准。既然《管理办法》第54条要求持卡人应当遵守章程及领用合同的有关条款,那么章程就应属于合同的一部分。至于使用说明和收费标准及其他材料,如果其中涉及双方的权利义务和责任,那么这些规定显然也应该属于合同的一部分。对于其他规定,从保护消费者的角度出发,既然这些材料向消费者披露,成为消费者作出理性选择判断的依据,那么也应该成为合同不可分割的一部分。
(六)《管理办法》明确了内部控制和风险管理的要求
银行卡的发行人必须有健全的内部控制制度和风险防范措施,内部控制主要是根据中国人民银行1997年《加强金融机构内部控制的指导原则》建立的,而《管理办法》第41~50条则针对信用卡业务的风险管理进行了规定。
第一,《管理办法》要求认真审查银行卡申请人的资信状况,并据此确定有效担保及其担保方式。发卡银行应当对信用卡持卡人的资信状况进行定期复查,并应当根据资信状况的变化调整其信用额度。根据该《管理办法》第28条的规定,个人申领银行卡(储值卡除外)应提供公安部门规定的本人有效身份证件。2000年4月1日《个人存款实名制规定》实施后,明确要求个人在金融机构开设存款账户时也应当出示本人身份证件。代理人在金融机构开设个人存款账户时,代理人应当出示被代理人和代理人的身份证件。不出示本人身份证件或者不使用本人身份证件上的姓名的,金融机构不得为其开立个人账户。
第二,对银行卡的面值和有效期进行限制。为了保护消费者、预防有关犯罪,银行对银行卡的面值和有效期进行了限制。《管理办法》第37条规定“储值卡的面值或卡内币值不得超过1000元人民币”。正因为在中国申请银行卡必须填写与身份相对应的申请表,使得银行卡与特定的个人相对应,因此,中国通常限制银行卡的转让和转借。
对于银行卡的有效期《管理办法》没有规定,但各发卡行几乎都规定了不同的有效期。例如工商银行《牡丹智能卡章程》规定牡丹智能卡的有效期为1年,中国建设银行《龙卡章程》规定龙卡的有效期为1年或2年,交通银行太平洋卡的有效期为2年等。
第三,要求发卡银行建立授权审批制度,明确对不同级别内部工作人员的授权权限和授权限额。
第四,明确止付名单的管理,及时接收和发送止付名单。
第五,提出了信用卡业务风险控制指标,主要是关于透支额度的规定。要求发卡银行应当遵守信用卡业务风险控制指标,即同一持卡人单笔透支发生额为个人卡不得超过2万元(含等值外币)、单位卡不得超过5万元(含等值外币)。同一账户月透支余额为个人卡不得超过5万元(含等值外币),单位卡不得超过发卡银行对该单位综合授信额度的3%。无综合授信额度可参照的单位,其月透支余额不得超过10万元(含等值外币)。外币卡的透支额度不得超过持卡人保证金(含储蓄存单质押金额)的80%。
第六,明确了发卡银行追偿透支额和诈骗款项的办法,包括扣减保证金、处理抵押物和质物、向保证人追索透支款项、通过司法机关的诉讼程序进行追偿等。
上述规定主要是针对信用卡作出的,而且集中在信用风险(资信审查、透支额度、追偿透支额等)和操作风险(止付名单的管理等)领域,对其他领域的风险涉及很少。随着电子货币、网络银行的发展,中国迫切需要考虑制定有关电子货币风险管理的规章。
第七,提出了银行的保密义务和对客户交易信息的保护,要求发卡银行根据《管理办法》提供对账单的,对账单中记录的信息就成为银行保密义务的范畴。中国法律对银行施加了保密义务,《管理办法》第52条在规定发卡银行义务的同时规定“发卡银行对持卡人的资信资料负有保密的责任”。持卡人在开户时,银行为了确认其合法资格而要求提供和填写的有关表格应该属于资信资料的范畴,而且,凡是跟持卡人使用银行卡进行交易的所有交易信息都应属于资信资料,包括客户透支交易信息、日常交易的信息,银行对这些资料负有保密的责任。银行的保密业务也跟存款有关系,《商业银行法》第29条、《储蓄管理条例》第5条均规定了储蓄机构为储户保密的原则,“对个人储蓄存款,商业银行有权拒绝任何单位或个人查询,但法律、行政法规另有规定的除外”。对于银行工作人员的保密义务,《商业银行法》规定“商业银行工作人员不得泄露其在任职期间知悉的国家秘密、商业秘密”。该商业秘密应该包括个人或单位存款及其有关的信息。
在银行卡立法方面,除上述法律外,中国人民银行还颁布了其他一些有关电子支付的法律规范,这些规范主要集中在IC卡方面,如《IC卡卡片规范》、《中国金融IC卡应用规范》、《IC卡管理条例》、《集成电路卡注册管理办法》等。
二、有关账户、交易信息记录和查询的法律规定
