电子支付中法律问题调查

第二章　电子支付中的若干法律问题

第一节　电子货币与虚拟货币的法律问题

一、货币的再定义

在电子技术飞速发展的今天，货币形态受到了巨大影响。从实物货币阶段、贵金属货币阶段、代用货币阶段到信用货币阶段，以至用途日益广泛的电子货币，货币的形态一直在演进中。货币形态的演进与货币的职能是紧密相关的。货币的两大职能是价值尺度和流通手段，后一职能则是促使货币形态不断适应促进交换需要的主要动力。正如奥古斯丁·科洛特所言，任何可以测量、计算、系统化的东西，最终总会成为测量、计算、系统化的对象。商业机构并不是天生就需要金属货币，所有方法在促进交换、固定交换价值方面都是有用的。^[1]电子货币的出现证实了200年前的这个预言。

货币是一般等价物，是作为一般等价物作用的商品，这是劳动价值论的定义。从货币的职能出发，货币是普遍被大家接受作为支付货款和服务的手段。“普遍接受”是货币的基本特征。这种普遍接受性在金属货币流通条件下，是由于货币是在长期的商品交换中从商品世界中分离出来的一种扮演一般等价物的特殊商品的性质所决定的。

而在非贵金属货币流通的条件下，货币的普遍可接受性由多种因素决定，大部分情况下由国家的强制力量决定，国家通过法律强制货币进入流通领域，并保证货币的合法流通，此即法定货币。法定货币乃是一国法律规定的有无限法偿能力的支付工具。所谓的无限法偿，即法律规定的无限制偿付能力，其含义是：法律保护取得这种能力的货币，不论支付数额如何大，不论属于何种性质的支付，也不论是购买商品、支付服务、结清债务、缴纳税款等，支付的对方均不得拒绝接受。取得这种资格的货币，在金属铸币流通时期是本位铸币，后来是不兑现的中央银行的银行券。活期存款虽然在经济生活中是普遍被接受的，但一般不享有法偿资格。另外一种情况是，根据货币发行主体的信誉所获得的可接受性，除了国家的法律之外，还有一些货币的流通是依托这些货币的信誉的，比如一些国家的银行券、支票存款货币等。这些货币尽管没有国家法律的保护，但是由于银行存在良好的信誉，所以人们愿意接受。因此，当今货币理论普遍认为，判断一种物品是否是货币，关键看流通领域是否接受，而不在于是否是国家的法定货币。

也正因为如此，比宣布哪种货币是法偿货币更能体现主权本质的是禁止在政府管辖范围内使用不受政府控制的货币。要求人们必须使用政府发行的纸币，而不能运用其他任何东西作为交易媒介。^[2]《中华人民共和国人民币管理条例》第3条规定了中华人民共和国的法定货币是人民币，以人民币支付中华人民共和国境内的一切公共的和私人的债务，任何单位和个人不得拒收。本条款赋予了人民币法定货币的地位。第29条规定任何单位和个人不得印制、发售代币票券，以代替人民币在市场上流通。这样既从正面规定了中国的法偿货币，又从反面禁止使用其他货币。但究竟何种行为构成“印制、发售”代币票券，并且事实上“代替人民币在市场上流通”？电子货币和虚拟货币是独立于法定货币的新型货币或者货币形式吗？发行人与使用者之间的法律关系是怎样的，应当对其进行何种规制？本书对此展开初步讨论。

二、电子货币的定义

（一）电子货币的基本概念

电子货币是一种比较笼统的称谓。人们在使用电子货币这个称谓的时候，通常可以包含许多类型的支付工具。对于其具体的定义和范围，不论是学理研究还是规范性文件至今没有定论。在学理研究上有学者认为电子现金和电子货币不同，电子现金系支票、纸币和硬币的数字化替代物；而电子货币则包含电子现金和大量在国内及国际支付网络上流动的数字资金。有学者则认为电子货币是基于一定的现金和存款，从发行者处兑换并获得代表相同金额的数据，并以读写的电子信息方式储存起来，须清偿债务时使用者可以通过某些电子化媒介和方法，将该电子数据直接转移给支付对象，这种电子数据称为电子货币，即电子货币是基于储值和读写手段的一种支付方式。^[3]有学者把信用卡作为支付工具的支付方式排除在电子货币之外。

1998年8月欧洲中央银行发布的《电子货币报告》，把电子货币定义为：“以电子方式存储在技术设备中的货币价值，是一种预付价值的无记名支付工具，被广泛用于向除电子货币发行人以外的支付，但在交易中并不一定涉及银行账户。”而在此之前，欧盟支付系统工作小组曾于1994年向欧洲货币当局提交了一份《预付价值卡报告》。与《预付价值卡报告》中的电子货币定义相比，1998年报告的定义中增加了以计算机软件为储值基础、以网络为传输通道的电子货币类型，同时剔除了用于支付发行人提供货物或服务的支付工具。国际清算银行巴塞尔银行监管委员会1996年发布的《电子货币的安全》、《电子货币》和《电子银行和电子货币业务的风险管理报告》中都提到电子货币的定义，其共同点在于认为电子货币是储存预付价值的支付机制，与通过计算机网络进入和使用传统支付系统的支付机制有区别，比如其在《电子货币发展对中央银行的影响》报告中把电子货币定义为：“以电子形式储存于由消费者持有的电子设备中的储值或预付产品，以现行货币单位计算的货币价值。”美国通货管制局在1996年发布的一个名为《储值卡系统》的文件中，认为电子现金可以储存在中央计算机上、个人计算机上或者存储在储值卡上，其中，储值卡通常指带有磁条或计算机芯片的卡，含有固定数额的经济请求权或价值，可以像使用纸币或硬币一样转移给其他个人或商户，而另一种电子现金则是以数字计算机数码代表的存储价值，消费者可以通过金融计算机网络用于支付。这个范围与欧盟1998年报告中的电子货币定义是一致的。在美国联邦储备委员会1997年向国会提交的《关于〈电子资金转移法〉适用于电子储值产品的报告》中指出，储值产品通常指一种新的支付手段，一定数额的预付价值的资金或“价值”被记录在消费者占有的设备中，当消费者使用该设施进行支付的时候，其设施中的余额相应地被减少或增加。

从以上分析可以看出，电子货币是以金融电子化网络为基础，以商用电子化机具和各类银行卡为媒介，以计算机技术和通信技术为手段，以电子数据形式存储在银行的计算机系统中，并通过计算机网络系统以电子信息形式实现流通和支付功能的非现金流通的货币。

（二）电子货币的形态

电子货币通常包括两种形态：以IC卡为基础的智能卡和以计算机为基础的电子货币。

前一类型的电子货币以VISA现金卡和蒙得克斯为典型。VISA现金卡的基本运作过程是：消费者从发卡行用现金购买VISA现金卡，或者使用ATM机将自己银行账户中的钱存入手中的VISA现金卡中。消费者从商户那里购买商品或服务时，将VISA现金卡插入特殊终端，终端从卡中扣除相应数额，然后将代表该金钱数额的信号和相关数据传给VISA国际组织，VISA国际组织随之将该信号和相关数据传给商户的开户行。开户行将收到的转账数据和商户的开户银行收到的电子货币币值进行结算。蒙得克斯由三家英国银行联合发行。客户先用现金或者ATM机转账向银行购买智能卡。消费时将智能卡插入销售终端，卡上的金额自动转移到销售终端上。此外，用户手中持有一个电子钱包，可以实现个人之间智能卡上的金额转移。

后一类型的典型是网络硬币（Cybercash）和电子现金（Digicash）。网络硬币主要用于小额支付，通常以1美元的居多，最高的限额为10美元。网络硬币的运作过程为：消费者从网络现金公司免费下载称为“消费者钱包”的专用软件，特约商户的计算机上也安装上被称为“特约商户现金登记簿”的专用软件。消费者在网络现金公司那里开设一个虚拟的账户，特约商户在网络现金公司也有一个同样的账户。消费者从这个账户下载网络硬币放在自己的计算机里，当在互联网上选定物品后，将网络硬币通过互联网传给特约商户的计算机。特约商户再将自己计算机上收到的硬币传给网络现金公司，网络现金公司再在商户的账户上加上相应的金额。因为网络现金公司的账户实际上是一个虚拟的账户，最后的结算仍然需要网络现金公司指示客户的开户银行将金额转到特约商户的开户行。电子现金与网络硬币不同的是没有类似于网络现金公司这样的机构，银行是电子货币的发行人，既有客户的真实账户，又有客户的虚拟账户。当消费者要求发放数字现金时，银行就从虚拟账户上将电子现金传递给消费者，消费者将现金存在自己的计算机上。消费者选定货物后，也通过网络将数字现金传给特约商户，特约商户也使用特殊的软件接受和存储收到的数字现金。最后，特约商户将收到的数字现金传送给发行银行，发行银行认可之后，将其存入特约商户的虚拟账户，特约商户可以选择是将货币留在虚拟账户上，还是将其转到自己在银行的真实账户上。在这类电子货币的运行中，消费者首先要在银行开设一个真实的存款账户，供贷记划转使用，然后再在发行人那里开设一个虚拟的网络账户，供网上支付使用，在进行网上支付时，只需把真实账户上的钱转移到虚拟账户上就可以了。不需要网上支付时，银行与消费者之间就只有储蓄存款关系。而储值卡类电子货币的发行则不具备这个特征，因而储值卡类电子货币的发行并不构成存款。转账结算关系在以计算机为基础的DigiCash模式电子货币的运作中，当消费者需要电子现金时，银行就从消费者的虚拟账户上将电子现金传递给消费者，消费者将电子现金存在自己的计算机上，在选定货物之后，通过网络将电子现金传递给特约商户，特约商户再将收到的电子现金传送给发行银行，发行银行认可后，再将其存入特约商户的虚拟账户。可见，银行即发行人所起到的作用无疑是转账结算。CyberCion电子货币与DigiCash电子货币相同的是，消费者的虚拟账户和特约商户的虚拟账户都是在网络现金公司（发行人）那里开设的，最后由网络现金公司向消费者的开户银行和特约商户的开户银行发出指令进行转账结算。智能卡类电子货币虽然与以计算机为基础的电子货币运转程序不同，但发行人为交易双方转账结算的本质并没有改变。在这一转账结算关系中，发行人为消费者提供转账结算服务，而消费者则负有为得到该结算服务向银行支付相应费用的义务。

（三）电子货币的基本特征

根据以上列举的电子货币的定义和形态总结，电子货币具有包括预付价值、无须授权和开放式储值系统三个基本特征。

1.电子货币是一种预付价值，以实体货币为基础的支付手段

电子货币是根据从使用者处接受的资金而发行的电子数据记录，并且是通过在使用者之间接受和更新完成结算的电子数据记录。电子货币是以现金或存款等实体货币的既有价值为前提，通过其发行主体将货币的价值电子信息化之后生成的。因此，电子货币是实体货币承担交易媒介职能时的形态变化，而价值尺度职能仍由实体货币承担。电子货币与电子支付的关系并不一致，电子货币是进行电子支付的支付工具的一种。预付性是支付工具与支付行为本身相区别的根本特征。电子货币的预付性就体现在以具有存储金额功能的卡类或者计算机软件为存储媒介，但是电子支付则是以电子计算机和网络为手段，将载有特定信息的电子数据取代传统的支付工具用于资金流程，并具有实时支付效力的支付方式，电子银行卡、电子支票、电子货币都可以成为电子支付的工具。即使在网上支付平台中建立虚拟账户进行支付，这种账户并不能真正地区分不同用户的资金，因此不具有存储性的基本特征，还不是一种独立的支付工具。

2.电子货币是类似于现金的无须第三方授权的支付手段

由于现金或存款的电子数据信息存储于智能卡或者计算机软件中，使用电子货币支付时并不与使用者的银行账户发生直接联系，不需要建立网络授权，交易在支付方和接受方之间完成，整个支付过程不需要向对方提供银行账号、信用卡账号等个人信息，因此是安全性最高的支付方式。而其他类似于电子货币的网上支付方式，比如信用卡支付或者电子支票支付方式，都需要通过网络由银行进行支付确认和结算，用户进行支付时需要在线授权，经过相应的网络信息交换中心交换信息、清算交易数额后交易才能完成。但电子货币会面临与现金同样的丢失、被盗等风险，存储有电子货币的卡片或计算机软件丢失就会造成不可挽回的丧权，而不能像其他在线支付工具那样关闭账户。

美联储曾在对《电子资金划转法》的修正案提案中把电子货币进行分类，其中分成在线型电子货币和离线型电子货币，其认为在线型电子货币在支付时必须得到授权，对于这样的电子货币，美联储认为它同传统的转账卡等交易没有本质区别。因此，脱离授权是电子货币区别于传统转账的基本特点之一。

3.电子货币是一种开放式的储值系统

所谓开放式储值系统，是指货币发行方与提供货物或服务方是不同的主体，即货币发行方并不同时向货币持有人提供货物或服务。发行人发行货币，买方用这种货币支付货物或服务的价值，卖方接受该货币，同时或随后从发行人处回赎货币，与发行人进行结算。而封闭式储值卡中，发行人同时也是货物或服务的提供者。持卡人从发行人处购买代表金钱价值的储值卡，然后再用该卡从发行人处购买货物或服务。电子货币则不包括封闭式的储值系统。因为封闭式的储值系统主要是消费者向商家预付消费款项的法律关系，储值卡内的金额根据每次消费扣除一定额度，没有交易媒介的职能，所以不能称之为“货币”。

（四）电子货币当事人之间的法律关系

电子货币中存在三个基本的当事人：发行人、用户和商户。其中，发行人指发行电子货币的机构，用户指向发行人购买电子货币用以支付的一方，商户是接受电子货物并向支付者提供商品或服务的一方。电子货币法律关系涉及储值、支付和回赎三个环节。储值涉及的是发行人和用户之间的关系，支付涉及的是用户和商户的关系，回赎涉及的是商户和发行人之间的关系。

1.发行人与用户之间的法律关系

发行人与用户之间的法律关系主要包括两方面的内容：一是发行人根据兑换比率向用户发行一定数量的电子货币，并允诺向用户提供电子货币支付和结算服务。二是，发行人负有应用户的请求把电子货币回赎为法定货币的义务，即发行人的这一义务具有法定强制性。双方关系是带有回赎承诺的电子货币发行关系。

争议较大的是发行人与用户之间是否就电子货币存在存款关系。根据欧盟在2000年9月18日欧洲议会与理事会颁布的《关于电子货币机构业务开办、经营与审慎监管的2000P46PEC指令》（以下简称《2000P46PEC指令》）中的界定，电子货币发行的性质，可区分两种情况加以理解：第一，该行为若在发行机构的账户上形成了一个贷方余额，则构成《2000P12PEC指令》意义上的接受存款或其他可偿付资金的行为；第二，鉴于电子货币作为法定硬币与钞票之电子替代品具有独特的特征，倘若收取的资金立即兑换成电子货币，则电子货币的发行本质上不构成《2000P12PEC指令》第3条所称之吸纳存款活动。^[4]也就是说如果兑换电子货币的资金在银行的客户账户上形成了贷方余额，则是存款，而不是本文所定义的“电子货币”。在本书所界定的“电子货币”定义下，发行人与用户之间不存在存款关系。根据美国联邦保险公司总理事会意见第8号，电子货币依其所属的银行账户进行分类。属于银行客户账户的电子货币类似于转账卡，属于第三方客户存款的电子货币是由发行人之外的银行收取的电子货币的资金，两者都是FDIC承保的存款。属于银行准备金账户的电子货币则不受联邦存款的保护。^[5]从资金所属账户的角度看来，电子货币不应属于存款。

2.用户与商户之间的法律关系

用户与商户之间的法律关系属于消费合同关系，但由于其电子货币支付的特点，使得这一消费合同与一般消费合同存在着较大的不同：一般消费合同以法定货币进行支付，转移的是法定货币的所有权，与法定货币的发行人没有任何联系，而该消费合同则是以电子货币进行支付，转移的仅是用户对电子货币发行人所享有的回赎请求权，而不是所有权。因此，从电子货币交易的角度来说，用户和商户之间结成了电子货币债权转让的合同法律关系，用户向商户转让的是对发行人享有的储存价值的请求权，其对价则是商户提供的货物或服务。^[6]

3.发行人与商户之间的法律关系

在电子货币储存价值的回赎关系中，发行人有义务以法定货币向商户回赎电子货币的储存价值。

（五）电子货币使用中的法律问题

1.电子货币的发行主体资格

现实情况中，电子货币的发行人除银行之外，还有一些非银行机构。非银行机构进入电子货币领域引起的问题就是规制银行的各种法律法规，包括存款准备金、反洗钱等规定是否适用于发行电子货币的非金融机构。从另外一个角度看，发行电子货币是否构成银行业务，是否属于特许经营活动也值得研究。前书已经探讨过，商业银行的核心业务是吸收公众存款，这项业务只能由商业银行经营。那么，发行电子货币是经营存款业务吗？根据英国1987年《银行法》，存款是指一笔款项，根据一定条件偿还，偿还时需要或不一定需要支付利息，并且，该款项或者根据存款人的要求偿还，或者以存款人和接受存款的人同意的时间或场合偿还。吸收存款业务是指业务过程中吸收的存款被借给他人或其他业务的全部或主要资金都来自于资本或存款。从这两个条件来看，发行电子货币构成存款业务。美国联邦体系下规制银行业务的法律有1934年《联邦存款保险法》、1933年《银行法》、《银行控股法》。联邦存款保险公司从监管的角度对存款作出定义，并进而对电子货币进行分析，与英国法相似。是否把电子货币解释成存款，从而成为银行特许经营的业务是比较模糊的，很大程度上取决于政府的立场。如果从鼓励电子货币的角度，则倾向于认为发行电子货币不是经营存款业务，如美国；如果从消费者权益保护的角度，则认定发行电子货币只能由银行经营，如欧盟。

2.电子货币的损失风险及分配

使用者的风险主要来自三个方面：第一，丢失电子货币时即等于丢失了现金，无法挂失止付。这正是成为货币的条件之一，即匿名性和不可追踪性；第二，当发行人破产或危机时，其发行的电子货币会发生信用危机，一旦被拒绝接受，损失只能由使用者承担；第三，系统风险包括系统故障和外来攻击，如果脱离传统银行体系则用户无法得到救济。^[7]保护用户免受以上损失的措施包括宏观和微观两个方面。宏观上就是提高电子货币发行人的准入条件，并适用对银行的监管手段。微观上包括设立存款保险等制度。