发卡银行对客户的资信资料负有保密义务,但在什么情况下发卡银行可以披露这一信息,2002年2月1日起施行的、由中国人民银行发布的《金融机构协助查询、冻结、扣划工作管理规定》(以下简称《规定》),对查询、冻结、扣划个人储蓄存款的条件和程序进行了规定。在此之前有关机构查询的条件和程序分散规定在诉讼法和一些条例、决定或司法解释中,如《民事诉讼法》第221条、《刑事诉讼法》第117条、全国人大常委会通过的《关于国家安全机关行使公安机关的侦查、拘留、预审和执行逮捕职权的决定》、《税收征收管理法》、中国人民银行的《关于执行〈储蓄管理条例〉若干规定》等。
《规定》适用于依法经营存款业务的金融机构(含外资金融机构),包括政策性银行、商业银行、城市和农村信用社、财务公司、邮政储蓄机构等均适用该规定。所谓“协助查询”是指金融机构依照有关法律或行政法规的规定以及有权机关查询的要求,将单位或个人存款的金额、币种以及其他存款信息告知有权机关的行为。所谓“协助冻结”是指金融机构依照法律的规定以及有权机关冻结的要求,在一定时期内禁止单位或个人提取其存款账户内的全部或部分存款的行为。而所谓“协助扣划”是指金融机构依照法律的规定以及有权机关扣划的要求,将单位或个人存款账户内的全部或部分存款资金划转到指定账户上的行为。该规定明确了有权机关是指依照法律、行政法规的明确规定,有权查询、冻结、扣划单位或个人在金融机构存款的司法机关、行政机关、军事机关及行使行政职能的事业单位,并在规定后附上了有权单位的名单。
同时,该《规定》还规定了查询、冻结和扣划的程序。
该《规定》明确了金融机构以及有权机关负有保密义务,还对冻结的期限、冻结发生错误如何处理等事项进行了规定。
该《规定》的实施,解决了原有法律对非银行机构作为电子货币发行人保密义务不适用的状态,使保密义务的规定适用于所有从事此项业务的机构。但是,现有保密义务的规定侧重于公共机构获得信息的权利,缺乏对客户救济手段的规定,并且对于非公共机构在什么情况下获得客户信息缺乏相关规定。例如,一些统计或调查机构,为了分析和统计需要利用个人数据时,需要通过什么条件和程序。
三、有关预防利用电子支付犯罪的法律规定
中国人民银行制定了《金融机构反洗钱规定》、《人民币大额和可疑支付交易报告管理办法》和《金融机构大额和可疑外汇资金交易报告管理办法》,上述规章的内容主要包括以下内容。
(一)金融机构的反洗钱工作原则和制度确立了金融机构反洗钱工作的三项原则
合法审慎原则,是指金融机构应当依法并且审慎地识别可疑交易,做到不枉不纵,不得从事不正当竞争妨碍反洗钱义务的履行;保密原则,是指金融机构及其工作人员应当保守反洗钱工作秘密,不得违反规定将有关反洗钱工作信息泄露给客户和其他人员;与司法机关、行政执法机关全面合作原则,是指金融机构应当依法协助、配合司法机关和行政执法机关打击洗钱活动,依照法律、行政法规等有关规定协助司法机关、海关、税务等部门查询、冻结、扣划客户存款。
(二)要求金融机构制定反洗钱内控制度和设立组织机构并建立金融机构反洗钱的四项主要制度
1.了解客户制度
是指金融机构在与客户建立业务关系或与其进行交易时,应当根据法定的有效身份证件或其他可靠的身份识别资料,确定和记录其客户的身份。目前,中国银行业了解客户制度已经基本建立。依据账户管理制度,无论是个人还是单位开立人民币账户和外汇账户都应向开户银行出具证明其真实身份的文件,而且《个人存款账户实名制规定》要求储户在办理存款业务时,必须出示能证明其真实身份的法定实名证件。
2.大额交易报告制度
是指凡支付金额在规定金额以上的交易,不论是否异常都要向中国人民银行或者国家外汇管理局报告的制度。
3.可疑交易报告制度
是指当金融机构按照中国人民银行规定的有关指标,或者怀疑与其进行交易客户的款项可能来自犯罪活动时,必须迅速向中国人民银行或者国家外汇管理局报告的制度。
4.保存记录制度
是指要求金融机构在一定期限内保存客户的账户资料和交易记录。
(三)明确人民银行和国家外汇管理局的职责
明确人民银行是中国银行业反洗钱工作的领导和监督管理机构,国家外汇管理局负责制定大额、可疑外汇资金交易报告标准,并对大额、可疑外汇资金交易报告工作进行监督管理。