3.电子货币的回赎问题

在上述错综复杂的电子货币交易关系中，发行人始终处于中心地位，发行人通过格式合同明确其与商户和用户之间的关系。而用户则处于弱势地位。电子货币的回赎问题是保护用户权利的重要问题之一。第一，发行人回赎电子货币的义务是电子货币交易得以正常运转的基础。但是对于发行人回赎电子货币的范围、回赎的条件和回赎的限制等问题，立法有没有必要加以干预？这是各国监管机构必须考虑的问题。按照《2000P46PEC指令》第3条的规定，电子货币持有人在有效期间，可要求发行人按硬币或钞票面值回赎电子货币，或通过要求发行人除收取办理该操作所严格必需的费用外免费划账而回赎电子货币。同时，该条款还要求发行人与持有人之间的合同必须清楚地说明回赎的条件，且可以约定一个回赎的最低门槛，只是该门槛不可超过10欧元。除第3条外，《2000P46PEC指令》还在序言中专门论及了电子货币的可回赎性问题。序言明确指出，电子货币的可回赎性本质上不意味着因兑换电子货币价值而收取的资金会被视为存款。而且，如果收到的资金“立即兑换成电子货币”而不是存储于某一账户上，则它们将不构成存款。第二，不能使用储值工具时的兑换权利。储值经营人应确保未损坏的储值工具（独立地或与用户可合理利用的其他设备相结合）能让用户确定储值工具所控制的储存价值的可使用余额。当用户的储值工具或储值工具所控制的储存价值不能再用于支付时，只要储值经营人可以利用自有设备确定储值工具所控制的储存价值的数额，用户就有权行使将储存价值兑换为货币或新的储存价值的权利，但是，储值经营人可以在服务条款中约定，该兑换权应在储存价值或储值工具不能使用之日起的特定期限内（不得少于12个月）行使。但在这种情况下，储值经营人无权收取兑换费用。第三，兑换权利的限制。如果储值经营人能够证明用户的储存价值具有下列任一情况，那么储值经营人就有权拒绝用户将储存价值兑换为货币或新的储存价值的要求：该储存价值并不是由经授权的系统参与者所制造；该储存价值的复制品此前已被兑换过货币；用户要求兑换储存价值并非出于善意。另外，储值经营人可以在服务条款中规定兑换储存价值的方式，如以美元为法定货币，或者以贷记用户在经批准设立的存款吸收机构内的账户，或者用户同意的其他方式兑换。并且还可特别规定当储存价值系统由于安全原因暂停或终止时，用户必须在得到该系统暂停或终止之后的合理期限内行使兑换的权利。^[8]

三、关于虚拟货币的界定

（一）虚拟货币的定义

虚拟货币是对一种网上支付单位的统称，一般通过购买、赠送、奖励等方式获得，对发行人提供的物品或服务不依赖于现实货币而独立地充当价值尺度的计量单位。因为它在价值尺度、交易媒介、价值储藏等功能上与现实的货币相似，因此人们冠之以“虚拟货币”的称谓。

一般地，虚拟货币的购买对象是虚拟物品或服务，而且这些虚拟物品或服务由虚拟货币的发行者提供，但随着虚拟货币的应用范围越来越广泛，发行人也开始向持有者提供真实商品和服务。

（二）虚拟货币的基本特征

从虚拟货币的特点来看，它不是电子货币，不具有流通货币的属性。首先，虚拟货币存在于个人的网上账户中，而不是任何卡基或者以计算机为基础的软件中，没有一般意义上的储值功能。其次，用户为购买虚拟货币的资金一旦支付给虚拟货币销售商，就完成买卖交易，出售虚拟货币是一种买卖合同，而不是储值行为。用户以后每次使用虚拟货币购买发行人提供的商品或服务时，并不是由发行人按笔扣除用户支付的现金，而是完全以虚拟货币为计量单位，在用户的虚拟货币账户内进行贷记、借记记录。再次，接受虚拟货币的一方并不能在发行人处将虚拟货币转换成法定货币，而是以虚拟货币的交换为最终目的。而且，在虚拟货币的服务条款中一般都约定发行人对已经充入个人账户的虚拟货币不能退换。

有的虚拟货币提供商在服务条款中申明其提供的虚拟货币是用于计算用户使用增值服务的种类、数量或时间等的一种统计代码，并非任何代币票券。但由于虚拟货币与计算机用户并没有建立唯一对应关系，也就是说，虚拟货币充入用户账户中后，发行人并不建立虚拟货币与该账户的关系，而是允许虚拟货币在不同用户账户间转让。因此从技术上无法保证虚拟货币仅为发行人向用户提供增值服务时对种类、数量或时间的统计代码，而可以在事实上成为发行人之外的用户之间的交易媒介。

另外，目前有些虚拟货币发行商之间达成协议，约定不同发行人之间的虚拟货币兑换，比如百度币，但是目前只能做到其他虚拟货币购买百度币的单向兑换。在这种协定下，一种虚拟货币可以通过兑换购买多个发行商的增值服务，使之具有一定的流通性。但从法律属性上看，这种购买能力并不是来自自发的普遍认可，而且仍然只是限制在虚拟货币持有人与发行人之间，不同的只是增值服务提供者的范围扩大，因此，这不是交易媒介职能的体现。

（三）虚拟货币的法律属性

1.虚拟货币的“代币”特性

根据前面所述，虚拟货币是持有人向发行人购买的一种虚拟财产，用于直接或间接获得发行人或与发行人合作的其他运营商提供的商品或服务。用户从发行人那里购买虚拟货币，然后又用虚拟货币从发行人那里购买各种商品或虚拟物品，因而虚拟货币又流回到发行人手中。或者经过兑换购买其他运营商的服务或商品，则两家运营商之间再根据协议进行收入分成。在这个过程中，虚拟货币充当了“代币券”的功能。根据《中华人民共和国人民币管理条例》第29条的规定，任何单位和个人不得印制、发售代币票券，以代替人民币在市场上流通。国务院早在1991年就发布了《国务院办公厅关于禁止发放使用各种代币购物券的通知》，通知指出一些单位向职工发放带有一定面值的“购物券”、“信用券”、“礼宾券”等代币票券，用于到指定的商店购买副食、日用百货等商品，并认为“这种行为不仅影响了市场的正常供应，扰乱了金融秩序，逃避了国家对工资和奖金的监督管理，扩大了消费基金支出，而且还助长了不正之风”。通知禁止任何单位发放、使用各种代币购物券。凡与商业单位签订的购物券合同、协议一律无效。这种对代币券“一棒子打死”的做法本来是为避免利用代币券进行的违法犯罪活动，比如行贿受贿、洗钱等，但也忽视了虚拟货币这种新兴电子商务模式避免直接使用现金的烦琐和高额交易成本，促进电子支付和网络交易发展的积极作用，忽视了它在改善小额消费上的促进作用。

2.虚拟货币的财产属性

所谓财产，是具有使用价值或交换价值的物或权利。从上部分的论述可以看出，虚拟货币用以获得发行人或其他运营商的商品或服务，从而满足持有者的需求，具有财产的一般属性。虽然其不具有可以感知的实体，但却以电子数据的形式存在于发行人的服务器内，并显示在持有人的账户中，即“有形而无体”，是一种特殊的财产权对象。

虚拟货币作为虚拟财产的一种，目前中国没有明确的法律法规加以规范网络虚拟财产的法律归属，现阶段主要有两种观点。一是认为虚拟货币本质上为电子记录，它是由用户通过劳动或通过交易获得的，可视为动产，故用户对网络虚拟财产享有所有权，这是最为流行的观点。台湾地区刑法修正案增订的第359条规定：“无故取得、删除或变更他人电脑或其相关设备电磁记录，致损害于公众或他人者，处五年以下有期徒刑、拘役或科或并科20万元以下罚金。”台湾地区普遍认为，这一条规定的“电磁记录”，包括所有虚拟世界的账号、点数等网络虚拟财产。“‘电磁记录’在刑法诈欺及盗窃罪中均可看作‘动产’，视为私人财产的一部分。”此外，韩国的相关立法也明确规定网络游戏中的虚拟角色和虚拟物品独立于服务商而具有财产价值，从而在实际上确认了虚拟财产权利的物权性质。这种说法的特点在于肯定用户对网络虚拟财产的所有权，从而使用户的利益得到最为充分的保护。然而该观点存在的最大不足之处在于：第一，传统民法理论中物权客体限于有体物。中国民法典草案也规定物权是指有体物，在特殊情况并且法律明确规定的情形下无体物才可以成为物权的客体。而网络用户的注册账号和虚拟物品的一个基本特征就是非物质性。第二，物权是直接支配权，无须借助他人行为，义务人是不特定的。而网络用户对网络财产权的行使恰恰需要网络服务提供商的配合。第三，假设用户就虚拟物享有物权，则当游戏终止运营，只要用户未明示抛弃该虚拟物，则运营商必须承担返还该虚拟物的责任。而这在法理上和实践中都是无法实现的。实际上，用户对电磁记录本身不感兴趣，他关心的是虚拟货币能够买到的增值服务。这种能力并非一种物，而是一种通过用户与虚拟货币发行人订立购买合同后所获得的相应的权利，这种特质用物权理论来概括显然是行不通的。二是认为虚拟货币是一项债权的观点。虚拟货币体现了用户与货币发行人之间的债权关系，虚拟货币是基于二者之间的服务合同关系而产生的一种债权性质的权利。这一种观点较好地解释了虚拟货币发行人对用户所负的义务。因此，虚拟货币代表了用户对发行人拥有要求其提供相应服务的债上请求权，即发行人具有偿付或提供服务的法律义务。

四、关于Q币等虚拟货币的探讨

（一）Q币简介

近年来，随着QQ网络聊天系统迅速在网民中普及，为方便网民支付服务费用，腾讯公司推出了Q币，官方价格为1元人民币购买1个Q币。获得Q币主要有以下途径：通过拨打声讯电话向自己的QQ个人账户中充值；通过腾讯公司授权的经销商购买QQ卡（实体卡、虚拟卡）或进行个人账户E-sales直接充值；通过银行支付购买充值Q币；通过电信/网通家庭宽带账号充值Q币；通过腾讯公司其他增值业务获赠Q币；通过腾讯公司举行的各种推广活动获赠Q币等。网民购买的Q币存入对应QQ号的个人账户中，Q币的官方用途主要是购买QQ会员服务、QQ网络游戏中的虚拟装备、QQ网络游戏中的游戏币等。

Q币的出现给腾讯用户带来了一定的便利，因为购买腾讯的增值服务多数都是等同几元、十几元的小额交易，一般最多也就几十元，一次购买Q币省却了每次单独交易时的麻烦。据腾讯公司官方网站数据，截至2006年6月30日，腾讯QQ注册用户超过5.49亿个，即时通信服务活跃账户金额达2.2亿元人民币。

（二）Q币的界定

根据腾讯关于Q币服务协议的规定：Q币是用于计算机用户使用腾讯网站各种增值服务的种类、数量或时间等的一种统计代码，用户可以通过Q币使用相关增值服务。Q币由腾讯公司销售。用户通过腾讯公司及其合作伙伴以及授权经销商购买Q币并充值到自己的QQ号码对应的个人账户中。Q币并非任何代币票券，不能用于腾讯网站增值服务以外的任何商品或服务。

（三）Q币交易、使用现状

目前，Q币交易、使用增长迅速，Q币和腾讯的产品在市场博弈中成为参与者普遍接受和信任的产品。除购买QQ秀商城中的商品、QQ家园商城中的商品，支付会员包月服务费用等，在腾讯产品服务体系内部，Q币与Q点、QQ游戏币等之间都建立了等量交换关系。此外，Q币还可购买瑞星、江民等知名杀毒软件。在选秀节目“超级女声”总决赛中，超女粉丝为支持自己的歌手，还可用Q币投票，仅淘宝网一天Q币的交易额就超过50万元人民币。

尽管腾讯公司在Q币服务协议中明确规定“任何情况下，充入QQ个人账户的Q币不退换”即Q币只能与人民币单向交换：以人民币购买Q币，Q币不得兑换成人民币。但是由于其并不禁止Q币在不同用户账户间转让，因此在事实上Q币可成为发行人之外的用户之间的交易媒介，因此，出现了炒作Q币的现象。

（四）Q币的法律性质

1. Q币的虚拟财产属性

目前，中国的《宪法》、《民法通则》、《消费者权益保护法》中都没有关于虚拟财产的性质的具体规定，学理上一般认为“物”是能为人所控制的、能为人带来价值的有体物。但近年来，随着科技的进步、实践的多样性，“物”的概念也倾向于广泛化，由有体物扩展为无形物，如偷接他人电话线、电线、转移他人网银账户中资金的行为均被《刑法》定为盗窃罪——侵犯他人财产权的、窃取他人财物的行为，Q币因为其虚拟性，与一般的物（有体物）的概念有些许冲突，但并不影响其作为财产应受保护的基本属性。因此，由于法律规定的缺失，如何保护Q币的持有者还需要继续探讨。

（1）Q币用户和腾讯的保管Q币关系与腾讯的相应义务。

Q币用户与腾讯的法律关系主要有两层：首先是用户向腾讯公司支付现金（主要获取方式）获得Q币商品的买卖合同关系；其次是用户将Q币储存于腾讯公司提供的网络个人账户后两者之间存在的保管关系。

在Q币的用户协议中没有明确规定腾讯公司与Q币用户成立何种法律关系及其对用户账户中Q币是否承担保护等相关义务，仅规定：“凡通过盗打电话、冒充、盗用他人身份或者账号等非法途径获得Q币并存入个人账户的，或者利用Q币进行任何非法活动的，一经确认，腾讯公司将冻结个人账户，并永久不能解除冻结。冻结期间和QQ账户相关的所有功能将被禁止使用，并依法采取相应措施追究非法获取Q币者法律责任。”以及免责条款：“Q币服务涉及互联网及移动通信等服务，可能会受到各个环节不稳定因素的影响。因此服务存在因上述不可抗力、计算机病毒或黑客攻击、系统不稳定、用户所在位置、用户关机、GSM网络、互联网络、通信线路原因等造成的服务中断或不能满足用户要求的风险。使用Q币服务的用户须承担以上风险，对因第三方通信线路故障、技术故障、网络、电脑故障等不可抗力因素而导致的Q币损失，腾讯公司不承担任何责任。”

（2）司法机关如何解决Q币等虚拟财产的问题

由于Q币的虚拟性及法律的缺失，也给司法机关对Q币等虚拟财产提供司法救济带来了一定的困扰。现以深圳市南山区法院审理的首例QQ被盗案为例。^[9]

公诉机关控诉被告人的行为构成盗窃罪：被告人曾某在深圳腾讯公司安全中心负责系统监控工作。2005年3月初，曾某因购买QQ号码在淘宝网上认识了被告人杨某，二人遂合谋窃取他人QQ号码出售获利。2005年3月至7月间，由杨某将随机选定的他人的QQ号码通过互联网发给被告人曾某，曾某利用公司离职同事使用的“ioioliu”账号进入后台系统查询杨某提供的QQ号码密码保护资料即证件号码和邮箱，然后将查询到的资料发回给被告人杨某，由杨某将QQ号码密码保护问题答案破解，将QQ号码的原密码更改后出售给他人。二人共计卖出QQ号码160余个，获赃款70000余元。曾某、杨某出售的QQ号码还拖带价值2654元的Q币及网络游戏币。在案件审理过程中，辩方律师提出：QQ号不属于《刑法》第264条规定的“财物”，存储于QQ号中的Q币及网络游戏币也不具有财产属性，不是财产。

法院经审理查明，二被告人盗卖QQ号码并非法获利的事实清楚，证据确实、充分，予以认定，但指控盗窃Q币及游戏币的数量证据不充分，不予认定。QQ号码是一种即时通信服务代码，其表现形式是多个阿拉伯数字的组合，是由用户向腾讯公司申请，公诉机关没有充分证据证实本案的QQ用户在申请QQ号码时向腾讯公司是否支付和支付了多少费用。

《刑法》第92条规定中的“依法归个人所有的股份、股票、债券和其他财产”中的“其他财产”应当包含哪些内容，只能由立法机关通过立法来确定。中国现行的法律法规和司法解释对“财物”的内涵和外延均有明确的界定，但尚未明文将QQ号码等网络账号纳入刑法保护的财产之列。公诉机关指控中的QQ号码不属于刑法意义上的财产保护对象，公诉机关指控二被告人犯侵犯财产罪的法律依据不充分，不予支持。被告人及其辩护人所提QQ号码不具有财产属性的意见有一定道理，对其合理部分予以采纳。

最终法院判定被告人曾某、杨某采用篡改他人电子数据资料的方法，侵犯公民通信自由，情节严重，其行为构成侵犯通信自由罪，分别判处两被告人犯侵犯通信自由罪，判处拘役六个月。追缴被告人违法所得予以没收。

2. Q币的“货币”属性

Q币与支付结算体系的关系一度受到广泛关注，一些学者和业界人士分别从经济学等角度分析了Q币的特性及其对支付结算体系的影响，其中也不乏得出“Q币冲击人民币体系”、“Q币在互联网上驱逐人民币”等似是而非的结论。

那么，关于“Q币与国家金融体系的关系”这个论题，相关法律到底是怎么规定的呢？《中国人民银行法》第20条规定：“任何单位和个人不得印制、发售代币票券，以代替人民币在市场上流通。”相同的规定我们还可以在《人民币管理条例》第29条找到。分析该条款，其中有两个构成要件：一个是印制、发售代币票券，一个是代替人民币在市场上流通，二者缺一不可。从宽泛的角度，任何可以用人民币购买的可进行再交换的票、券、卡等都可能成为代币票券，无论是公交卡、手机充值卡、游戏点卡还是食堂饭票，但判断这些可能的代币票券是否会冲击人民币体系从而成为《中国人民银行法》第20条所禁止的行为的关键环节，则是是否“代替人民币在市场上流通”。也就是说，无论是公交卡、手机充值卡、游戏点卡还是食堂饭票这些可能成为代币票券的票、券、卡，如果其已在市场上代替人民币流通，则法律一定是要出面制止的，而如果这些票、券、卡没有在市场上流通，只是在一个单位内部或特定的非市场的范围内使用，则不应存在冲击人民币的违法的问题。

一方面，由于Q币存在用人民币购买和进行再交换的行为，具备成为类似于公交卡、手机充值卡、游戏点卡、食堂饭票等可能的代币票、券、卡的条件；另一方面，如果它仅在一定范围内进行特定价值交换和接受特定服务而流通和使用，就不属于在市场上广泛流通，因此，还不至于冲击人民币的支付体系，也不属于《中国人民银行法》第20条所禁止的范畴。当然，如果它被用来进行交换，并扩大至无限范围内使用，其货币属性就会增强。目前，还需对其进一步发展加以观察和深入研究。

腾讯公司的QQ网站服务条款规定：除另有约定外，客户仅将Q币作为个人使用且非商业性质的使用，不对本服务任何部分或本服务之使用或获得（包括但不限于QQ号码），进行复制、拷贝、出售或利用本服务进行调查、广告或用于其他商业目的，不得将任何广告信函与信息、促销资料、垃圾邮件与信息、滥发邮件与信息、直销及传销邮件与信息以短信、即时通信或以其他方式传送。并指出，Q币由腾讯公司发行、分销，任何单位、个人不得伪造、仿冒以及销售伪造、仿冒Q币，或通过非正常途径获得Q币、销售Q币。腾讯公司保留向非法获取Q币的任何单位、个人追究法律责任的一切权利。Q币是用于计算用户使用腾讯网站各种增值服务的种类、数量或时间等的一种统计代码，并非任何代币票券，不能用于腾讯网站增值服务以外的任何商品或服务。

也就是说，Q币的性质很像常见的饭票或饭卡，虽然是用人民币购买，可用来支付各种商品和服务，但如果它仅限于该一定范围内使用，只是该食堂内部为便于管理而提供的一种价值中间替代物，最终要转化为该单位内部提供的特定商品或服务，不能逆向兑换为人民币，也不能拿到市场上再去购买其他产品，从而不具备一般等价物乃至货币的职能。

当然，也不能排除这一特定条件下出现超范围使用的可能。如一种情况是外部的商店为便于交易，也接收其作为支付工具；另一种情况是原有的交易者内部，产生了二级市场的交易需求。这种超范围使用以及非法倒卖、盗取的行为不仅搅乱了原来发行者的信誉，也可能侵犯其他用户的正当权益。

因此，Q币是便于服务和管理而提供的一种增值服务的支付渠道，它的使用范围局限于腾讯公司的业务范围，在不同企业主体之间不能交换，不具备一般等价物的性质。它与QQ号码、网络游戏装备等一样，应属于虚拟财产的范畴。而进一步从法律的角度看，Q币也好，QQ号码也好，网络游戏装备也好，在迅猛发展的同时，之所以近年来出现一定的非法交易和盗取、盗卖日益严重的现象，归根结底，与虚拟财产的法律地位不明确直接相关，法律地位的不明确导致法律保护的无力，缺乏足够法律保护的交易和服务很容易被不法之徒非法利用。

第二节　电子签名在网上支付中的应用

根据初步的调查，目前，网民不使用网上支付的最主要原因是担心交易的安全性和可靠性，该因素占66.1%。一是对网上支付的安全性表示怀疑，主要体现在担心泄露个人隐私和错误操作对自己造成不必要的损失；二是担心个人账号等信息为人利用、盗取，从而造成严重损失等。而“网上钓鱼”给用户带来损失的事件也是频见于报端和各大网站。《电子签名法》颁布后，网上支付快速发展。但是从消费者的认可程度来看，网上支付的安全性还并不让人满意。如何推进电子签名和电子认证在网上支付中的应用，还需艰巨的努力。

一、电子签名与电子认证

电子签名是应用于电子商务中识别、确认当事人身份的技术，满足法律规定要件的电子签名与手写签名或盖章的法律效力相同。电子认证则是确保签名与签名人身份存在真实联系的第三方认证制度。电子签名主要用于数据电文本身的安全，使之不被否认或篡改，是一种技术手段上的保证；电子认证是以特定的机构对电子签名及其签署者的真实性进行验证的服务，主要应用于交易关系的信用安全，保证交易人的真实可靠，主要是一种组织制度上的保证。

电子认证是适应电子商务要求的身份认证方式。传统的个人身份证明一般通过检验“物理物品”的有效性来确认持有者的身份。在电子商务中，网络业务是面向全球的，要求验证对象的数量以及区域范围也非常之大，因而增加了商务参与者身份验证的复杂性和实现的困难。比如，在网络通信双方使用公开密钥加密之前，须先确认得到的公开密钥确实是对方的，也就是有一个身份确认的问题。为能确认双方的身份，必须由网络上双方都信任的第三方机构发行一个特殊证书来认证。在电子商务中，通常是把传统的身份证书改成数字信息形式，由双方都信任的第三方机构发行和管理，以方便在网络社会上的传递与使用。

简言之，电子认证是以特定的机构对电子签名及其签署者的真实性进行验证的具有法律意义的服务。认证机构（CA）作为电子商务中受信任的第三方，承担公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个认证证书，认证证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA中心不但对持卡人、商户发放证书，还要对银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的认证证书，因此是安全电子交易的核心环节。

二、电子支付实践中的问题

当前，网银安全事件主要包括木马病毒类、假网站类、在不知情下被冒充开通网上银行业务类、偷窥或直接骗取卡号口令、通过网上支付盗取资金类、网银开户审核不严、内外勾结作案等7种造成银行账户损失的事件类型，其中有5类是通过非法获取用户的账号和密码从而冒充用户身份成功转移银行账户资金。而绝大多数的网银不安全案件都集中在网银大众版上。所谓大众版就是仅通过卡号、口令（个别银行需要个人证件号码）就可以开通网银大众版，并不同程度地具有一定的账户资金转移功能（支付、缴费）。相对于以往直接盗取银行卡或伪造银行卡作案的方式，网银大众版降低了作案的难度，提供了一条脱离物理卡片就可以盗取用户账户资金的通道；同时，把银行的风险由网银用户扩大到所有个人用户，从总体上让银行扩宽了面临的风险；此外，这种直接使用卡号和密码的网银大众版本身又成为不法分子盗取卡号和口令的重要渠道，不法分子一般利用电子邮件或网页携带的木马病毒、假网站获取用户的密码信息，使网银大众版成为盗取卡号、口令的“便捷”途径。

在网上支付过程中，如果不经过电子认证，则只能根据用户口令和密码确认客户身份，只要密码正确，就可以进行资金划转，缺乏对于资金划转人身份的进一步认证。在网络银行大众版中没有使用数字证书的认证方式，使其支付安全性大大降低，造成了网络银行损失事件频频发生。《电子支付指引（第一号）》规定未使用安全认证方式的电子支付单笔金额不应超过1000元人民币，每日累计金额不应超过5000元人民币。但是在有的事件中，银行并没有遵循这项规定，使客户两日内损失过10万元人民币。因此，防范网上支付损失的根本方法还是在于使用电子认证。

由于不同的电子支付工具其应用电子签名和电子认证的方式各有差异，因此本书将根据不同的电子支付工具讨论电子签名和电子认证在电子支付中的应用。

三、电子签名在网上支付工具中的应用

所谓网上支付工具，指在电子交易过程中，以网络链接为基础，以数字化为特征的支付工具。可分为四类：电子银行卡、电子货币、电子钱包和电子支票。

1.网上银行卡支付系统

网上银行卡支付系统包括网上信用卡、借记卡支付系统等。它们是按照SET协议标准建立起来的一整套购物及支付系统。其具体方式是：用户在网上发送银行卡号和密码，加密发送到银行进行支付；而在支付过程中要进行用户、商家及付款要求的合法性验证。目前，国内多家银行都设立了这种用于在线支付的银行卡，如中国银行的“长城电子借记卡”、中国建设银行的“龙卡”、中国工商银行的“牡丹信用卡”、招商银行的“一卡通”等，都具有安全、方便的特性，是一种理想的在线支付工具，也是目前在国内网上购物实现在线支付的主要手段。基于银行卡的支付有以下四种模型：支付系统无安全措施的模型，其特点是商家完全掌握用户的银行卡信息，银行卡信息的传递无安全保障；通过第三方经纪人支付的模型，其特点是银行卡信息不在开放的网络中传送，支付是通过用户、商家双方均信任的第三方（经纪人）来完成的；简单加密支付系统模型，其特点是使用加密技术对银行卡等关键信息进行加密，以数字签名确认信息的真实性，需要业务服务器和服务软件的支持；“安全电子交易”（Se-curity Electronic Transaction）模型，简称SET，是一个在开放的互联网上实现安全电子交易的国际协议和标准。其特点是SET提供对交易参与者的认证，确保交易数据的安全性、完整性和交易的不可抵赖性，特别是确保不会将持卡人的账户信息泄露给商家，保证了SET协议的安全性。这种系统比较适合B to C交易模式。它采用记名消费的方式，在加强了系统安全性的同时，却丧失了匿名性的特征，不能很好地保护消费者的隐私。

2.电子货币

网上支付系统中的电子现金是一种以数据形式流通的货币，是以电子方式存在的现金货币；它是将现金的数值转换为一系列加密序列数，然后用这些序列来表示各种金额的币值。银行和商家之间有协议和授权关系，身份验证由电子货币本身完成，电子货币可以存、取、转让，适用于小额交易。其使用流程是：当用户拨号进入网上银行时，使用口令和个人识别码来验明自身，直接从其账户中下载成包的低额电子“硬币”，这时候电子货币才起作用。然后，这些电子现金被存放在用户的硬驱当中，直到用户从网上商家进行购买为止。为了保证交易安全，计算机为每个硬币建立随时选择的序号，并把这个号码实际上可以让卖方无迹可循，有利于保护个人隐私。其特点是银行和商家之间应有协议和授权关系，电子现金银行负责用户和商家之间的资金转移。身份验证则是由电子现金本身完成的。电子现金银行在发放电子货币时使用数字签名。商家在每次交易中，将电子货币传送给电子现金银行，由其验证用户支持的电子货币是否有效。具体程序是：以计算机为基础的电子货币主要通过开放式的网络传送货币的币值，数字签名在这种电子货币中起着保证交易对象的真实性和传递信息真实性的作用。对于离线型电子货币，买方请求发行人发行电子货币，发行人准备好电子货币后，对电子货币进行签名，把经过签名的电子货币传送给买方，并在买方的账户上扣除相应金额。在交易时，买方将电子货币传送给卖方。卖方向发行人请求回赎电子货币时，发行人对自己的数字签名进行核实，同时也核实电子货币有没有别人多次使用，经过核实之后，发行人在卖方的账户上增加相应金额。在这种模式下，卖方在交易时没有核实，还是在回赎阶段由发行人进行核实。这里，数字签名的作用主要是保证电子货币发行人的真实性以及传送过程中不被截获和篡改，它不保证卖方的隐匿性。

3.电子钱包

网上支付系统使用电子钱包购物的用户，首先需要在某用户银行设立一个个人账户并打入一定的款额；然后从相应的电子钱包服务系统中免费下载并安装一个电子钱包软件；再登录相应网站来在线申请并获取持卡人的“电子安全证书”。用户购物后，选定用电子钱包支付，将电子钱包装入系统，单击电子钱包的相应项，电子钱包打开，然后输入自己的保密口令，确认是自己的电子钱包后从中取出一种电子信用卡来付款。电子商务服务器对此信用卡号码采用某种保密算法算好并加密后，发送到银行。同时销售商店也收到了经过加密的购货账单，销售商店将自己的顾客编码放入电子购货账单后，再转送到电子商务服务器上去。这里商店对顾客电子信用卡上的号码是看不见的，不可能也不应该知道，销售商店无权处理信用卡的款项。只能把信用卡送到电子商务服务器上处理，经过电子商务服务器确认这是一位合法顾客，将其通知顾客后，将其同时送到信用卡公司和商业银行，在信用卡公司和商业银行中间要进行收款项和账务往来的电子数据交换和结算处理。信用卡公司将处理请求再送到商业银行请求确认并且授权，商业银行确认并授权后送回信用卡公司。只需直接点击“电子钱包”图标，并按要求输入自己的卡号、密码等相应信息即可由电子钱包来完成后续的支付工作。

4.电子支票

网上支付系统中电子支票借鉴纸质支票转移支付的优点，利用数字传递将钱款从一个账户转移到另一个账户。这种电子支票的支付是在商家与银行相联的网上以密码方式传递的，多数使用公用关键字加密签名或个人身份证号码代替手写签名，从而保证支付方式的安全。电子支票系统目前一般是专用网络系统，国际金融机构通过自己的专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化的协议完成数据传输，从而保证安全性。系统今后将逐步过渡到在公共Internet上进行传输。这种支付方式主要用于B2B交易模式的支付需要。

使用以上电子支付工具进行支付时，必须确保信息的不可抵赖性和交易身份的真实性。由于电子商务各项活动首先是一种商品的交易，因此安全问题应当通过相关法律加以保护，必须保证电子合同和数字签名的法律地位、签约双方对电子合同的认可、电子合同的不可否认或修改，确保电子合同能够得以实施。

四、电子认证在支付工具中的应用

中国《电子签名法》中给电子签名下的定义是数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。并在第3条指出，民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。第13条规定，电子签名同时符合下列条件的，视为可靠的电子签名：“（一）电子签名制作数据用于电子签名时，属于电子签名人专有；（二）签署时电子签名制作数据仅由电子签名人控制；（三）签署后对电子签名的任何改动能够被发现；（四）签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。可靠的电子签名与手写签名或者盖章具有同等的法律效力。”从以上条件可知可靠的电子签名的基本条件是：第一，从签名可以判断出签署方的身份并且愿意接受所签署文件的约束；第二，从该电子签名可以判断所签署文件内容是否完整，是否经过改动；第三，该签名至少为签署方所独有，至少在签署时不易被伪造或者破解。如果发生争议，该电子签名可以作为确定以上目的的证据。^[10]

以上可靠电子签名都是通过技术手段实现的，虽然可以解决电子文件内容没有经过更改的问题，但不能解决确认对方的签名和身份一致的问题。前面已经说过，电子签名是一种技术手段上的、工具性的保障，主要用于数据电文本身的安全，使之不被否认或篡改。法律规范之所以对其作出调整，主要表现为对符合签名基本功能的电子签名技术予以认定，从而确认其法律效力。电子认证则是由一个可靠的第三方负责将电子签名与特定用户联系起来，保证交易人的真实和可靠。它不仅需要一定标准，而且还需要有一定的社会组织结构与之配套。从目的上看，电子签名着重保护数据电讯的安全，不使其被仿冒、篡改或被否认。而电子认证则是主要确认交易者的身份，使之与实际上的数据电讯的发收人相一致。从应用范围上看，在当事人事先有交易协议的封闭型交易网络里（如EDI），交易双方或多方，只须以电子签名相互认证即可，不需要第三方认证机构的参与。而在开放性网络中，电子签名和信赖第三方的认证，都是不可缺少的保障机制。因此，电子认证只适用于开放性网络。^[11]在上述四种电子支付工具的使用过程中，电子签名和电子认证一般应用在支付方发出支付命令的过程中，不同之处在于不同的支付工具的流程不同，电子签名和电子认证的具体应用不同，但是都至少存在三方当事人：签名人、电子认证服务提供者和签名依赖方。

（一）电子认证中各方当事人之间的关系

1.电子认证中各方的权利义务

电子认证服务提供者的义务主要有四项。

（1）审慎查验义务。

根据《电子签名法》第20条规定，电子认证服务提供者收到电子签名认证证书申请后，应当对申请人的身份进行查验，并对有关材料进行审查。由于证书的发布、信赖都依赖于对签名人提交的材料的信任，因此电子认证服务提供者应当对材料的真实性进行审核。

（2）颁发证书义务。

根据《电子签名法》第21条的规定，电子认证服务提供者签发的电子签名认证证书应当准确无误，并应当载明下列内容：“（一）电子认证服务提供者名称；（二）证书持有人名称；（三）证书序列号；（四）证书有效期；（五）证书持有人的电子签名验证数据；（六）电子认证服务提供者的电子签名；（七）国务院信息产业主管部门规定的其他内容。”

（3）暂停或终止证书义务。

根据《电子签名法》第23条规定，电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务90日前，就业务承接及其他有关事项通知有关各方。电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务60日前向国务院信息产业主管部门报告，并与其他电子认证服务提供者就业务承接进行协商，作出妥善安排。

（4）妥善保存信息义务。

根据《电子签名法》第24条规定，电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。

而签名人的最主要的义务就是向电子认证服务提供者提供真实的信息。

2.电子认证方与认证依赖方之间的关系

根据《电子签名法》第22条规定，电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。因此，电子认证服务提供者的义务主要是保证与证书有关的重大陈述的合理性和合法性以及提供证书和了解证书所载内容的途径。依赖方的主要义务则是遵守认证机构的要求，采取合理的步骤确认签名的真实性，并在证书所载的可信赖度内从事交易，把证书用于规定的用途。

3.法律责任认定

（1）电子认证服务提供者对用户的责任

《电子签名法》第28条规定，电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。认证机构承担责任的归责原则是过错推定责任，由认证机构证明自己对电子签名方或签名依赖方的损失没有过错。然而由于电子签名方与认证机构之间是认证服务合同关系，而签名依赖方与认证机构之间不存在合同关系，尽管在两种情况下认证机构都应该承担过错责任，但笼统地规定认证机构对两方的损失赔偿责任的归责原则是不尽合理的。

根据证书签发者在电子商务交易中的角色，认证机构可以分为两类：一类是与交易完全无关的第三方；另一类是服务主体为方便其既有客户群体开展网上商务活动而建设的认证机构，比如商业银行为其客户颁发的用于网上支付的数字证书。对于第一种情况，认证机构能否提供足以跟踪交易过程的电子审计记录并在其中保持中立，成为整个认证机制的关键；而对后一种情形，数字证书的申请使用者常常也就是该认证系统的建设者的既有客户，在此情况下，如果客户使用数字签名进行网上支付，网上支付纠纷也就是商业银行和其客户之间的纠纷；客户资金如果被冒名支付，既可能是客户对证书保管不妥，也可能是因为银行对数字证书的泄密或者客户资金因为其他原因被侵害。