2006年10月31日,全国人大颁布了《反洗钱法》,第3条规定:“在中华人民共和国境内设立的金融机构和按照规定应当履行反洗钱义务的特定非金融机构,应当依法采取预防、监控措施,建立健全客户身份识别制度、客户身份资料和交易记录保存制度、大额交易和可疑交易报告制度,履行反洗钱义务。”第4条规定:“国务院反洗钱行政主管部门负责全国的反洗钱监督管理工作。国务院有关部门、机构在各自的职责范围内履行反洗钱监督管理职责。国务院反洗钱行政主管部门、国务院有关部门、机构和司法机关在反洗钱工作中应当相互配合。”第5条规定:“对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息,应当予以保密;非依法律规定,不得向任何单位和个人提供。反洗钱行政主管部门和其他依法负有反洗钱监督管理职责的部门、机构履行反洗钱职责获得的客户身份资料和交易信息,只能用于反洗钱行政调查。司法机关依照本法获得的客户身份资料和交易信息,只能用于反洗钱刑事诉讼。”
金融机构依据三个规章开展反洗钱工作并不会违反保密义务,侵犯客户的权利。原因在于以下几方面。
第一,根据中国《宪法》、《商业银行法》、《储蓄管理条例》、《个人存款账户实名制规定》等法律、行政法规的规定,个人和单位存款只要是合法的,不仅其所有权受法律保护,而且金融机构还负有为储户保密的义务。金融机构及其工作人员在依法履行反洗钱义务时,要认真负责,不得违反上述对客户权利的保护性规定。否则,金融机构要受到相应的处罚。
第二,金融机构执行了解客户制度不会侵犯客户的权利。在中国,了解客户制度已经是中国银行业的一项基本制度,例如《个人存款账户实名制规定》就要求金融机构在向个人提供服务时,应当要求其出示本人身份证件,进行核对,并登记其身份证件上的姓名和号码。三个规章只是对现存的制度予以规范,不仅不会侵犯客户的权利,而且会进一步加强对客户的保护。
第三,金融机构执行大额、可疑交易报告制度和保存记录制度时,并不妨碍为客户保密义务的履行,不会侵犯客户的权利。理由是:其一,在中国银行业已经建立了大额提现报告制度和大额支付交易登记备案制度,金融机构正确执行此制度,不会出现侵犯客户权利的情况。其二,接受金融机构报告的中国人民银行或国家外汇管理局会依据有关法律、行政法规的规定严格保护客户秘密,对所保存记录负有责任。金融机构和监管部门不会将记录泄露给社会公众或无权和不应知悉记录的人。特别需要指出的是,上述制度对金融机构反洗钱工作非常必要,可以有效地威慑洗钱的犯罪分子,其中保存记录制度不仅可以为打击洗钱犯罪提供基础保障,还可以为司法机关继续侦查提供原始记录。
四、有关网上银行的法律规定
在网上银行立法方面,目前主要有中国人民银行颁布的《网上银行业务管理暂行办法》和《电子支付指引(第一号)》,中国银行业监督管理委员会颁布的《电子银行业务管理办法》和《电子银行安全评估指引》。
(一)《网上银行业务管理暂行办法》
该办法分为总则、网上银行业务市场准入、网上银行业务的风险管理、法律责任4章,共32条。具体内容包括下面几方面。
1.对网上银行业务作了明确界定
《网上银行业务管理暂行办法》第3条规定:“本办法所称的网上银行业务,是指银行通过因特网提供的金融服务。”对于境外银行向中国大陆居民提供网上银行业务或大陆银行向境外居民提供网上银行业务,均须事前向中国人民银行申请。
2.网上银行的风险管理
《网上银行业务管理暂行办法》规定,银行应制定并实施充分的物理安全措施,以有效地防范外部和内部非授权人员对关键设备的非法接触;银行应采用合适的加密技术和措施,以确认网上银行业务的用户身份和授权,保证网上交易数据传输的保密性、真实性,保证通过网络传输信息的完整性和不可否认性。银行应实施有效的措施,并制定必要的系统运行考核指标,定期或不定期地测试银行网络系统和业务操作系统的运作情况,防止网上银行业务系统隐患和黑客入侵及计算机病毒的侵袭。上述规定,不仅对于加强网上银行业务的监管具有重要意义,而且对明确银行的风险控制义务,确定电子支付的风险责任承担具有重要意义。
《网上银行业务管理暂行办法》作为中国第一个网上银行的规范性文件,对中国网上银行与电子支付的发展起到了良好的推动作用。
(二)《电子银行业务管理办法》(以下简称《办法》)和《电子银行安全评估指引》(以下简称《指引》)
《办法》共9章99条。第一章总则,明确界定了电子银行的概念和范围,将电话银行、网上银行、手机银行等统一到电子银行的监管范畴之中,并规定了《办法》的适用范围及开展电子银行业务的基本原则。第二章申请与变更,规定了金融机构申请开办电子银行业务,或者变更电子银行业务品种的条件、要求和审批程序。第三章风险管理,规定了电子银行战略风险、信誉风险、运营风险、法律风险、信用风险、市场风险等风险管理的基本原则和方法,明确了电子银行风险管理体系和内控制度建设、授权管理机制等要求。第四章数据交换转移管理,规定了电子银行数据转移的条件和管理方式。第五章业务外包管理,规定了电子银行业务外包和选择外包方的基本要求,以及对业务外包风险的管理原则。第六章跨境业务活动管理,界定了跨境业务活动的范围,明确了开展跨境业务活动的要求。第七章电子银行业务的监督检查,规定了电子银行业务日常监管的基本要求。第八章法律责任。第九章附则。
《指引》共有5章57条。主要致力于解决电子银行业务的安全方面的问题。第一章总则,界定了电子银行安全评估的含义,以及电子银行安全评估管理的基本原则。第二章安全评估机构,说明了可以从事电子银行安全评估的机构种类、条件,以及有关资质认定的规定。第三章安全评估的实施,说明了电子银行安全评估应遵守的基本流程、评估内容和评估方式。第四章安全评估活动的管理,说明了涉及电子银行安全评估的各类相关机构,在电子银行安全评估过程中应遵守的要求。第五章附则,对《指引》的其他相关问题进行了解释说明。
电子银行的监管,既要立足于国内电子银行业务发展和管理的实际,遵照国家法律的有关规定,也需要积极借鉴境外电子银行监管的做法,符合电子银行技术和信息安全的国际准则。银监会在制定《办法》和《指引》的过程中,研究和参考了大量境外相关机构的有关规定,在电子银行监管方式、信息技术标准、监管原则等方面基本实现了与国际接轨。
《办法》主要借鉴了巴塞尔银行监管委员会的《电子银行业务风险管理原则》,美国货币监理署(OCC)的《电子银行最终规则》(Electronic Banking:Final Rule)、《规则E:电子资金划转法》(Regulation E /Electronic Funds Transfer Act)、《电子通道信息披露统一标准:规则M、Z、B、E和DD》(Uniform Standards for the Electronic Delivery of Disclosures:Regulations M、Z、B、E and DD)、《网络银行检查手册》(Examination Handbook on Internet Banking)等,欧洲银行标准委员会的《电子银行报告》,以及中国香港金融管理局的《电子银行服务的安全风险管理》等金融机构和监管机构的有关监管规定和规则,总结了近几年来中国电子银行发展与监管的经验和问题,侧重于切实提高商业银行等金融机构自身的电子银行风险管理能力和监管机构对电子银行风险状况的及时监测与评估能力,提高电子银行监管的针对性和可操作性。
《指引》主要借鉴了《信息安全管理实务准则》(ISO17799)、《信息技术安全性评估准则》(GB/T18336.1)、《计算机信息系统安全保护等级划分准则》(GB17859)、《计算机信息系统安全专用产品分类原则》、《交易性电子银行业务安全性独立评估指引》(中国香港金融管理局)、《电子银行风险管理原则》(巴塞尔银行监管委员会)等相关准则和规定。
(三)《电子支付指引(第一号)》
1.对《电子支付指引(第一号)》的初步评价
中国的电子支付近年来发展非常迅速,新兴电子支付工具不断出现,电子支付交易量不断提高,逐步成为中国零售支付体系的重要组成部分。这些都迫切要求我们就电子支付活动的业务规则、操作规范、交易认证方式、风险控制、参与各方的权利义务等进行规范,从而防范支付风险,维护电子支付交易参与者的合法权益,确保银行和客户资金的安全。总体来看,目前中国电子支付的法律环境基本处于空白的阶段,电子支付的发展又呈现发展快、涉及范围广、环节多、形式多样等趋势,伴随着这些新特点的是更多新的问题,这些问题都有待于我们逐步通过电子支付的法制化建设予以解决。
2005年10月26日,中国人民银行发布了《电子支付指引(第一号)》(中国人民银行公告[2005]第23号,以下简称《电子支付指引》),对银行从事电子支付业务提出了指导性要求,以规范和引导电子支付的发展。
该《电子支付指引》以银行与客户关系为主线,以规范电子支付、强化电子支付安全为主要内容,将“以规范促发展、在规范中发展”作为基本原则,以指引的相对灵活的形式与效力为自身定位,全面规范电子支付行为,涉及电子支付各方权利义务、责任、安全保障、信息披露、差错处理等多个关键环节。该《电子支付指引》的出台和实施,将有利于推动电子银行业务和电子商务的健康、有序发展;有利于明确电子支付活动参与各方的权利义务,防范支付风险;有利于推动支付工具创新,提升支付服务质量;有利于防范和打击洗钱及其他金融违法犯罪活动。
2.《电子支付指引》的适用范围
《电子支付指引》所称的电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的行为。电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。