目前，电子商务实践中对CA的责任存在一种倾向：就是“只服务不负责”，认证机构提供证书颁布、管理、认证等相关服务，收取一定的服务费，但并不承担（或者不愿意承担）因数字证书的使用而引发的责任，而是通过认证实务声明（CPS）将相关责任推给证书用户。CPS是指认证机构在签发认证证书对其所采取的各项措施所做的声明，一般包括：签发认证证书前，认证机构对申请人的身份查验程序；认证机构对密钥制造、认证证书签名、撤销、查实、信息保管等所采取的安全措施；保护密码密钥的安全措施；任何其他有关信息。^[12]这种倾向的存在从客户角度看，不利于保护客户的合法利益，某种程度上使客户从事网上商务活动的风险有所增加；从认证机构的角度看，不利于促进其提高自身管理水平，继续提高认证技术的安全性；从全社会看，不利于推动电子商务的发展。数字证书的发放、撤销、运用、商务过程的记录等，具有很强的技术性，相对与CA系统建设者来说，普通网上用户在信息技术的掌握和运用上处于不利地位，如果不能通过立法保护弱者，则不利于推动网上商务活动的开展。就像在传统社会的商务活动一样，商务活动的要件必须齐全，交易主体的合法性、认证主体的合法性、电子交易的不可抵赖性，缺一不可。不同在于电子商务活动在网络上实现，电子交易的过程短暂快捷，其所需的环境和实现的过程更加抽象复杂，在交易过程中普通网上用户不具备审查相关程序、保存相关电子记录的能力，在发生争议时也不具备提出诉讼证据的能力。因此，制度建设中应强调CA机构的中立性，使其独立于交易各方单独行使认证职能，在立法中应明确其职责，在允许其收取服务费用的同时，承担认证失误、管理失误的责任，承担因系统存在安全缺陷而带给客户的风险，以及承担因非不可抗力造成的系统可用性缺失引发的客户证书无法使用所带来的损失；规定其在争议出现时为交易相关方提供可靠真实电子记录证据的责任和义务。^[13]

（2）电子签名认证服务提供者对签名依赖方的法律责任

在认证机构和证书信赖人之间如果没有合同关系，信赖人是否可以基于侵权行为请求赔偿？一般认为，这需要看认证机构的实际操作是否违反CPS。如果认证机构事先没有与信赖人订立合同，那么CPS就是认证机构的责任范围。在证书信赖人因其信赖而受到损害的情况下，认证机构如果违反CPS就应该承担责任。根据《电子签名法》第28条规定，电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。这种赔偿责任是一种侵权赔偿责任，而认定过错需要首先确认认证机构注意义务的范围。美国犹他州《数字签名法》的有关规定值得借鉴。^[14]经核准成立的认证机构对于其证书的颁发，需要对所有合理信赖证书的人保证所载信息正确、所有可预见的对信赖证书具有重大影响的信息或者已经通过参数的方式载入证书、用户已经接受证书、认证机构是在遵守相关法律规定的情况下签发证书的。^[15]

（二）第三方认证服务的定义和认证服务的选择问题

《电子签名法》第16条规定：“电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。”结合这一条，在《电子认证服务管理办法》中，其第2条又规定：“本办法所称电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。本办法所称电子认证服务提供者，是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构。”（以下称为“电子认证服务机构”）

而在目前中国电子认证服务的实际运行工作中，围绕前面这几条的规定，一个比较突出的问题是：什么是“第三方认证”？那些未经过信息产业部等有关部门许可的电子认证服务提供者是否还可以继续开展业务？

第一，根据《电子签名法》第16条的规定，电子认证服务并不是所有电子签名所必需的，只是在需要第三方认证的情况下，由依法设立的电子认证服务提供者提供认证服务。密码、口令、生物识别技术等大多不需要第三方的认证。那么，这里的“需要”应作何解释，是当事人认为需要的“需要”还是电子签名技术本身需要认证的“需要”？似乎作后一种解释更合理些，更符合这句话表述的逻辑，即如电子签名技术本身需要第三方认证才能完成的，应由依法设立的电子认证服务提供者提供认证服务。因为如是前一种解释，这句话完全可以直接写成“电子签名当事人认为需要第三方认证的”。由于数字签名本身是要通过第三方认证才能完成的，这样，不妨进一步把这句话解释为：数字签名的第三方认证由依法设立的电子认证服务提供者提供认证服务。

第二，既然第16条这样规定，不妨再进一步明确：需要第三方认证的电子签名应由依法设立的电子认证服务提供者提供认证服务。即电子签名的第三方认证只能由依照《电子签名法》及《电子认证服务管理办法》设立的电子认证服务提供者承担。未经《电子签名法》及《电子认证服务管理办法》规定程序设立的电子认证服务机构不得承担针对电子签名的第三方认证服务。

第三，对于究竟什么是“第三方认证”，是一个从《电子签名法》到《电子认证服务管理办法》一直没有明确的问题，也是到目前为止《电子签名法》实施中最为困惑的问题之一。根据《电子签名法》第16条及《电子认证服务管理办法》第2条的描述，基本上可以这样来勾画第三方认证的轮廓：其一，这里的第三方一定是双方当事人之外的第三方，即电子签名人及电子签名依赖方之外的第三方，如果这种认证由电子签名人或电子签名依赖方自己来完成，那么这里面就只有两方，也就不存在所谓第三方的说法。另外，从“认证”这个词语本身的含义看，这一定不是当事人双方自己可以完成的工作，否则这样的认证只能是不严肃的、不具备公正性的，认证本身只能由第三方完成。《现代汉语词典》将“认证”解释为“公证机关对当事人提出的文件审查属实后给予证明”，即认证本身应是一种特指的由专门机关来完成的活动，是一种需要很强的公正性的活动。其二，《电子认证服务管理办法》所界定的电子认证服务一定是面向公众的，所谓公众，可以理解为不特定多数的人群，即不是一个特定范围内的人的概念。

因此，认证本身就是一种第三方的活动，不存在非第三方的认证，而且应由具有特殊资质的单位承担，这种特殊资质在数字签名领域，就是《电子签名法》和《电子认证服务管理办法》所规定的许可等要求。从技术实现的角度看，有些电子签名，如密码、口令、生物识别技术等，是不需要第三方的认证就可以完成的，那就没必要再通过第三方认证。但有些电子签名，如数字签名等，其验证等一定是要通过第三方才能完成的，则应由依法设立的电子认证服务提供者提供认证服务。

（三）境外电子认证服务认可的问题

《电子签名法》第26条规定：“经国务院信息产业主管部门根据有关协议或者对等原则核准后，中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。”作为配套规定，《电子认证服务管理办法》第42条明确规定：“经信息产业部根据有关协议或者对等原则核准后，中华人民共和国境外的电子认证服务机构在境外签发的电子签名认证证书与依照本办法设立的电子认证服务机构签发的电子签名认证证书具有同等的法律效力。”但究竟境外的电子认证服务提供者在境外签发的电子签名认证证书如何与依照本法设立的电子认证服务提供者签发的电子签名认证证书取得同等的法律效力，应按照什么样的程序操作，应提交哪些材料，这里的“有关协议”应是指哪个层面的协议等，还是一个尚未明确的问题，亟须在进一步的相关规定中得到明确。

（四）关于数据电文

2005年7月，北京海淀区法院审理了一起以手机短信息为主要证据的借款纠纷，在裁判中第一次援引了刚刚实施的《电子签名法》的规定，被称为“电子签名法第一案”。在该案的判决中，法官有一段话比较耐人寻味：“依据2005 年4月1日起施行的《中华人民共和国电子签名法》中的规定，电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。移动电话短信息即符合电子签名、数据电文的形式。同时移动电话短信息能够有效地表现所载内容并可供随时调取查用；能够识别数据电文的发件人、收件人以及发送、接收的时间。经本院对杨先生提供的移动电话短信息生成、储存、传递数据电文方法的可靠性，保持内容完整性方法的可靠性，用以鉴别发件人方法的可靠性进行审查，可以认定该移动电话短信息内容作为证据的真实性。根据证据规则的相关规定，录音录像及数据电文可以作为证据使用，但数据电文可以直接作为认定事实的证据，还应有其他书面证据相佐证。”尤其是最后一句：“但数据电文可以直接作为认定事实的证据，还应有其他书面证据相佐证。”当然这只是一个个案，但在《电子签名法》第7条明确规定：“数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。”第8条规定：“审查数据电文作为证据的真实性，应当考虑以下因素：（一）生成、储存或者传递数据电文方法的可靠性；（二）保持内容完整性方法的可靠性；（三）用以鉴别发件人方法的可靠性；（四）其他相关因素。”究竟数据电文能否独立作为证据来认定事实，又成了我们非常关心的一个问题。

五、《电子签名法》实施中的主要问题

在《电子签名法》实施的几年时间里，20家电子认证服务机构从原信息产业部获得了经营许可证，其电子签名证书的发放量也得到了成倍的增长；在《电子签名法》及电子支付指引的鼓励下，网上支付快速发展，电子签名在电子税收、电子海关、网上采购等领域的应用也得到了《电子签名法》的有力推动；由于《电子签名法》明确了数据电文的合法地位，一些关系到数据电文证据力的纠纷在法院得到了及时裁判。

当然，作为中国第一部信息化法律，《电子签名法》的实施推进绝非一项简单的工作，还需要得到来自普及法律、行政管理、司法、技术标准、规范操作、市场认可等各方面的支持。目前《电子签名法》的推进还是有很多不尽如人意的地方，存在消费者的认可度依然很低、电子认证的标准规则未全面建立、《电子签名法》的司法准备工作还未展开等诸多问题。而只有《电子签名法》实施推进的整体环境得到不断提高，中国电子商务与信息化才能真正走上法制化、规范化的发展道路。下面，我们就目前中国《电子签名法》实施中的一些主要问题展开分析，进一步探讨中国的《电子签名法》具体规定在实践中的情况。

《电子签名法》第13条规定：“电子签名同时符合下列条件的，视为可靠的电子签名：（一）电子签名制作数据用于电子签名时，属于电子签名人专有；（二）签署时电子签名制作数据仅由电子签名人控制；（三）签署后对电子签名的任何改动能够被发现；（四）签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。”第14条规定：“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”

也就是说，在《电子签名法》中，并不是所有的电子签名都具备签字盖章的法律效力，只有可靠的电子签名才能享受这一“待遇”。而可靠的电子签名只能通过两种方式产生，其一，当事人约定；其二，符合《电子签名法》第13条规定的四个条件。考虑到技术中立的原则，《电子签名法》并没有直接规定数字签名，或者经电子认证服务机构认证的数字签名就是可靠的电子签名。也就是说，数字签名或经电子认证服务机构认证的数字签名是否是可靠的电子签名，也要通过《电子签名法》第13条规定的四个条件进行判断。当然，从技术角度看，数字签名，尤其是经电子认证服务机构认证的数字签名应是完全可以满足这四个条件的。但这样的理解恐怕只停留在对数字签名和《电子签名法》较为熟知的人群中，大多数人，可能包括多数法官在内，由于不能直接从《电子签名法》中找到可靠电子签名与数字签名的关系，对于判断什么样的电子签名是可靠的电子签名，什么样的电子签名不能成为可靠的电子签名，数字签名及经电子认证服务机构认证的数字签名与可靠的电子签名究竟是种什么样的关系，什么是电子签名制作数据用于电子签名时属于电子签名人专有，什么是签署时电子签名制作数据仅由电子签名人控制，什么是签署后对电子签名的任何改动能够被发现，什么是签署后对数据电文内容和形式的任何改动能够被发现，当事人在什么情况下对可靠电子签名的约定才是有效的等问题，恐怕还是存在着很大的障碍。而我们知道，作为一部法律，一旦在实施中出现纠纷，纠纷双方很可能是要对簿公堂的，考虑到目前《电子签名法》对可靠电子签名判断的不易掌握性与执法者对这一崭新领域的陌生感，我们还是不得不忧虑了起来。

为了使《电子签名法》得以顺利实施，在认定什么是可靠电子签名的问题上，有关管理部门、司法部门、学术机构、业界需要有效沟通，使对可靠电子签名的认定程序化、简易化并易于掌握、便于操作；教育广大用户，使其具备自行约定可靠电子签名的常识和能力，及时维护自身的合法权益。这方面工作包括三方面内容：在合适的时候出台司法解释，明确经国家有关部门认可的电子认证服务机构颁发的数字签名在正确使用的前提下就可以认定为可靠电子签名；保持与司法部门的良好沟通，为司法提供专家支持；不断普法，让广大用户掌握自行约定可靠电子签名的能力。

第三节　第三方网上支付平台的法律问题

一、第三方网上支付平台的发展概况

2001年全国第三方网上支付平台市场的支付规模是1.6亿元，2004年增长到23亿元，2007年第三方网上支付平台市场规模达215亿元左右。^[16]目前活跃在网上支付市场的第三方网上支付平台主有支付宝、贝宝、首信易支付、腾讯财付通、环迅、网银在线、云网、上海快钱、Yeepay、汇付天下等50余家。第三方网上支付平台作为支持网上支付的主要力量之一，从产生的原因看，第三方网上支付平台出现的最初目的是为了解决电子商务小额支付情形下交易双方因银行卡不一致而造成款项转账的不便。^[17]第三方网上支付平台通过与若干家银行签约合作，使银行网关接口与支付平台的公司账号对接，客户可以使用支付公司所有银行的接口付款或收款。在支付网关服务的基础上，第三方网上支付平台又派生出为交易提供信用担保、虚拟账户等多样化网上支付服务，以满足网上交易者的各种收付款需要。这些业务与银行等金融机构向客户提供的业务类似，但第三方网上支付平台的性质目前非常模糊，在支付平台的服务协议中一般都把自身看做网络信息服务供应商或者网络服务商。其法律属性、责任分配以及监管等方面都亟待相关法律进行规范，但由于第三方网上支付平台所提供服务的多样性和复杂性，至今尚未形成对此类支付平台较为统一的认识。下面将对第三方网上支付平台功能进行进一步解释。

在网络支付中，支付双方与支付服务提供商达成合意，是一种典型的民商事法律关系，属于民事法律调整的范畴。但是由于涉及用户资金的大量往来和一定时期的代管等类似于金融的业务，就必然引起行政监管的介入，以避免出现没有监管私自使用资金的风险，维护社会公共利益。

对于银行提供网络支付系统服务中的法律问题，由于各国一般都有相应的银行法律，对银行的法律地位、银行与用户相互之间的权利义务等相关问题都有明确的规定，加上银行在开展网上支付业务时一般都会通过用户协议约定相互之间的权利义务，这方面的问题倒并不复杂，主要涉及系统故障、电子信息错误、未授权的支付命令等情况。这些问题目前一般在银行的用户协议中都有些相应条款加以调整，暂且不论这些银行的格式条款是否妥当，用传统法律中的原理或规定加上对信息技术的理解基本上都能得到解决。较为复杂的是电子商务交易平台和第三方网上支付平台在网络支付中的法律地位等问题，是目前政府、企业和用户皆较为困惑的。这些提供网络支付服务的电子商务交易平台和第三方网上支付平台在提供支付服务的背后，聚集了大量的用户现金或者发行了大量的电子货币，客观上已经具备了某些银行的特征，甚至被当作不受管制的银行。

PayPal是一家没有任何金融背景的IT技术公司，但是在短短的数年时间内它已经一跃成为全球网络支付领域的先锋，并于2002年7月8日成为全球最大的C2C交易平台E-bay的在线支付服务商。截至2005年3月，PayPal在全球拥有超过6000万的注册用户，业绩遍及全球45个国家和地区，日交易量超过100万笔，年支付总额超过180亿美元。即便如此成功地运作，PayPal的法律地位仍然是让美国或者其他相关国家较为头疼的一件事情，其法律定位也较为曲折。自2002年6月份纽约银行部门得出PayPal的服务未构成非法银行业务并给PayPal颁发货币转账业务执照以来，PayPal已经获得了美国超过32个州的货币转账业务执照。这些执照对于PayPal业务的规范和正名、用户信心的增强等大有帮助。而在全球的其他地区，PayPal的业务扩张则面临着更多的不确定性，除了与当地金融机构保持良好的合作之外，还需要适应多种不同的法律与政策环境。

PayPal在其早期的用户协议中规定PayPal可以将用户的资金一起存放在被联邦储蓄保险公司所保险的银行开设的账户里（FDIA-insured banks），用户同意因该账户产生的任何收益归于PayPal所有，用户将不会收到因其通过PayPal转移的那笔资金而产生的任何利益或者其他收益。而在后来美国网站的用户协议中PayPal声称自己是用户的代理人，是帮助用户从第三方接受支付以及向第三方发出支付的代理机构。

淘宝网的支付宝是为淘宝网的交易者以及其他网络交易的双方乃至线下交易者提供“代收代付的中介服务”和“第三方担保”的。支付宝用户协议中明确，它是由浙江支付宝网络科技有限公司向用户提供“支付宝”软件服务系统以及附随为用户提供代收代付货款的中介服务，并在用户协议中多次避免将自己称为银行或者金融机构。而在其获取的商业许可经营范围里表明其从事的是担保（根据公开查询到的相关政府部门的审批文件上看是“由国家政策允许的担保业务，涉及许可证的凭证经营”）和中介业务。但是目前根据中国相关的法律规定，对于支付中介具体应该属于哪一类业务并不明确，是否需要经过有关管理部门的批准才能从事也存在诸多疑惑点。用户资金进入支付宝的账户后其所有权问题，所产生的孳息等问题会给支付宝的法律地位以及其业务的合法性带来一些困扰。

总之，随着电子支付的发展，一些非银行企业从事电子支付业务已成为电子支付发展的不可逆转的趋势。这主要是由于电子支付业务具有很强的国际性和技术性，专门从事网络支付的公司的出现符合电子商务的发展需要，也是网上支付业务创新的具体表现形式之一，应在规范的同时鼓励其发展。