《电子支付指引》的规范主体主要是银行及接受其电子支付服务的客户。根据参与主体的不同,电子支付分为发生在银行之间的电子支付、银行与其客户间的电子支付以及其他支付服务组织与其客户之间的电子支付。随着电子商务的发展,作为银行向客户提供的新型金融服务产品,大量的电子支付服务面对的是个人消费者和商业企业在经济交往中产生的一般性支付需求,服务的对象数量众多、支付需求千差万别,与人们日常生活息息相关,对社会影响广泛。保证这类电子支付系统的独立性和效率非常重要。这类电子支付参与主体众多,涉及银行、客户、商家、系统开发商、网络运营服务商、认证服务提供机构等,其中银行与客户之间的关系是这类电子支付赖以存在的基础和前提。因此,《电子支付指引》以调整银行和客户之间的关系为主线,引导和规范境内发生的银行为客户提供的电子支付业务。
3.《电子支付指引》所体现的七个基本原则
第一,循序渐进原则:由于电子支付活动中支付工具和支付方式的复杂性,参与主体的多样性以及其不断而快速创新的特点,通过一个《电子支付指引》进行全面规范的难度较大。因此,针对电子支付业务的特点、模式和参与主体的不同,综合不同发展阶段的管理要求,陆续出台相应的“指引”,以对电子支付进行较为全面的规范,这就是循序渐进的原则。《电子支付指引》主要规范银行及其客户之间的权利义务关系。目前,人民银行已经着手研究电子支付过程中涉及的虚拟货币、非银行支付服务组织的电子支付业务规范等问题。这些可能就是我们即将看到的电子支付指引第二号、第三号。再往远看,对电子支票、电子发票等合法性的规定直至电子资金划转法等也都是我们需要解决的问题。
第二,安全第一原则:有鉴于电子支付的高技术性、虚拟性、跨地域性和网络世界种种黑客纵横、病毒频出、欺诈肆虐的现实,高度的安全风险无疑是我们开展电子支付最大的敌人。如果说,该《电子支付指引》通篇都在讲的是一个问题的话,那么这个问题就一定是安全性了。从《电子支付指引》要求银行采用符合有关规定的信息安全标准、技术标准、业务标准;建立针对电子支付业务的管理制度,采取适当的内部制约机制;保证电子支付业务处理系统的安全性,以及数据信息资料的完整性、可靠性、安全性、不可抵赖性;提倡使用第三方认证,并应妥善保管密码、密钥等认证数据等一系列规定和制度设计上来看,都是紧紧围绕安全性出发的。
第三,以规范促发展原则:目前,中国电子支付业务处于创新发展时期,涉及电子支付业务的许多法律制度问题仍处于研究和探索阶段。尤其突出的是第三方支付平台的合法性问题,究竟是按照金融机构的要求来规范它们,还是按照一种第三方中介服务的模式对其进行管理,直接关系着第三方支付业的生存和发展,也是中国进一步发展电子支付所面临的最为棘手的问题。
为给电子支付业务的创新和发展创造较为宽松的制度环境,促进电子支付效率的提高,保障电子支付安全,先通过“指引”这种规范性文件的方式引导和规范电子支付行为,待条件成熟后再上升至相应的部门规章或法律法规,体现了中国监管部门审慎负责的态度和“在发展中规范,以规范促进发展”的指导思想。
第四,重点突破原则:个人和企业在经济交往中产生的一般性支付需求数量众多、需求千差万别,与人们日常生活息息相关,对社会影响广泛。电子支付参与主体众多,涉及银行、客户、商家、第三方支付平台、系统开发商、网络运营服务商、认证服务提供机构等,而各个参与者之间都会发生各种各样的复杂的关系。全面理顺这些关系、明确各方的权利义务是一件相当复杂且具有挑战性的工作,只有抓住其中的主要矛盾才能打开局面,否则很可能陷入顾此失彼的尴尬局面。在这些复杂的关系中,银行与客户之间的关系是这类电子支付赖以存在的基础和前提,相关的第三方支付平台、系统开发商、网络运营服务商、认证服务提供机构等都是为他们服务的。所以,《电子支付指引》以调整银行和客户之间的关系为主线,进而逐步达到明确规范各类关系的目的。
第五,用户至上原则:由于电子支付本身的高技术性、多样性和多环节性,在调整以银行——用户关系为主线的各类关系中,最大的难点无疑就在于如何平衡各方的权利义务关系,这种平衡一方面能体现法律的公平、合理、权利与义务一致的原则,另一方面应具有可操作性,有利于整个行业的长远发展。绝对的平衡一般是不可能的,相对的平衡就在于发生利益冲突时以哪方利益为先的选择上,综观该《电子支付指引》,这种问题的答案应该是用户。比如该《电子支付指引》第42条规定:“因银行自身系统、内控制度或为其提供服务的第三方服务机构的原因,造成电子支付指令无法按约定时间传递、传递不完整或被篡改,并造成客户损失的,银行应按约定予以赔偿。因第三方服务机构的原因造成客户损失的,银行应予赔偿,再根据与第三方服务机构的协议进行追偿。”第47条规定:“因不可抗力造成电子支付指令未执行、未适当执行、延迟执行的,银行应当采取积极措施防止损失扩大。”第27条规定:“银行使用客户资料、交易记录等,不得超出法律法规许可和客户授权的范围。银行应依法对客户的资料信息、交易记录等保密。除国家法律、行政法规另有规定外,银行应当拒绝除客户本人以外的任何单位或个人的查询。”
第六,规范技术应用关键环节的原则:在该《电子支付指引》中,电子支付包括网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易等各种形式,涉及计算机、电话、销售点终端、自动柜员机、移动通信工具等多种终端设备,可以说,技术含量非常丰富,而不同技术应用模式的具体应用环境、安全性要求等也往往存在较大的差别。如果我们把规范的落脚点放在一些技术细节上,就可能导致我们疲于应付的局面,只有抓住各类应用模式普遍具备的一些关键环节进行约束,才能起到事半功倍的效果。所以,在该指引中,明确要求银行应与客户签订协议,客户终止电子支付协议应提出电子或书面申请,银行应采取有效措施保证电子支付业务处理系统中的职责分离,银行应确保对电子支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制,银行应与开展电子支付业务相关的专业化服务机构签订协议,并确立一套综合性、持续性的程序,以管理其外包关系等,都是一些非常关键的环节,确保对这些环节的有效控制,就基本可以解决各种支付中的主要问题。
第七,贯彻落实电子签名法原则:作为在电子签名法实施半年后出台同时又事关很多电子技术环节的规定,在数据电文的有效性、电子签名的应用、电子认证的推广等方面都提出了明确的要求,是到目前为止我们看到的贯彻电子签名法最为全面、彻底的一部规定。如第5条规定:“电子支付指令与纸质支付凭证可以相互转换,二者具有同等效力。”第10条规定:“银行为客户办理电子支付业务,应根据客户性质、电子支付类型、支付金额等,与客户约定适当的认证方式,如密码、密钥、数字证书、电子签名等。认证方式的约定和使用应遵循《中华人民共和国电子签名法》等法律法规的规定。”第25条规定:“银行应根据审慎性原则并针对不同客户,在电子支付类型、单笔支付金额和每日累计支付金额等方面做出合理限制。银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币。”第34条规定:“银行采用数字证书或电子签名方式进行客户身份认证和交易授权的,提倡由合法的第三方认证机构提供认证服务。如客户因依据该认证服务进行交易遭受损失,认证服务机构不能证明自己无过错,应依法承担相应责任。”
4.《电子支付指引》的主要内容
(1)电子支付活动中客户和银行的权利义务
《电子支付指引》明确要求,客户申请电子支付业务,必须与银行签订相关协议,并对协议的必要事项进行了列举。银行有权要求客户提供其身份证明资料,有义务向客户披露有关电子支付业务的初始信息并妥善保管客户资料。
《电子支付指引》要求客户应按照其与发起行的协议规定发出电子支付指令;要求发起行建立必要的安全程序,对客户身份和电子支付指令进行确认并形成日志文件等记录;要求银行按照协议规定及时发送、接收和执行电子支付指令并回复确认。同时还明确了电子支付差错处理中银行和客户应尽的责任。
(2)信息披露的制度设计
为维护客户权益,《电子支付指引》要求办理电子支付的银行必须公开、充分披露其电子支付业务活动中的基本信息,尤其强调对电子支付业务风险的披露:要求银行明示特定电子支付交易品种可能存在的全部风险,包括该品种的操作风险、未采取的安全措施、无法采取安全措施的安全漏洞;要求银行明示客户使用特定电子支付交易品种可能产生的风险;要求银行提醒客户妥善保管、妥善使用、妥善授权他人使用电子支付交易存取工具。同时,《电子支付指引》还要求银行建立电子支付业务运作重大事项报告制度,按有关法律法规披露电子支付交易信息,及时向有关部门报告电子支付业务经营过程中发生的危及安全的事项。
(3)电子支付安全性的制度设计
安全是电子支付的重中之重。《电子支付指引》要求银行采用符合有关规定的信息安全标准、技术标准、业务标准;建立针对电子支付业务的管理制度,采取适当的内部制约机制;保证电子支付业务处理系统的安全性,以及数据信息资料的完整性、可靠性、安全性、不可抵赖性;提倡使用第三方认证,并应妥善保管密码、密钥等认证数据;明确银行对客户的责任不因相关业务的外包关系而转移,并应与开展电子支付业务相关的专业化服务机构签订协议,并确立综合性、持续性的程序,以管理其外包关系;同时还要求银行具有一定的业务容量、业务连续性、应急计划等。