二、第三方网上支付平台界定

第三方网上支付平台所提供的网上支付服务是网上支付的一种。网上支付是以互联网为基础，利用银行所支持的某种数字金融工具，发生在购买者和销售者之间的金融交换，而实现从买者到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程，由此为电子商务服务和其他服务提供金融支持。^[18]根据本报告第一部分的分析，通过第三方网上支付平台进行的支付则是由非银行机构基于互联网提供的小额电子资金划转服务，支付平台通过向提供银行支付结算系统接口和通道服务或虚拟账户，满足客户的收付款需要。考察各支付平台所提供的网上支付服务，大体上分为支付通道服务模式和支付平台账户服务模式。

（一）支付通道服务模式

网上支付的电子信息必须通过支付网关进行处理后才能进入银行内部的支付结算系统，从而完成安全支付的授权。支付网关是互联网公用网络平台和银行内部的金融专用网络平台之间的安全接口。在这种服务模式下，支付平台只作为支付通道将客户发出的支付指令传递给银行，银行完成转账后再将信息传递给支付平台，支付平台将此信息通知商户并与商户进行账户结算。以首信易支付B2C支付服务为例，其《B2C在线支付服务协议》中约定由首信易支付向签约商户提供网上安全支付服务和提供在线查询服务。网上消费者在首信易支付的签约商户下订单并选择首信易支付作为付款方式后，直接链接到首信易支付的安全支付服务器上，在支付页面上选择自己适用的支付方式进入相应的银行（银联）支付页面进行支付操作，然后首信易支付将网上消费者的支付信息传递给相关银行，由银行实行冻结、扣账或划账并将结果信息传至首信易支付和网上消费者，首信易支付再将支付结果通知商户，支付成功后由商户向网上消费者提供商品或服务并通知商城，最后由各个银行（银联）通过首信易支付向交易成功的商户实施清算。^[19]可见，在支付通道服务模式下，网上消费者的付款直接进入支付平台的银行账户，然后由支付平台与商户的银行账户进行结算，中间没有经过虚拟账户，而是由银行完成转账。虽然首信易支付声称自己提供的是“二次结算”服务，但这只是在支付平台上留下每次交易的具体信息，而不是真正经过两次账户结算。

（二）支付平台账户服务模式

在支付平台账户服务模式下，用户须在支付平台开立一个以电子邮件为名称的虚拟账户，并可以对账户进行充值、使用该账户进行收付款，这与活期存款账户的功能十分类似。用户可以通过支付网关在银行账户转账结算完成收付款，也可以仅在支付平台的虚拟账户之间转账结算完成收付款。支付平台也可能参与到交易中来，通过提高交易付款的安全度来促成交易。不论是转账结算还是参与交易，支付平台都以用户的虚拟账户为中间点，支付过程必须经过虚拟账户。

例如，使用上海快钱的用户必须以电子邮件在其网站上注册用户，各种快钱业务都是通过这个虚拟账户展开。其中，网上付款和网上收款只涉及款项在快钱账户之间转移，不涉及银行账户变更。账户充值、账户提现和支付网关业务则必须通过银行的支付网关实现。而快钱保业务中快钱则作为交易双方的信用中介，买家所支付的购物费用不会立刻转入卖家的账户，只有当卖家发货完毕而买家也收到货物并成功验收之后，快钱才会把费用转入卖家账户。即支付平台承担了支付货款和担保卖方履行交货义务的功能。贝宝网的支付流程就更加体现了虚拟账户在完成支付中的核心地位。付款人用一个电子邮件开立账户后，向贝宝提供信用卡或者相关银行资料，将一定数额的款项转移至贝宝账户下。当付款人向第三方支付款项时，必须先进入贝宝账户，指定特定的汇出金额，并提供收款人的电子邮件账号给贝宝。接着贝宝向商家或者收款人发出电子邮件，通知其有等待领取或转账的款项。如商家或者收款人也是贝宝用户，其决定接受后，付款人所指定之款项即移转予收款人。若商家或者收款人没有贝宝账户，收款人可以根据贝宝电子邮件内容指示注册取得一个贝宝账户，收款人可以选择将取得的款项转换成支票寄到指定的处所、转入其个人的信用卡账户或者转入另一个银行账户。这一付款过程便是基于电子邮件虚拟账户的包括通过银行支付网关在内的付款和转账结算过程。如果第三方支付平台同时充当交易的信用中介，则其付款流程会与网上交易紧密结合在一起，根据卖方的履约情况向卖方划转买方的所付款项，如支付宝。在此流程中，客户和商家都在第三方支付平台开立账户。客户在向商家购物后，商家将客户在第三方支付平台的账号和支付信息传送给第三方平台请求支付，由第三方支付平台向客户发出支付请求，客户通过第三方支付平台链接到开户银行进行支付。支付确认返回给第三方支付平台后，第三方支付平台通知商家客户已经付款。商家向客户发货，客户收到货物并验证后通知第三方支付平台，后者再将货款转入商家在支付平台开立的账户中。

根据以上对两种服务模式的分析总结，第三方网上支付平台主要提供三种服务，一是根据客户指令完成收付款；二是向交易双方提供增强交易可信赖度的中介服务；三是向客户提供可储值的虚拟账户。第一种服务中，支付平台是结算服务者；第二种服务中，支付平台则是暂时保管货款的第三人；第三种服务中，支付平台提供了类似活期存款账户的服务。因此，三种服务的法律关系是不同的，支付平台承担的义务和责任也不同。

在支付过程中可能会有五方当事人：资金划转人、资金划转人开户行、收款人、收款人开户行和第三方网上支付平台。其中，资金划转人及其开户行、收款人及其开户行之间的权利义务关系已经在实践中较为明确，不是本书的分析重点。第三方网上支付平台自身的法律属性及其与其他当事人的法律关系仍不明确，本书试图对此进行分析。

三、第三方支付服务模式的主要风险

以上模式的风险应该是不同的，第一种银行网关的模式更多的是为了对商业银行的电子银行业务的监管或者电子支付的监管进行管理，第三种银联的模式纳入银行卡收单这个范畴更合理些。那么我们对网上支付进行业务规范时，主要考虑的是第三方平台模式和平台内部交易这两种模式。因为这两种模式对现在一些制度安排的突破是比较大的，这两种模式有很多共同点，内部交易模式和第三方平台模式实际上是你中有我，我中有你的关系，为建立这种账户服务，可能建立在提供第三方支付服务的基础上。

这两类模式的风险主要有几个方面：

第一，从事资金吸存，并且有很大资金沉淀，当资金沉淀、资金吸存这种行为出现以后，自然存在着资金安全隐患方面的问题或者支付风险问题。在这两种模式下，网上支付机构一般都有一种资金吸存行为，买家把钱付给企业，或者电子商务平台也好，第三方平台也好，然后再经过一段时间，卖家确认以后，平台把钱再付给卖家，在滞留的过程中，钱沉淀在支付机构里。

另外还有一种情况，开立账户后，随着交易额的增加，现在一些提供支付服务的企业都和客户签约，约定比如每周清算两次，或者每周一次，或者每月清算一次。随着这种业务量的逐渐增加，资金沉淀量将是非常大的。这种安排是为了增强网上交易信心，维护公正性，确实是很有效的做法，但问题是你保证了交易双方他们之间的信心，提供了信誉增强的服务，但自身的信用和安全性又由谁来保证呢？当交易规模发展到一定程度，特别是第三方支付服务不是对一家企业，而是对着很多家企业，一旦出了问题以后，其影响面肯定很大。

第二，很多电子支付服务商涉及电子货币的发行，对电子货币的发行目前还没有一个明确的法律规范。发行电子货币对持有人来说是一种负债，那么债务的赎回将来应该是什么样的，赎回的风险应该由谁承担等，都是问题。对账户进行充值时买卖双方可能会把一些钱先存进去，虽然没有一个明确的规定，对支付服务提供服务商来说，相当于发行一种电子货币，将来表现形式上可能会有所不同，但基本上都属于电子货币发行行为。从国际上电子支付发展来看，基于网络发行的电子货币将来肯定是网上支付一个很重要的工具，但是目前在国内，对电子货币的性质、发行主体、使用范围等这些方面确实在规定上还是空白。

第三，这类支付服务涉及支付结算账户和提供支付结算服务，突破了现有的一些特许经营的限制，按照《商业银行法》等一些法律法规，整个支付结算业务和支付清算业务实际上还是属于银行专有的一种业务。开立账户后，在账户里沉淀的资金怎么定性，到底是不是视做存款，现在很多企业为了避开吸收公共存款这样一个说法，提出其只是提供代理服务。而这种代理服务在《商业银行法》里作为代理收付款业务，也是银行的业务。这类业务目前实际上还是属于特许业务，非银行机构从事这方面的业务面临着法律上的突破。电子商务发展速度很快，很难预料一两年后会发展到什么规模，电子支付会达到什么规模，而达到一定规模后，肯定会对整个支付结算体系产生一定影响。在美国发展得比较好的PayPal，在发展到目前这个阶段，也引起了监管方面的考虑，到了一定规模以后，政府是不得不面对的。

第四，网上电子支付可能会成为资金非法转移和套现的工具，由此也会带来一定的金融风险。现在的网上支付单笔交易金额或者总体交易金额还不是很大，非法资金转移、套现的现象还不是特别明显，但是也已经有所表现。比如有的网上交易实际上并不是进行真正的消费，而是制造一笔虚假交易，通过银行卡支付后，钱进入了支付平台的账户，通过账户转移到银行，从银行取现，实际上是为了套取现金。对银行卡来讲，信用卡限定一个额度，在这个额度内使用，可以预见现金量，提供这种支付工具是为了促进或者为了满足支付需要或者消费需要，并不是为了让人大量使用现金。对信用卡的取现有一套控制制度，或者通过交易成本限制它的使用，而网上交易则避开了这些。现在很多网站买卖都还是不收费的，成本几乎就是零，通过这样一种途径，套现更为方便。

四、第三方网上支付平台的法律性质

（一）如何界定支付平台的客户存款账户的性质

第三方网上支付平台在提供支付中介和信用中介服务的过程中，会在自身账户中滞留两类资金：结算在途资金和虚拟账户资金。支付平台在提供网上支付服务过程中，对于不通过客户虚拟账户而通过直接从银行账户划账完成结算的支付服务，在网上消费者完成付款但支付平台尚未将款项结算给交易成功的商户时，网上消费者支付的款项就暂时滞留在支付平台的银行账户中；对于同时提供信用中介服务的支付平台来讲，由于支付平台只在网上消费者确认收货后才把货款转移到商户在支付平台开立的虚拟账户中，则资金在支付平台中滞留的时间较单纯的银行支付通道服务会更长。这两种情况都会产生大量结算在途资金，与银行结算业务中的在途资金类似。在支付平台账户服务模式下，客户在支付平台开立虚拟账户，其向虚拟账户充值以及通过虚拟账户收款的行为都会使这些资金实际存在于支付平台自身的银行账户中，用户虚拟账户中的金额基于支付平台银行账户中的存款产生，虽然虚拟账户中所存储的是数据而非资金，但可用来进行虚拟账户用户间的转账结算，并可以通过向用户的银行账户转账而转换为资金。从经济属性上讲，这种虚拟账户与银行账户的功能是一样的。以上两种资金及其孳息的所有权归属取决于第三方支付平台与客户的法律关系，而为防范可能存在的资金风险而进行的规制则取决于第三方支付平台法律属性。支付平台中的沉淀资金是第三方网上支付平台安全运作的隐患，可能产生追索或灭失风险，从而损害支付平台用户的利益。

但由于网上第三方支付平台所提供服务的多样化，其不仅是网络支付技术服务提供商，也不仅是网上交易的资金划转结算服务商，还是信用增强服务商，故而目前还未形成对支付平台与用户的法律关系以及沉淀资金法律属性的较为明确的认识。第三方网上支付的营运者也都从各自立场出发作出不同的解释。如支付宝在其用户协议中声明支付宝服务是由浙江支付宝网络科技有限公司向用户提供的支付宝软件服务系统及附随为用户提供的代收代付货款的中介服务。贝宝用户协议中则声称自己是用户的代理人，是帮助用户从第三方收款以及向第三方付款的代理机构。对于用户的资金，贝宝不是财产的受托人、受信托人或者是待一定条件成熟后再转交给受让人的第三方，而是作为用户的代理人和资金的管理者。在贝宝（美国）的用户协议中，贝宝表示自己是在整个服务的过程中作为用户的代理人和用户资金的管理者。^[20]

（二）如何界定网上第三方支付的客户存款的性质

根据《商业银行法》第2条商业银行的定义，商业银行是指根据《商业银行法》和《公司法》设立的吸收公众存款、发放贷款、办理结算等业务的企业法人。法律对设立商业银行采取特别许可制度，商业银行需要经过中国银行业监督管理委员会的批准才能设立，意味着要作为商业银行提供银行业务就必须得到特别许可。如果非商业银行提供了本该只能由商业银行提供的服务，则是违反了上述的特许经营支付，应该被禁止。由于银监会对商业银行的设立采取了较为严格的准入标准和程序，而且在设立后商业银行的经营活动上还受到持续监管，造成那些不符合商业银行资质但实际经营银行业务的主体逃脱银行业监督管理机关的监管。但是《商业银行法》中并没有明确指出哪些业务是银行独有的业务，也就无从判断哪些业务的必要条件是获得商业银行经营执照。

从国外经验看，在英国由于各类银行从事的业务各不相同，立法机构没有对银行作出区别于其他金融机构的定义，各个法案都根据其自身的目的定义银行。英国的普通法把银行定义为从事银行业务的机构。1882年英国《票据法》第2条规定“银行是指经营银行业务的企业”，根据此条无法判断到底从事何种业务的企业属于银行。银行业务的范围也没有给出明确范围，而是在个案中判断，而且在个案中判定为从事银行业务并不意味着其从事的其他业务也是银行业务。而如果某机构被广泛认为是银行，法院就会倾向于认为该机构从事了银行业务。英国判例认为银行业务起码包括：接受客户的存款和支票并为其贷记账户；客户向其提示付款时，承兑支票或支付指令并借记账户；开立经常账户或类似性质的账户，并记入贷记和借记记录。^[21]2000年《金融服务和市场法案》（Financial Services and Markets Act 2000）规定，任何机构在英国境内以从事存款业务的形式吸收存款必须获得金融管理局的授权。^[22]美国的《银行控股公司法》对银行界定为：任何由联邦存款保险公司提供保险的银行；任何既接受“存款人可以支票或类似方式提款支付给第三人或他人的存款”又同时发放商业贷款的机构。^[23]因此，是否吸收公众存款应当是商业银行的实质。^[24]

从支付平台的服务协议看，几乎都明确约定支付平台不因虚拟账户内的资金余额向用户支付任何利息，其义务只在于妥善保管账户内资金并根据客户的指令进行转账。根据美国《联邦存款保险法》，存款应包括三个要素：银行收取或支付一笔没有支付的资金；是在银行的通常业务中进行的；银行有义务在客户账户上贷记相应数额或者银行必须为了特定目的持有该项存款。

这与银行与存款人之间的权利义务关系是不同的。银行存款是存款人存入银行的货币资金，实质上是存款人将货币资金的使用权在一定时期内让渡给银行。从本质上说，银行与客户之间是债务人与债权人之间的契约关系，类似消费寄托合同关系，消费寄托合同关系是当事人一方将财产交给对方保管，对方取得寄托物的所有权，但负有义务返还种类、数量、品质相同的物。存款合同关系与消费寄托关系的不同之处在于，存款人有权随时要求银行偿还，而寄托人在合同约定的到期日届满前不得要求对方返还财产，否则对方可以拒绝。按照《商业银行法》的规定，商业银行应当保证存款本金和利息的支付，不得拖延、拒绝支付存款本金和利息。因此在一定期间内还本付息是吸收公众存款的核心义务。按照国务院1998年发布的《非法金融机构和非法金融业务活动取缔办法》的规定，非法吸收公众存款“是指未经中国人民银行批准，向社会不特定对象吸收资金，出具凭证，承诺在一定期限内还本付息的活动”；而变相吸收公众存款则是“未经中国人民银行批准，不以吸收公众存款的名义，向社会不特定对象吸收资金，但承诺履行的义务与吸收公众存款性质相同的活动”。关键在于是否承诺在一定期限内还本付息。但支付平台对虚拟账户的拥有者却不负有此义务，从实践看来，其保持虚拟账户的目的是为了方便将来的资金划转，减少对银行账户的依赖。如快钱在《快钱公司用户服务协议》中约定：“使用本服务，您不一定要在您的用户账户中维持资金余额。若您的用户账户中仍留有资金，本公司会妥善保管您的资金以供您交易时使用。”这与传统意义上的存款是不同的，前者更类似于交易的预付款，只不过不是预付给卖方，而是预付给支付中介。英国财政部为《金融服务和市场法案》发布的《受监管活动指令》（Regulated Activities Order，the“RAO”）中，在界定存款时明确将三类行为排除在存款之外：作为销售合同或者类似交易中预付价款而支付的资金；为了担保合同履行或者违约赔偿而支付的资金；在修理或者其他情况下，为了担保财产交付而支付的资金。^[25]所以，综上所述，虚拟账户内的资金应不是存款。

（三）第三方网上支付平台的支付结算业务的性质

第三方支付平台的核心业务就是通过支付网关向银行传达客户的收付款指令。在此过程中，第三方支付平台是以客户的名义向银行发出借记或者贷记客户银行账户的指令，支付平台与客户之间是代理关系，代理支付方完成支付，而并没有参与款项的最终结算。支付平台的支付结算流程根据其在交易中的作用而不同。担当交易第三方保障人的支付平台，比如支付宝，买方首先把款项支付给支付宝，也就是说，支付宝代理买方向银行发出指令，将款项划转到自己的账上。待买方确认收到货物时，支付宝再把支付宝公司账上的货款转移记载在卖方在支付宝下设有的虚拟账户上。当卖方需要取现时，再由支付宝将款项转移到卖方的银行卡上。只起支付网关作用的支付平台则不同，买方付款的对象是卖方，而不是支付平台，银行直接把款项划转给卖方，然后通知卖方已收到款项，卖方发货。在第二种情况下，第三方支付平台只是结算参与者，最终的结算由银行进行。但是对于有第三方保障功能的第三方支付平台，实际执行了一部分最终结算。因为当支付平台把款项转付给卖方时，整个支付就结束了。卖方决定取现尚需要向支付平台发出新的指令，与前一个交易已经没有关系。卖方很可能将数次交易所得资金存放在自己的虚拟账户中而不取出。这种最终结算者的作用在虚拟账户向虚拟账户支付的情况下更加明显。即当买方直接用其虚拟账户内的余额向支付宝支付时，则整个支付过程的完成都没有银行参与，这与银行的结算业务是相似的。只不过因为虚拟账户没有在银行实际分立，这种结算就不会产生实际的资金划转。但随着支付平台参与结算的深度和广度增大，资金划转的外延可能将支付平台虚拟账户间的划转也囊括进来，以维护消费者的利益。