《电子支付指引》还要求银行根据审慎性原则,针对不同客户,在电子支付类型、单笔支付金额和每日累计支付金额等方面作出合理限制。同时,明确提出了在三种情况下的具体金额限制,即“银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币”;“银行为客户办理电子支付业务,单位客户从其银行结算账户支付给个人银行结算账户的款项,其单笔金额不得超过5万元人民币,但银行与客户通过协议约定,能够事先提供有效付款依据的除外”;“银行应在客户的信用卡授信额度内,设定用于网上支付交易的额度供客户选择,但该额度不得超过信用卡的预借现金额度”等。这些措施对防范电子支付风险,保障客户资金安全将发挥积极作用。
(4)电子证据合法性的制度设计
该《电子支付指引》第5条规定:“电子支付指令与纸质支付凭证可以相互转换,二者具有同等效力。”第9条规定:“银行应认真审核客户申请办理电子支付业务的基本资料,并以书面或电子方式与客户签订协议。银行应按会计档案的管理要求妥善保存客户的申请资料,保存期限至该客户撤销电子支付业务后5年。”第10条规定:“银行为客户办理电子支付业务,应根据客户性质、电子支付类型、支付金额等,与客户约定适当的认证方式,如密码、密钥、数字证书、电子签名等。认证方式的约定和使用应遵循《中华人民共和国电子签名法》等法律法规的规定。”第18条规定:“发起行应采取有效措施,在客户发出电子支付指令前,提示客户对指令的准确性和完整性进行确认。”第19条:“发起行应确保正确执行客户的电子支付指令,对电子支付指令进行确认后,应能够向客户提供纸质或电子交易回单。”第20条:“发起行、接收行应确保电子支付指令传递的可跟踪稽核和不可篡改。”第21条规定:“发起行、接收行之间应按照协议规定及时发送、接收和执行电子支付指令,并回复确认。”所有这些规定都是围绕电子支付指令与签名的合法、有效性的,如果能够按照这样的程序去操作,再结合电子签名法的相关法律依据,应该就可以做到电子支付过程中相关电子证据的合法有效性。
(5)防止欺诈的制度设计
目前,在电子支付领域,种种欺诈、“网上钓鱼”、冒充身份、非法侵入、篡改信息等现象还是比较严重的,这些欺诈侵权行为一旦得手,往往会给用户带来很大的损失。[2]
电子支付是通过开放的网络来实现的,支付信息很容易受到来自各种途径的攻击和破坏,信息的泄露和受损直接威胁到企业和用户的切身利益,所以信息安全是树立和维护客户对电子交易信心的关键。《电子支付指引》要求银行在物理上保证电子支付业务处理系统的设计和运行能够避免电子支付交易数据在传送、处理、存储、使用和修改过程中被泄露和篡改;采取有效的内部控制措施为交易数据保密;在法律法规许可和客户授权的范围内妥善保管和使用各种信息和交易资料;明确规定按会计档案要求保管电子支付交易数据;提倡由合法的第三方认证机构提供认证服务,以保证认证的公正性;要求在境内完成境内发生的人民币电子支付交易信息处理及资金清算。还有,《电子支付指引》对于应用电子签名的要求、签署书面协议的要求、交易限额的要求、日志记录的要求、指令确认的要求、回单确认的要求、信息披露的要求、及时通知的要求等一系列制度的设计都是围绕防止欺诈的。
(6)差错处理的制度设计
在该《电子支付指引》的49条中,关于差错处理的规定就占了10条,应该说是规定得比较全面的,不仅明确了电子支付差错处理应遵守的据实、准确和及时的原则,还充分考虑了用户资料被泄露或篡改,非资金所有人盗取他人存取工具发出电子支付指令,客户自身未按规定操作或由于自身其他原因造成电子支付指令未执行、未适当执行、延迟执行,接收行由于自身系统或内控制度等原因对电子支付指令未执行、未适当执行或迟延执行致使客户款项未准确入账,因银行自身系统、内控制度或为其提供服务的第三方服务机构的原因造成电子支付指令无法按约定时间传递、传递不完整或被篡改等多种实际情况。明确了处理差错的原则和相应的补救措施。
以上信息披露制度、安全保障制度、证据保存制度、防止欺诈制度、差错处理制度可以并称为该《电子支付指引》的五大基本制度。
5.《电子支付指引》的三点不足
作为一部从体例到内容都很具探索意义的规定,在某些细节处理上存在一定的不足或值得进一步探讨之处肯定是在所难免的,毕竟这里面涉及太多的法律问题、技术问题和管理问题。