第三方支付平台的定位问题则会影响到其承担的风险和责任。如果仅对支付双方的支付指令和所提供的数据进行处理，而不考虑支付行为本身的有效性和相关信息的真实性、合法性，或者仅以有限的商业谨慎角度加以核对，则仅是一个支付网关服务提供商。在通过虚拟账户收付款的情况下，由于支付平台掌握客户的注册虚拟账户时的信息和私人密码，其负有与银行相当的审查义务。在美国法中，根据《电子资金划转法》和“E条例”，如果产生未经授权的交易，支付平台应当承担大部分损失。

五、第三方网上支付平台中的法律问题

（一）用户资金的安全问题

第三方网上支付平台中会存在两种用户资金：支付在途资金和虚拟账户资金。在前者，当支付方向支付平台付款后，资金从买方的账户划至了支付平台的账户。那么，这部分资金的所有权是否已经转移给支付平台，还是支付平台仅作为保管人持有这部分资金，资金的所有权仍然属于买方？图2-3^[26]显示的就是支付宝在工商银行大账户下的资金分类。一类是作为第三方保障的在途冻结资金，一部分是买方和卖方的虚拟账户资金。这两部分资金没有单独分立，只是在功能和目的上划分。根据服务条例，买方在将款项划至支付宝的账户后，只要没有收到货物或者货物和描述不符合，买家可以申请100%金额的赔付，支付宝作为第三方监管机构将为买家提供与货品价值等额的“全额赔付”。据此理解的话，买方划转到支付宝公司的款项的所有权也转移给支付宝公司，即使卖方没有履行合同，买方也无法收回已支付的款项，而只能获得支付宝的赔付。

图2-3　支付宝的支付结算模式

由于货币是一种特殊的消费品，其特殊之处在于：第一，货币所有权的归属，货币占有权与所有权合而为一，货币的占有人即所有人；第二，货币所有权的转移以交付为要件；第三，货币不发生返还请求权与占有回复之诉的问题，仅能基于合同关系、不当得利或侵权行为提出相应的请求。^[27]因此，买方资金一旦进入支付平台的账户，资金所有权即时转移。买方与支付平台之间形成债权债务关系。但支付平台同时负有支付条件满足的情形下向卖方转移相应资金的义务，也就是说，支付平台不对资金拥有最终所有权，最终权利人是卖方。为了保护客户利益，这笔资金应当与支付平台的自由资金区分并可以拒绝其他债权人的请求。如PayPal在服务协议中严格区分用户自己的资金和自身的资金，声明不会将此资金用于公司运行或者其他目的，也不会在破产的情况下或者由于其他的目的自主地将资金归于债权人。PayPal声明不会利用用户资金赚取利息收入，并且用户的资金在没有加入PayPal提供的另外一个服务“货币市场基金”方案的情况下，将存入被联邦储蓄保险公司所保险的银行（FDIC-insured Banks）里开设的无息账户中。^[28]但是这种方式存在两个问题：一是依赖于支付平台的自我约束，即取决于支付平台是否愿意将账户独立条款订入服务合同以及订入合同后是否自觉履行此项义务；二是此项约定的效力只在客户和支付平台之间发生法律效力，不能约束协议之外的第三方。第三方可就这部分资金主张自己对支付服务机构的其他债权。因此，资金的安全性需要法律特别保护才能真正实现。那么，资金的孳息请求权的归属在目前情况下也只能依据客户与支付平台之间的协议而定。以何种措施保护用户资金不被挪用于其他目的，目前尚不明确。

（二）第三方网上支付平台的信用卡套现问题

根据第三方支付平台的支付流程，买方如果使用信用卡向卖方支付，交易完成后卖方收到买方货款后从银行提现，这是一个合法的交易过程。但是如果买方和卖方之间没有真实的交易关系，买方只是利用交易实现从信用卡中免费提现的目的，即“卖方”收到并提取款项后把钱交给“买方”。这种套现行为是违反银行与客户之间的信用卡使用合同的，但却很难发现。有些支付平台在服务条款中约定如果发现用户涉嫌利用支付平台虚拟账户从银行信用卡中套取现金，则有权拒绝客户的银行账户转账的请求，而且根据客户指示将涉嫌套现的款项退返到相关的交易信用卡中，且有权将这一行为告知相关发卡行。这种行为取决于第三方支付平台与银行之间的协议。

（三）第三方网上支付平台的洗钱问题

由于第三方支付平台很难查证买卖双方是否存在真实交易以及资金划转当事人之间的真实目的，容易成为犯罪分子洗钱的的途径。根据《反洗钱法》规定，金融机构负有反洗钱的义务，包括建立客户身份识别制度和反洗钱内控制度，还负有向反洗钱信息中心报告大额交易和可疑交易的义务。其中第17条规定：“金融机构通过第三方识别客户身份的，应当确保第三方已经采取符合本法要求的客户身份识别措施；第三方未采取符合本法要求的客户身份识别措施的，由该金融机构承担未履行客户身份识别义务的责任。”即第三方支付平台不因未履行反洗钱义务而承担相应责任，只会根据其与金融机构的合作协议向金融机构承担违约责任。实现有效监管利用第三方支付平台进行的洗钱行为，还需要对支付平台性质的明确和监管部门的特别规定。

六、境外对第三方支付平台的监管

（一）美国对第三方支付平台的监管

美国对第三方网上支付平台实行的是功能性监管，即将监管的重点放在交易的过程中，而不是从事第三方支付的机构。美国采取的是多元化的监管体制，分为联邦层次和州层次两个层面进行监管。但美国并没有制定针对第三方支付平台的专门法律条例，只是在现有的法规中寻求相关的监管依据，或者对已有法律进行增补。

首先，美国联邦存款保险公司（FDIC）认为第三方支付平台滞留的资金是负债，而不是联邦银行法中定义的存款，因此该平台不是银行或其他类型的存款机构，不需要获得银行业务许可证。该平台只是货币转账企业或是货币服务企业。但FDIC同时指出各州监管部门可以依据本州法律，对第三方支付平台开展的业务作出自己的定位。

其次，FDIC通过提供存款延伸保险（Pass Through Insurance Coverage）实现对滞留资金的监管。第三方网上支付平台的留存资金需放在FDIC保险的银行的无息账户中，每个用户账户的保险上限为10万美元。

还有，依据美国在“9·11”后颁布的《爱国者法案》，第三方支付平台作为货币服务企业，需要在美国财政部的金融犯罪执行网络注册，接受联邦和州两级反洗钱监管，及时汇报可疑交易，记录和保存所有交易。

（二）欧盟对第三方支付平台的监管

欧盟规定网上支付第三方平台只能是商业银行货币或电子货币，这就意味着第三方支付机构必须取得银行业执照或电子货币公司执照才能开展业务。该监管框架包括三个垂直指引，包括2001年《电子签名共同框架指引》、《电子货币指引》和《电子货币机构指引》。第一个指引确认了电子签名的法律效力。后两个指引是要求非银行的电子支付服务商必须取得与金融机构有关的营业执照，在中央银行的账户留存大量资金并将电子货币的发行限定在传统的信用机构和新型的受监管的电子货币机构。^[29]

七、PayPal模式的法律分析

近年来，随着电子商务特别是网络交易的迅猛发展，这种新型的借助于第三方支付的方式体现了巨大的生命力。在2002年7月8日，当电子商务网站eBay（www.eBay.com）收购了在线支付服务商PayPal（www.PayPal.com）后，PayPal提供的网络支付方式就借着eBay网上拍卖交易，特别是C2C交易的特点在美国和欧洲等国家和地区不断发展。这种新型的方式与消费者线上刷卡付款的最大不同在于，其是通过第三者——PayPal付款给网络商家，商家无法直接取得消费者的信用卡资料，减少信用卡资料泄露的概率。目前该付款方式在世界38个国家中有超过7200万个用户。

（一）PayPal支付模式的基本原理

通过PayPal付款人欲支付一笔金额给商家或者收款人时，可以分为以下几个步骤：

只要有一个电子邮件地址，付款人就可以登录开设PayPal账户，通过验证成为其用户，并提供信用卡或者相关银行资料，增加账户金额，将一定数额的款项从其开户时登记的账户（例如信用卡）转移至PayPal账户下。

当付款人启动向第三人付款程序时，必须先进入PayPal账户，指定特定的汇出金额，并提供受款人的电子邮件账号给PayPal。

接着PayPal向商家或者收款人发出电子邮件，通知其有等待领取或转账的款项。

如商家或者收款人也是PayPal用户，其决定接受后，付款人所指定之款项即移转予收款人。

若商家或者收款人没有PayPal账户，收款人得依PayPal电子邮件内容指示连线站进入网页注册取得一个PayPal账户，收款人可以选择将取得的款项转换成支票寄到指定的处所、转入其个人的信用卡账户或者转入另一个银行账户。

从以上流程可以看出，如果收款人已经是PayPal的用户，那么该笔款项就汇入他拥有的PayPal账户，若收款人没有PayPal账户，网站就会发出一封通知电子邮件，引导收款者至PayPal网站注册一个新的账户。所以，也有人称PayPal的这种销售模式是一种“邮件病毒式”的商业拓展方式，从而使得Pay-Pal越滚越大地占有市场。

一般来看，这种付款方式很容易看成是资金是通过电子邮件方式汇出（Fund-in）汇入（Fund-out）的，付款人和收款人之间完成了付款流程。事实上，通过PayPal发出的电子邮件仅扮演“通知”角色，而PayPal服务也只是对用户的信用卡账户进行借、贷记录而已。

概括地说，从形式上看，PayPal目前提供的基本模式是一种“电子邮件支付”方式。从本质上看PayPal是一种基于其平台的虚拟银行账户的记账和转账系统，资金的转移是在付款人的银行账户、PayPal账户以及收款人的账户之间进行，而电子邮件起到的传递信息和通知作用，其运转离不开银行账户、电子资金转账以及信用卡等传统支付工具（对没有注册PayPal账户的收款人来说，发出电子邮件给收款人对于PayPal来说还有一个市场推销的作用）。

这种模式的特点在于，网络交易的收款人（卖家）只要告诉付款人（买家）自身的电子邮件地址，即在PayPal上的用户名，那么付款人就可以通过PayPal完成付款。PayPal的用户发出的金额和收到的金额首先都是对其PayPal账面的增减，用户可以通过PayPal账户的指令支付，提现或者变为银行的存款。还可以发出指令，使PayPal寄出支票，或者通过转账将资金划至用户指定的银行账户中。付款人和收款人可以在两个不同的银行开户，也可以在两个相距甚远的国家或者地区的银行开户，但是只要他们都是PayPal的用户，就可以减少跨行之间、跨国和跨地区之间的转账烦琐。无疑这种一站式的便利以及以电子邮件地址作为PayPal账户的方式大大有别于传统的依赖于金融系统的交易和转账模式。

此外，对于支付安全来说，PayPal的作用和防火墙有些相同，在收款者和用户的信用卡资料间筑起了一道安全屏障。以前用信用卡购物，需要在网上商店提供的付款页面上输入卡号，这么做当然很方便，但是如果网站没有实现加密传输信息，或者有些仿冒网站（Spoof Site）恶意骗取信息交易，安全性就要大打折扣——信用卡资料会被网站工作人员或者别的什么人获取。现在就不同了，通过PayPal进行转账或者付款给商家，只要输入PayPal账号和密码——这就多了一层密码保护，而且支付页面由PayPal提供，而不是由网上商店提供。最终在PayPal站上完成加密的支付过程，没有第三方（包括网上商店）能够接触到用户的银行账户或者信用卡持卡人的个人资料。

（二）PayPal、用户与银行的法律关系

在说PayPal和用户之间的关系前，有必要对PayPal的用户协议做个简单介绍，在早期的PayPal的用户协议中，PayPal可以将用户的资金一起存放在被联邦储蓄保险公司所保险的银行里开设的无息账户中，通过接受早期的用户协议，用户同意PayPal因该账户产生的任何收益归于PayPal所有，用户将不会收到因其通过PayPal转移的那笔资金而产生任何利益或者其他收益。

PayPal区分用户自己的资金和自身的资金，声明不会将此资金用于公司运行或者其他目的，也不会在破产的情况下或者由于其他的目的自主地将资金归于债权人。PayPal声明不会利用用户资金赚取利息收入，并且用户的资金在没有加入PayPal提供的另外一个服务“货币市场基金”方案的情况下，将存入被联邦储蓄保险公司所保险的银行里开设的无息账户中。

PayPal在用户协议中声称自己是用户的代理人（Agent），是帮助用户从第三方接受支付以及向第三方发出支付的代理机构。并在用户协议中明确：Pay-Pal自身不是银行，其向用户提供的服务是支付处理服务，而不是银行业务；对于用户的资金，PayPal不是财产的受托人、受信托人或者是待一定条件成熟后再转交给受让人的第三方，而是作为用户的代理人和资金的管理者。

基于PayPal的用户协议，我们可以认为，PayPal为注册成为其用户的买家或者卖家的用户，收款人和付款人中间提供了一种网络支付的处理服务。也就是说在用户接受了用户协议之后，PayPal和用户之间有了提供网络支付服务和接受网络支付服务的合同关系。

在PayPal（美国）的用户协议中，PayPal表示自己是在整个服务的过程中作为用户的代理人和用户资金的管理者，涉及PayPal的法律问题可以集中体现在以下几个方面：和用户之间的关系，和银行（信用卡）之间的关系，支付安全、美国金融法律制度中的PayPal监管问题。

1. PayPal和用户之间的关系

PayPal美国的用户协议中把自己定义为代理机构，也就是说PayPal美国是基于用户的指示和要求，以用户的名义完成网上支付。可以说代理机构是属于英美法上的一种宽泛的概念。根据美国的代理法理论，代理是一种受托信义关系，其中一方同意在另一方的监督下为了另一方的利益而实施一定的行为。尽管代理关系不一定必须是基于合同关系的，但基本上是一种合意：即要求本人表明他愿意代理人代表他为一定的行为，并承担其后果；代理人同意代本人而行为，并愿意接受本人的指示或控制。这种同意的表示可以是明示的，也可以从双方当事人的行为或所处情境中推断出来。

在PayPal作为用户的代理人处理网络支付相关事宜的时候，PayPal的责任就基于其在用户协议中的陈述和允诺，以邮件形式履行经用户合法授权的付款通知和收款通知义务。当然作为代理人和资金的管理人（保管人）对用户的个人信息，账户的信息都应有一定保密义务，并保证网络支付资金的安全和顺畅。PayPal在用户协议中特别提到，不将资金用于公司的其他目的，并在公司破产的情形下，不将用户的资金自主地归于债权人名下。

2. PayPal和银行（信用卡）之间的关系

一方面，PayPal为接受其用户协议的客户提供网络支付和资金保管的服务；另一方面，由于自身不是银行，必须依靠信用卡组织和银行体系来构建自己的服务框架。PayPal对于银行和信用卡组织来说是收单人，即用户通过信用卡或者银行账号将资金置入了PayPal的账号中。PayPal需要和银行（信用卡组织）之间有个服务协议明确双方的权利和义务，主要有以下几个方面考虑：对消费者信用卡或者银行账号的认证；信用卡组织或者银行按照PayPal的（用户的指令）要求作出的资金划转；对可能出现的欺诈和退款要求的确认。

可以说在面对用户时，PayPal是将信用卡和银行支付的过程做了进一步细化和虚拟网络化，是一种延伸，但同时也是作为信用卡组织和银行的业务的收单方。这必然造成PayPal和信用卡组织以及银行业务的紧密结合，例如PayPal必须经常调整自己的相关政策以便与信用卡组织的规则，以及规范信用卡的相关法律相一致和协调。

3. PayPal支付安全问题

支付安全问题是用户和PayPal都非常关注的问题，虽然用电子邮件地址作为在PayPal上的账号，并用简单的执行密码作为支付的命令和指示，避免了将信用卡信息和其他银行账号信息透露给其他商家的过程中被泄露的风险。但是在PayPal的实践中，还是会出现网络诚信与安全问题，以及在其涉及的服务中隐私权和消费者保护问题。为此，PayPal出台了一些政策和措施来保证网上支付的安全。

而在验证账户方面，用户可以选择注册三种账户之一进行支付。个人账户（Personal Account）、标准账户（Premier Account）与商业账户（Business Account），在确定选择一种账户后，用户使用支付前需要绑定一个银行账户或者一张信用卡，此时，PayPal就对信用卡账户和银行账户的有效性以及用户的身份进行验证。对美国用户采取“Random Deposit”的方式，当用户登记时，Pay-Pal向该账户随机存入两笔小额存款，在2～3个工作日之后，用户可以查阅这两笔存款的数额并作为激活的代码，在PayPal页面上完成验证流程。另一种是针对在美国外的用户，这些用户在开设账户前，需要向PayPal预先支付一笔1.95美元的款项，随后用户将会在信用卡月结单、银行账户的对账单以及在线访问获得一个4位代码，如果用户在PayPal页面正确输入这4位代码，则该用户的账户就被激活，在进行下一次付款时，这1.95美元的款项将被PayPal返还。

由于PayPal初始依赖于eBay不断扩大自己业务的关系，PayPal专门设置了一系列针对网上交易的安全支付政策，有买方申诉政策、卖方保护政策、买方保护政策和退款担保政策。其中在买方申诉政策和买方保护政策中，都提到PayPal对卖方未交货、收到的货品和描述明显不符合等情况，提供一定的退款保障。另外根据美联储制定的“E规则”，如果资金是通过信用卡置入的，并且是未经授权的，用户可以享受到发卡机构提供的退款保障。

4.美国金融法律制度中的PayPal监管问题

由于PayPal业务的创新性，它的出现对相关法律政策提出了很多挑战和思考。PayPal美国的用户协议中一再强调自己不是经营着银行业务，这对于Pay-Pal顺利扩展自己的业务有着至关重要的意义，否则可以想象到PayPal作为一家非银行机构经营着极其类似银行资金转移的业务就会陷于各种各样的针对银行、金融机构进行规制的法律法规约束中。

PayPal在用户协议以及在相关的诉讼案件中一直声称自己是代理人和网络支付服务的提供者。当然在为用户提供网络支付的同时，由于资金的大量聚集，造成了PayPal具备了一定的资金储存，从而客观上使PayPal具备了一些银行的特征，实现了银行的一些业务功能特点，如转账、提取和支付。要进一步了解PayPal的法律地位，还应从PayPal在美国法律的大环境以及近年来Pay－Pal所遇到的诉讼中得到一些启发：

美国国会的《电子资金划转法》和美联储颁布的用于执行的规则适用于任何形式的资金转移，这个法案特别对提供电子支付服务的非银行机构进行了规定，提供了消费者保护，在目前的一些讨论和研究中，往往认为PayPal应该受《电子资金划转法》和E规则的规范，如对未经消费者授权的交易承担一定的损失。除了美国的《电子资金划转法》，1989年8月美国“统一州法委员会”针对商业性电子资金转移共同制定了《统一商法典》第4A编，来调控大额的商业性电子资金划转，其主要针对银行之间，但又不仅限于电子资金划转这一方式，目前，美国《统一商法典》已成为美国管辖大额电子资金划转最重要的法律。

另外美国联邦储蓄保险公司在其的一封意见书中这样评价PayPal，“在PayPal的服务中，其没有有形性地处理或者拥有那些资金”。PayPal则充分利用了以上的表述，来辨明自己的业务有别于传统银行，从而规避了很多对于金融和银行业务政策法规上的约束。

PayPal为了在美国的各个州顺利展开业务，努力获取货币转账业务的执照，力争说服各个州自身不是银行，不从事银行业务，不受银行和金融法律的规制。其间，其受到了纽约、爱达荷、路易斯安那和加利福尼亚州的质询，并最终获得了经营货币转账的执照（Money Transmitter License），然而所有这些执照都只是在各个州的层面，还没有一个联邦统一的执照，这对于一个利用互联网来推行支付业务的公司则显得微不足道。

当然，PayPal也面临相当数量的网络欺诈，特别是通过信用卡的交易，如果持卡人对交易产生争议和纠纷，PayPal将对未经授权的支付投诉履行退款，但同时因为通过信用卡交易占据了PayPal整个网络支付业务的50%以上，所以PayPal不得不采取比较严厉的措施打击欺诈行为。当它认为某个账户有欺诈嫌疑时，PayPal开始采用较为争议的措施来限制用户的账户，这样难免导致了一些有良好记录的账户被错误地限制，从而引发了用户对PayPal的不满升级为一系列对PayPal的诉讼。

第四节　电子支付中的网络欺诈

一、网络欺诈概述

欺诈是指当事人一方通过编造真实情况、隐瞒事实引诱对方陷入某种错误，并基于这种错误作出违背自己真实意思表示的行为，使得欺诈人从中获得利益。根据欺诈的危害程度和损害程度不同，欺诈行为人可能负有民事责任或刑事责任，二者的构成要件和法律后果相差很大。在民法上，受欺诈的民事行为是受欺诈人因欺诈而作出的不自由的意思表示。英美法的关于诈欺性的错误陈述与大陆法的欺诈相似。所谓错误陈述是指一方当事人在订立合同时，所作出的不真实或虚假的陈述或表示，其目的在于诱使他方当事人与之签订契约，欺诈性虚假陈述为其中一种。根据中国《合同法》规定，受欺诈所为的民事行为是可变更、可撤销的行为。

网络欺诈就是通过网络进行的各种欺诈，其与传统意义上的欺诈并无本质区别，只是在手段上利用了互联网和计算机技术而已。互联网将人类带入数字时代，电子商务更是为人们的生活和商务带来巨大的便利。然而，非面对面交易也给诈骗者提供了丰富的诈骗机会。不但现实生活中的欺诈手段可以搬到网上，而且网络本身的时空和技术上的特点使诈骗者更“创造出”翻新不断的欺诈手段。虚假的信息和电子邮件可以很容易地传递给网络使用者，而网络使用者的个人资料也极易泄露从而导致损失。一位反欺诈专家说：“互联网使每个人都可以与其他任何人通信的事实降低了经商的门槛。显然这对于小企业家是一件好事，也为骗子提供了一座宝藏。”美国很多州都把下述行为作为非法：“怀有欺骗或者不良意图运用网络空间诈骗、敲诈或者通过其他方式获得金钱、财产或者服务。”美国联邦贸易委员会建议人们应当小心10个最常见的的网络欺诈是：信用卡修理、邮购、金字塔投资欺诈、电话欺诈、欺诈性广告与计费的健康产品、假健康产品、电子邮件金字塔欺诈、网上拍卖欺诈和侵犯隐私权。应当看到，网络不仅衍生出了无穷无尽的技术陷阱，也对人类社会生活的本身构成了新的危机。^[30]

电子支付中的网络欺诈，又称为电子资金划转欺诈行为，是影响最为广泛的网络欺诈之一。由于借记卡和信用卡的网上支付均需要支付发动者使用卡密码及其他认证工具，因此，本节以下所讨论的电子资金划转欺诈对借记卡和信用卡不作区分。电子支付欺诈的表现形式多种多样，一种是由欺诈行为人以电子邮件、木马病毒、假网站以及其他的偷窃、诈骗手段获得持卡人的密码，然后冒充持卡人的身份在网上与银行交易，划转账户内资金。另外一种欺诈方式是持卡人通过虚假的网上交易无偿套取信用卡内现金。最典型的表现就是欺诈行为人通过各种手段取得客户密码和其他认证工具，以客户的名义使用该客户的账户，向银行签发一项未经客户授权的支付指令，支付指令的受益人或者是诈欺行为人本人或其利益关联人。由于交易发动者不易确认，客户所发现的事实就是其银行账户内的金额不明去向，因而起诉银行，而银行则认为自己根据事先约定的客户指令接受资金划转请求，不应承担责任。解决争议的关键点就在于如何确定客户和银行的责任划分。对于未经授权的交易，银行是否仅仅根据客户密码交易就可以免责，如何在电子资金划转欺诈中保护消费者的权益，都是争议的焦点。

“网上钓鱼”就是一种典型的电子支付中的欺诈行为。“网上钓鱼”通行的英文名称是“phishing”。实施“网络钓鱼”的时候，钓鱼者手法是多样的。为了“钓取”用户的财政状况、信用卡详细情况和密码等信息，钓鱼者往往利用看起来很像来自一个真实公司或机构的e-mail，有如精心布置的诱饵，这些诱饵是一些别有用心的人所设置，专用于“网络钓鱼”。另一则美联邦银行案例中，钓鱼者发给用户的“网络钓鱼”电子邮件，则利用IE的图片映射地址漏洞，并精心设计脚本程序，用一个显示假地址的弹出窗口遮挡住了IE浏览器的地址栏，使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时，状态栏显示的链接是虚假的。当用户点击链接的时候，实际链接的其实只是钓鱼网站。该网站页面酷似银行网站的登录界面，而用户一旦输入了自己的账号密码，这些信息就会被黑客窃取。有的时候，钓鱼邮件携带了木马程序，或者邮件中提供中奖、有奖问答、对账等诱惑性的信息，误导用户在邮件中填入账号和密码。随即这些用户信息就会被邮件携带的木马程序、病毒加以存储至钓鱼者可以控制的领域，最后被钓鱼者实施欺诈。钓鱼者是用电子邮件作为诱饵的。这些故意隐匿或者伪造互联网电子邮件信息，或者未经互联网电子邮件接收者明确同意，向其发送包含商业广告内容的互联网电子邮件，依照《互联网电子邮件服务管理办法》，均属于被禁止的行为。^[31]利用网上钓鱼取得客户账号的私人认证信息后，钓鱼者就会利用这些信息发出指令转移账户上的款项，从而造成账户内的损失。在关于电子资金划转的诉讼中，争议最大的问题就是如何分配这种损失。

二、电子支付中的欺诈与盗取

金融机构往往利用其优势地位要求客户承担涉及其账户的任何电子资金划转的责任。据统计，美国在1978年《电子资金划转法》颁布前，约有35%的银行要求其客户同意承担所有未经授权划转的责任，直到该客户通知银行其损失为止。在英国，银行的电子资金划转服务合同往往要求消费者对所有使用其磁卡提走的款项负责，无论提款是否经过消费者授权。其典型的条文如下：“对于所有使用信用卡/磁卡所提取的款项和由此带来的损失，银行将从客户账户得到支付。”以及“所有使用信用卡/磁卡而从客户账户提取的款项都视为信用卡/磁卡持有人的有效提款”。

而中国的银行卡服务协议也同样出现类似的条款，例如《中国工商银行牡丹灵通卡章程》第9条规定：“凡使用密码进行的交易，发卡银行均视为持卡人本人所为。依据密码等电子信息办理的各类结算交易所产生的电子信息记录均为该项交易的有效凭据。”《招商银行国际信用卡章程》第26条也载有同样的内容。2006年9月海淀区法院便据此对一项网上资金划转诉讼案件作出不利于原告的判决。该案中原告于2005年9月3日在工商银行海淀支行西苑储蓄所开具的一个存折上还有7.4万余元存款，但在9月15日去银行取款时账上只剩下1.3万余元。被告工商银行西苑储蓄所证明此前原告已与其签订网上银行服务协议。2005年9月4日至15日期间，原告账户通过工行的网上银行系统汇款达36笔，总计6万元，手续费600元。这36笔交易是凭原告的账号、密码登录网上银行系统后发出指令，被告依据该指令办理资金划转。原告表示那段时间自己并未使用过网上银行。被告则认为该指令的发出均应视为原告本人所为，因此所造成的后果也应由其自行承担。法院查明在整个网上交易过程中，客户需要输入的两个密码都是由客户自己掌握，银行对此并不知晓。法院认为被告在客户能够准确输入登录密码以及交易密码的前提下接受汇款指令，并提供了相关服务，已完全履行了合同义务。在原告不能提供充分证据证明存款的消失是因工商银行的过错导致的情况下，被告不应对此承担法律责任，原告应妥善保管密码，并应承担因其个人原因导致密码泄露而产生的一切不利后果，判决驳回原告诉讼请求。^[32]

台湾地区发卡银行也是以信用卡格式合同条款限制自己的责任，并要求持卡的消费者必须对他人盗刷的金额负责。台湾地区司法早期几乎都站在发卡银行的一方。例如在1981年国泰信托所提出的一件信用卡冒用盗刷案件，就清楚地显现出双方不平等与司法机关对盗刷问题的看法。在该案中，持卡人的信用卡在星期天遭窃，向国泰信托挂失，却是无人受理，延至周一挂失，又因国泰信托通知各特约商店时隔2～3天，结果在此期间被人盗刷近20万元。持卡人认为其依规定挂失故不应就他人盗刷部分负责，但是国泰信托则以信用卡使用契约为依据，主张持卡人负责。结果法院认为信用卡契约的内容并无违反公序良俗之处，故不是无效的法律行为，因此依据双方订立的信用卡契约约定的条款内容，判决信用卡挂失之后国泰信托通知特约商户之前被冒用而发生的一切损失，都由持卡人及其连带保证人负责。此外，法院认为信用卡属于资格证券的一种，表彰记账费用的资格，特约商店凭卡签账交易，不必另外核对持卡人的身份证。持卡人虽然在交易的时候必须在记账单上签名，但信用卡上的签名与冒用人在记账单上的签名是否同一人所为，特约商户无从辨认，所以只要特约商户对持卡人的交易为善意，即使持卡人为盗窃者或者拾得者，特约商户都可以免责。^[33]

在这两个案例中，持卡人都蒙受了巨大的损失，但是根据银行拟定的格式条款，凡使用密码进行的交易均视为持卡人本人所为，而不论是否是持卡人的真正意思。只要银行证明了其是根据持卡人通过密码发出的交易指令进行的资金划转，就对持卡人的损失不负责任，造成责任分配的不公平。为了维护消费者的利益，台湾地区主管部门1997年发布了信用卡定型化契约模版，使得冒用盗刷问题获得一定改善。但对于持卡人办理挂失停用手续起前24小时以前被冒用的损失，银行如无违反善良管理人的注意义务时，应当由持卡人负担。此条款成为争讼焦点。美国《电子资金划转法》和E条例则从保护消费者利益的立场出发，具体规定了消费者未经授权的电子资金划转承担的责任限额。

三、电子支付中的交易确认

以大额电子支付划转为调整对象的美国《统一商法典》第4A编使用了“安全程序”这一机制来确定责任的归属。如果银行举证证明自己无过错，即使支付命令未经授权也由客户自己承担风险。要证明银行无过错，就需要满足下列条件：首先，银行与客户之间协商同意以安全程序来验证支付命令的真实性；其次，该安全程序是商业上的合理方法；再次，银行是善意的；最后，银行尽到了注意义务。所谓安全程序，是支付指令接受银行与其客户约定的一种确保电子数据真实性的程序，其目的在于证实支付指令或其修改、取消为该客户所签发，或者查明指令在内容或传送中的错误。安全程序可以是某种算法、密码、确认字符或数字、加密、回呼程序或类似的安全工具。当事人可以通过约定，将一些确保指令真实性的非技术性手段作为安全程序的一部分，例如，客户向接受指令的银行提交一份接受付款的收款人名单，禁止银行向名单以外的人付款，银行据此可以判断以名单以外的人为收款人的支付指令是冒签或被篡改的支付指令。^[34]但是以小额电子支付为调整对象的美国《电子资金划转法》和E条例不采用“安全程序”的判断标准，而是看事实上资金划转是否经过客户授权。

美国《真实信贷法》及Z条例主要涉及信用卡的责任，其中认为如果作为电子资金划转工具的卡是经过授权而使用的，消费者通常应当承担此划转所产生的法律后果；但是如果该卡的使用未经授权，则Z条例将持卡人的责任限制在50美元以内。《电子资金划转法》与E条例都将“未经授权的电子资金划转”定义为：“由消费者以外的未获发动划转实际授权的人所发动的，从该消费者账户划出资金而该消费者并未从该划转受益的电子资金划转。但本术语不包括下述任何电子资金划转：由该消费者向其提供该消费者账户的卡、密码或其他存取工具的，该消费者以外的人发动的电子资金划转，除非该消费者已通知有关金融机构不再授权该他人发动电子资金划转；由消费者或与其共谋的任何人发动的，具有欺诈意图的电子资金划转；由金融机构实施的，构成一项错误的电子划转。”^[35]

一项特定的交易是否构成未经授权的划转是一个很难认定的事实问题。消费者的部分授权、授权被撤销或者消费者过失都会影响对是否未授权交易的判断。如果消费者将卡和密码交给他人代为划转一定数额资金，而该他人将资金划转到自己账户，这是否是未授权交易？消费者将密码记在卡上后遗失该卡，拾得人用该卡和卡上密码取走卡内现金，这是否属于未授权交易？也就是说，消费者自身的过失是否影响未授权交易的认定？

根据《电子资金划转法》，超越授权范围的资金划转仍被认为是经过授权的交易。如果被授权使用卡的人超过授权范围而使用该卡，根据《电子资金划转法》，该划转不被认为是未经授权的，消费者的责任不受限制；当原来的授权撤销时，在消费者通知金融机构这种撤销以前，消费者的责任也不受限制。但是，金融机构不得要求消费者向其通知卡在特定的地点或被特定人窃去。根据E条例，只要消费者以合理方式通知金融机构，其责任将受到限制。

消费者过失并不等于授权。根据美国联邦储备委员会围绕E规则第205条作出的解释，消费者的责任由借记卡挂失的及时程度或在账单期间内是否报告未授权交易来决定。在E规则下，消费者的过失并不会加重消费者承担的责任。^[36]一般来说，消费者对用丢失的或被窃的卡发动的交易的责任，包括消费者自己被迫尽心的划转的责任，适用《电子资金划转法》和E条例中规定的对未经授权的责任限制。无论消费者存在多么明显的疏忽，都不影响对消费者责任的限制。在Russell v. First American Bank-Michigan案中，原告将其银行卡与写在纸片上的卡密码交给女儿，后丢失并损失卡内款项。法院判决认为，消费者疏忽与是否应对拾得人发动的未经授权的划转负责任是无关的。^[37]

一般来说，只有满足下列条件的，消费者才对涉及其账户的未经授权的电子资金划转承担责任：第一，该划转是使用一个消费者已经接受的卡或存取工具发动的，“已经接受的卡或存取工具”指，当向其签发卡或其他存取工具的人以在账户间划转货币为目的或以获得货币、财产、劳动服务为目的，已要求并接收或已签署或已使用此类卡或其他存取工具之时，或授权他人使用此类卡或其他存取工具之时，以发动电子资金划转为目的的，适用于消费者账户的卡、密码或其他存取工具。第二，金融机构已提供方法，例如签字、指纹、照相或PIN，以确认持有存取工具的消费者的身份。第三，金融机构已向消费者提供在消费者认为已经发生或可能发生未经授权的划转情况时受理通知的人员或办公室的电话号码和地址，以及金融机构的营业日。在此情况下，消费者在消费者通知金融机构已经或可能发生未经授权的划转之前就出现了未经授权的资金划转，则消费者的责任是不超过50美元和未经授权的划转金额两者之间较小的数额。如果没有在遗失或被盗窃后2天内通知发卡行，那么最多可以承担500美元的责任；如果消费者在看到银行定期提供的交易记录，而该记录显示存在未经授权的使用时，60天内没有通知发卡行，那么消费者可能承担所有责任。消费者不仅有责任限制，而且银行为了使消费者承担有限的责任，还必须满足三个条件：第一，消费者在卡遗失或被盗窃之前要求银行发卡并实际收到了卡；第二，银行必须提供识别持卡人的方式，比如每个持卡人都有自己的密码；第三，银行必须向持卡人全面披露其责任的限额，并向持卡人提供一旦发生错误或故障时如何通知银行的方式。^[38]