第一,关于电子支付指令的效力等问题。该《电子支付指引》第5条规定:“电子支付指令与纸质支付凭证可以相互转换,二者具有同等效力。”可以说,这样的规定十分必要,但在实践应用中,由于《电子支付指引》最多只能算作部门规章,该条款能产生多大的效力,却可能需要我们画一个大大的问号。我们希望同样的规定能尽早在一部法律中再一次看到。
第二,关于将电子签名与数字证书等并列的问题。该《电子支付指引》第10条规定:“银行为客户办理电子支付业务,应根据客户性质、电子支付类型、支付金额等,与客户约定适当的认证方式,如密码、密钥、数字证书、电子签名等。”第25条规定:“银行应根据审慎性原则并针对不同客户,在电子支付类型、单笔支付金额和每日累计支付金额等方面做出合理限制。银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币。”
在这两条中,我们看到了同一个问题,那就是把电子签名与数字证书、密码、密钥等并列。因为根据《电子签名法》第2条的规定“本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据”,这里的电子签名的范围是很广的,包括符合条件的密码、口令、密钥乃至眼虹膜透视识别等,当然也包括数字签名,而数字证书只是数字签名的一部分而已。也就是说,密码、密钥、数字证书、电子签名之间存在包容与被包容的关系,不应是可以在一起并列的概念,而即便是并列,出现在这里的也应是数字签名而非数字证书。
第三,关于责任承担的一些问题。该《电子支付指引》第41条规定:“由于银行保管、使用不当,导致客户资料信息被泄露或篡改的,银行应采取有效措施防止因此造成客户损失,并及时通知和协助客户补救。”在这里,我们不得不说,其中回避了一个十分重要的问题,那就是银行是否应作出相应赔偿的问题。
第42条规定:“因银行自身系统、内控制度或为其提供服务的第三方服务机构的原因,造成电子支付指令无法按约定时间传递、传递不完整或被篡改,并造成客户损失的,银行应按约定予以赔偿。”该条款非常重要,体现了用户至上的原则,有利于保护用户的合法权益。但是美中不足的“按约定予以赔偿”的问题,因为在实际操作中,相关约定恐怕都是银行单方面制订的,大部分消费者恐怕都没有进行这方面约定的意识和能力,这样的保护很可能在实践中就要变成“摆设”了。
五、中国电子支付的监管体系
目前,银监会对于银行的银行业务进行监管,央行对于整个支付体系负有监管责任,而银行是支付体系的最主要的参与者。因此在银行的电子支付的业务这方面,会受到来自于银监会和央行双重的监管。因此《网上银行业务管理暂行办法》、《电子银行业务管理办法》、《电子银行安全评估指引》的发布机关为银监会,而《电子支付指引(第一号)》及《支付清算组织管理办法》(征求意见稿)为央行所发布。所以在电子支付的监管问题上,两个机关还需要更好地协调。
2007年6月央行发布《支付清算组织管理办法》(征求意见稿)至今正式条例仍未出台,电子支付监管之难可见一斑。欧盟对于电子支付的监管自20世纪90年代中期已经开始,至今仍在不断评估与提升。我们的监管之路才刚刚起步,更扎实深入的研究是前提与基础。
【注释】
[1]以下资料根据国际清算银行2004年的报告Survey of Developments in Electronic Money and Internet and Mobile Payment整理。该报告可在国际清算银行网站www.bis.org下载。
[2]2004年12月7日,一个假冒中国银行网站出现在互联网上,诱骗银行卡持有人的账户和密码,被揭发后该网站被关闭。不久,一个假冒中国工商银行网站也暴露出来,引起了各大银行的重视。随后中行、工行、农行等多家银行均在其网站上发表“敬告客户”、“安全提示”的信息,提示其网上银行客户登录合法网址。值得注意的是,假工行网站www.1cbc.com.cn与真工行网站www.Icbc.com.cn,只有“1”和“I”之差。2004年11月中旬起,沈阳市公安局先后接到湖北省、天津市、荆门市等群众的报案,他们均称在易趣网站购物时,被在沈阳市某银行开立账户的名叫陆某、王某的卖家分别骗走人民币1030元。之后,自2004年12月8日起,网监处又陆续接到成都市、合肥市市民在互联网上被假工商银行网站骗取人民币的报案,被盗的人民币均划入在沈阳市某银行开立的一个名叫“苏良孝”的账户。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。