是否授权的事实往往错综复杂，难以举证。如果将证明未授权的责任加诸原告，则原告败诉的概率非常大。因此，《电子资金划转法》规定此类问题的证明责任由金融机构承担。

四、中国对电子支付确认的立法

根据《银行卡业务管理办法》第39条规定，发卡银行依据密码等电子信息为持卡人办理的存取款、转账结算等各类交易所产生的电子信息记录，均为该项交易的有效凭据。本条并没有把密码当作持卡人负责的唯一理由。而是依据本人行为原则，只要客观上在个人电子银行交易中使用了私人密码，如无免责事由，则视为交易者本人使用私人密码从事了交易行为，本人对此交易应承担相应的责任。如果出现免责事由，则交易者本人可能不负责任，但本办法并没有规定何为免责事由，在具体实践中很难作为责任划分的依据。

《电子支付指引（第一号）》第五章差错处理部分有对客户损失的处理方式。其第42条规定，如果因银行自身系统、内控制度或为其提供服务的第三方服务机构的原因而造成电子支付指令无法按约定时间传递、传递不完整或被篡改，并给客户造成损失的，赔偿主体是银行。即使是由第三方服务机构造成的客户损失，也应当由银行赔偿。但在赔偿后可以根据与第三方服务机构的协议进行追偿。但是对于欺诈行为人使用客户密码等认证信息与银行或第三方服务机构交易造成损失的，本规定并没有限制客户的责任。这是其与《电子资金划转法》的重大区别所在。《电子支付指引（第一号）》只在第44条规定了“客户应妥善保管、使用电子支付交易存取工具。有关电子支付业务资料、存取工具被盗或遗失，应按约定方式和程序及时通知银行”。和第45条规定了“非资金所有人盗取他人存取工具发出电子支付指令，并且其身份认证和交易授权通过发起行的安全程序的，发起行应积极配合客户查找原因，尽量减少客户损失”，也没有明确责任的分配问题。因此在实践中的处理纠纷的依据仍然是各银行的银行卡使用章程，即把所有使用密码发出的交易指令都视为授权交易。

但是，银行应当保证提供与划转金额相适应的足够安全可靠的资金划转系统。如果只要用账号和密码就能完成资金划转，则资金划转额应与这样的安全程度相当，如果客户账户被划走10万元，则显然与低安全度不相适应，银行应当承担部分责任。如果完全依照银行提供的格式条款处理，则对客户显然不公平。根据《合同法》第54条的规定，订立合同时显失公平的，当事人一方有权请求人民法院或者仲裁机构变更或者撤销。

《电子支付指引（第一号）》则具体规定了网上银行业务日划转金额的额度，这可以作为银行责任的依据。其第25条规定银行应根据审慎性原则并针对不同客户，在电子支付类型、单笔支付金额和每日累计支付金额等方面做出合理限制。《电子支付指引（第一号）》根据不同客户的抵御风险的能力不同区分每日划转资金的上限。个人银行通过互联网为个人客户办理电子支付业务，除采用数字证书、电子签名等安全认证方式外，单笔金额不应超过1000元人民币，每日累计金额不应超过5000元人民币。银行为客户办理电子支付业务，单位客户从其银行结算账户支付给个人银行结算账户的款项，其单笔金额不得超过5万元人民币，但银行与客户通过协议约定，能够事先提供有效付款依据的除外。如果在未授权交易中，银行的划转额度超过这个上限，则银行应当对超出的额度承担责任。

但是，目前中国的立法和实践主要采纳的还是笼统的本人行为原则，还没有具体的限制客户责任的规定，在保护消费者权益方面还需进一步加强。

五、电子支付安全的典型案例

1.木马病毒

在此类案件中，被害人的电脑在毫不知情的情况下被植入木马病毒，从而被盗取了网上银行的卡号与密码。

（1）利用邮件发送病毒。24岁的“黑客”蓝盾在2006年2月15日，通过黑客程序在网上找到一些可以被他“攻击”的电脑，并迅速锁定了其中一台用户——在某银行工作的沈小姐。随后，蓝盾通过自己的邮箱，将“木马程序”发给了沈小姐。当晚10时许，不明真相的沈小姐打开了这个意外“邮件”，不幸“中招”。与此同时，蓝盾的电子邮箱中，收到了一封回复邮件，上面记录着沈小姐的银行卡号及密码，以及曾浏览过的某银行“网上银行”网页。第二天上午，蓝盾迅速找到一家汽车代理商网上付款银行，用沈小姐的银行卡成功进行了一笔18万元的交易，为自己成功购买了一辆“领驭”轿车。沈小姐发现自己银行巨款被“黑客”侵吞，即向警方报了案。经过警方侦查，蓝盾承认盗用沈小姐银行卡的犯罪事实。

（2）网页木马病毒。2006年4月底，乌鲁木齐市公安局接受害人报警称：从4月19日开始，有人先后盗窃他在互联网上银行账户里的存款13000余元。经侦查，乌市警方很快锁定了犯罪嫌疑人的踪迹。5月22日晚，在福建公安机关的配合下，24岁的丘成辉在福建省龙岩市家中被抓获。经审查明，丘成辉利用网站的漏洞，上传一个网页木马病毒，当有人浏览该网页的特定页面时，该木马病毒就会自动下载到该用户的计算机内，并伪装成系统进程随着计算机的启动而运行，该木马病毒的功能就是记录用户所有的键盘操作。如在各大银行的网上银行输入的银行卡号、密码，各种网站的用户名和密码，游戏的用户名和密码等，甚至包括聊天记录等内容都可以被记录下来。这些信息被木马病毒以电子邮件的形式发到丘成辉预先设定的电子信箱内，这样他便可以随意支配别人网上银行账户里的存款。

（3）“灰鸽子”事件。2006年6月，网友在登录某银行网上个人银行时，系统突然弹出电子银行系统正在升级并要求修改密码的提示。这是一个伪造的IE窗口，上面写着：“为了给您提供更加优良的电子银行服务，6月25日我行对电子银行系统进行了升级。请您务必修改以上信息！”病毒以此诱骗用户重新输入密码，并将窃取到的密码通过邮件发送到一个指定的163信箱。更为严重的是，该病毒同时还会下载一个叫做“灰鸽子”的后门程序，感染该病毒的用户系统将被黑客远程完全控制，也就是说黑客可以像用户操作自己的电脑一样在远程操作用户的电脑。

2.假网站

在此类案件中，犯罪分子在网络上设置与真银行网站域名相似或外观相似的站点，诱骗用户输入用户名及口令，盗取信息后进行网银转账。

2006年，贵州警方破获一起网络盗窃案，黑客竟然是11岁男童洋洋。经查，洋洋在网上购买了专门用于套取某银行网上银行个人账户和密码的假冒网址，并于7月26日冒充某银行网上客户服务人员，以帮助李某某解决网上银行不能登录问题为由，在骗取其信任之后，通过让李某某在自己购买的假冒某银行网站上填写银行账户相关信息进行网上银行卡的升级，从而盗取了李某某的某银行个人网上银行账号及密码，并于7月28日凌晨将李某某账户中2598元转移到其事先开设的账户。警方调查还发现，有近30名某银行的网上银行个人用户受骗，被洋洋盗窃卡号和密码。

2006年7月中旬，哈市香坊公安局郊区中队接到报案，报案人称其在某银行银行卡上的13870元人民币被人用网上银行转账的方式盗走。经调查，嫌疑人王宝山在牡丹江一小区内租房上网，并设置一个网站平台，叫用户输入银行卡号和密码交1元钱成为会员。被害人朱某在家中上网时信以为真进入注册，并将卡号和密码全部输入进去。而此时犯罪嫌疑人王宝山通过网站信息库能够清楚地看到对方登录的账号和密码，嫌疑人通过网上银行分三天将朱某的钱转到自己的银行卡内，共计转走资金13870元，后又通过自动取款机将钱全部取走。

3.在不知情下被人冒名开通网银

在此类案件中，用户自身从未开通过网上银行业务，但卡号或密码被犯罪分子盗取或破解后在用户毫不知情的情况下开通了网银，并通过网银将款项转走。一方面是用户没有保护好自己的私密信息，另一方面，网上银行大众版的申请开通机制过于简单。

2006年南京的陈先生办了某行的借记卡，所有业务都是在柜面上办理的，从未开通、使用过网上银行，没想到还是给“黑”了。原来，是不法分子替他开通了网银业务，又破译了其股票账户的密码，然后从股票账户上转了2万元到银行卡上，并通过网银从卡上转走了近1万元。

2006年，在南昌务工的李某到南昌市某银行江纸储蓄所开了一个新户头，并将打工挣来的3000元现金存入。他随后来到取款机上查询，却意外发现刚刚存进去的存款不见了。李某赶紧回到银行，工作人员查询得知，他的户头上确实有3000元存款的记录，但在20分钟后，有人登录了这个银行的网站，在输入李某的身份证号和密码后，在网上开通了该行个人网上自助注册账户，随即通过网上银行将钱转走。

4.偷窥或直接骗取卡号、口令

此类案件并没有利用木马病毒、假网站等技术手段，而是由于用户的防范意识薄弱，卡号、口令等私密信息被犯罪分子直接偷窥或盗取。

2006年8月，沂南县一家食品公司的网上银行账户，被人神不知鬼不觉地划走了48万元人民币。事后查明，犯罪嫌疑人刘强在与该公司出纳员接触的过程中偷窥了其网上银行的账号密码，同时在借口帮其升级杀毒软件的过程中将数字证书偷偷导出，利用获取的资料登录网上银行盗取了巨额资金。

5.通过网上支付盗取资金

2006年9月8日晚上10：40，广州市民黄颜菲突然接到某银行的一个奇怪电话，银行工作人员说有人在网络上试用她的信用卡密码，她随即上网查询了自己多张信用卡的余额，均未发现异常。然而两天之后，她却发现借记卡里的14万多元现在只剩下了25元，而且绝大多数资金都是在9月8日晚11：15到9月9日凌晨1：24之间，通过网上支付的形式支出的。这一切都发生在那次密码错误提醒电话之后。黄颜菲回忆说，被盗密码的银行卡是专门用来存款的账号。之前这张卡所有的支出，都是通过网上转账转出的，而网上转账的动态密码和网上支付的固定密码完全不同。2005年9月开通账户时，她开通了网上支付功能，但是自修改初始密码之后，她从未进行过网上支付交易，也从未在ATM机上取过款。银行工作人员表示，根据以往类似案件的经验，事件很可能是客户的熟人所为，他们由于了解持卡人的个人信息，可以通过多种组合猜测密码，直至最后成功。对于银行的这种说法，黄颜菲认为虽然不能排除上述可能，但银行对于短时间内大金额的网上交易异常情况毫无预警，应该承担一定责任。而且，银行网上交易需在6次输错密码后才锁定账户，经尝试，确认可以通过不断提起新交易，每次尝试5次密码的方式来猜测密码。中国人民银行曾发布了《电子支付指引（第一号）》文件，其中规定银行通过互联网为个人客户办理电子支付业务，除采用数字证书、电子签名等安全认证方式外，单笔金额不应超过1000元人民币，每日累计金额不应超过5000元人民币。受害人表示虽然从未开通过数字证书、电子签名服务，但在36笔异常交易中，交易金额从1139元到10360元不等，每笔都超过了1000元人民币。如果银行是严格遵守中国人民银行的《电子支付指引（第一号）》来操作，就不可能发生在2小时内被盗取14万元的事件。

6.开户审核不严

2005年7月1日，周某存折上的存款被他人通过网上银行先后4次转走17200元。经警方调查，发现他人以周某的名义办理了三张银行借贷卡，并在其中一张卡上注册了网上银行，同时开通对外转账功能，之后通过网上银行，在周某所开的存有万余元的账户与三张卡之间多次进行转账操作，从而将周某卡中的现金取走。银行在他人冒充周某开通网银的过程中未能尽到尽职审查的义务才导致存款被盗，禅城区法院对该新型的储蓄存款纠纷案进行一审宣判，判决被告银行佛山分行承担原告周某全部损失的六成。

2002年10月，浙江省永嘉县人洪荣尧在某银行永嘉支行罗浮营业所申办了一张借记卡。2005年2月2日，洪荣尧的手机短信显示，其借记卡内少了10.25万元，遂向警方报案。经调查，2004年11月22日，有人以“洪荣尧”的名义持假身份证到该银行温州市分行开通了网上银行业务，获取了网上银行的客户证书及网上银行密码。注册成功后，此人于2005年2月2日通过网上银行将洪荣尧借记卡内的10万多元资金分两笔转划至他人账户，后领取了该款。另经查明，洪荣尧曾因业务需要将借记卡的密码告诉过他人。被冒领的款项无从追回。

2005年5月11日10时许，储户庄玉清到晋江某银行营业部业务窗口办理存款业务时，发现账户内的777万元存款不翼而飞。她当即向晋江该行领导报告并向警方报案。经警方立案侦查，发现涉案的犯罪嫌疑人系冒用庄玉清的身份证在该行鲤城支行开通网上银行业务，于2005年5月10日采用网上银行转账的方法将庄玉清账户内的存款划转到犯罪嫌疑人在北京开的账户上，并领取现金逃逸。这家银行——晋江市支行被判全额赔偿储户损失，并支付相应的违约金。

7.内外勾结作案

2006年2月，某银行郑州市陇海西路分理处保安张合军在帮助53岁的李老太太使用自动取款机取钱时，李老太太把密码告诉给了张合军。张合军偷偷将李老太太的银行卡账号及密码牢记在心。随后张合军找到该分理处职员孙彪，孙彪明知银行具有为储户保密的义务，却碍于朋友情谊，违反银行规定，非法向张合军提供了储户李老太太的信息资料。后张合军以李老太太的信息资料于2006年5月在网上注册了一个“网上银行”账号，盗走李老太太的银行卡内现金6000余元。

2006年广州某银行一位中层管理人员利用手中职权，内外勾结，以伪造客户身份资料等方式擅自替客户开通网上银行业务，然后以网上转账的方式将该客户的1500万元巨额资金盗走。

8.利用网银套现或洗钱

2006年重庆的张锴（化名）利用提供网银服务功能的信用卡在网上进行套现活动。通过一种类似于支付宝、PayPal的网上支付平台PAY888，张锴在信用卡上透支6000元人民币，将这笔资金打入他在欧洲一家博彩公司——伟德亚洲网站（vcbet88．com）的私人账户内。但张并未在伟德上参与任何竞猜游戏。10秒钟后，他通过伟德网站上的支付工具GIS，将6000元提出来，并打入一张某银行的借记卡中，整个过程不收任何手续费。由此打开了一条通过信用卡零成本套现、廉价换汇和境内外资金转移的秘道。

六、电子支付安全风险的成因

1.用户风险防范意识较差

在上述案例中，绝大部分案件是由于网银用户风险防范意识较差，没有采取必要的措施才导致“网银大盗”屡屡得手。用户安全意识的提高是有效控制网银安全案件的一个最重要的因素。综合说来主要有以下几种不良习惯会导致网银被盗风险加大：没有良好的保密意识，轻易将卡号、口令及其他信息透露给他人或被他人偷窥个人资料；防范意识薄弱，对犯罪分子设置的各种盗取密码口令的骗局缺乏警惕性；电脑中未安装杀毒软件，或未对杀毒软件经常进行升级；在公用机器上使用网上银行；登录网银时不仔细辨认网站真伪。但是，用户的安全意识提高是一个长期的过程，需要持续不断的宣传和各方的共同努力。

2.相关的提示信息不够充分

首先，许多用户并不知道在存折、银行卡之外，还有一个不需要物理介质就能进行账户资金操作的渠道——网银（大众版）或网上支付，而且在有的银行当中，这一渠道的开通并不需要本人亲自到柜台办理，只需知道卡号、密码、身份证号码即可；其次，除了个别银行对网银有明确的安全风险提示或说明外，大部分银行都只介绍网银大众版的便捷性，对有可能存在的风险缺乏应有的说明。

在用户开通网上银行的过程当中，有的银行柜员对于大众版网银与专业版网银的不同安全级别未能做出充分必要的说明，尤其是对于数字证书的介绍比较浅显和模糊，导致用户未能充分认识到数字证书的重要作用。例如在四川一例网银失窃案中，当事人虽然是由于电脑中毒才导致资金被盗，但她在申请办理网上银行业务时，虽曾了解到可以办理安全性更高的数字证书业务，但银行工作人员却告知她“做大业务才需要，一般转账数百元的不用办理”。在银行的这种提示下，用户对数字证书形成不了应有的正确意识，数字证书的应用不普遍就成为理所当然的事了。

3.网上银行的安全机制需要进一步完善

绝大多数的网银不安全案件都集中在网银大众版上。通过卡号、口令（个别银行需要个人证件号码）就可以开通网银大众版，并不同程度地具有一定的账户资金转移功能（支付、缴费）。相对于以往直接盗取银行卡或伪造银行卡作案的方式，网银大众版降低的作案的难度，提供了一条脱离物理卡片就可以盗取用户账户资金的通道；同时，把银行的风险由网银用户扩大到所有个人用户，从总体上扩宽了银行面临的风险面；此外，这种直接使用卡号和密码的网银大众版本身又成为了不法分子盗取卡号和口令的重要渠道，即网银大众版不仅是盗取资金的渠道，同时也是盗取卡号、口令，滋生更多风险的温床。

交易限额的风险控制方式存在局限性。虽然许多银行都不同程度地规定了单笔交易、当日累计交易额、总累计交易额等来控制网银风险，但事实上大部分的网银案件中，不法分子都是通过多笔小额交易的方式作案。相对于柜面交易的时间、人力成本来说，互联网上单次交易的成本几乎可以忽略不计。而且互联网交易的不见面性使这种非正常的多笔小额交易很难及时察觉。因此，交易限额的方式很难有效控制风险。通过手机短信通知或系统及时判断账户异常状态等是相对更有效的风险控制方式。

网上支付的安全性有待提高。一些银行对大众版网银有比较严格的风险控制，如仅开通了查询功能，而没有缴费或支付功能，但对于网上支付机制却没有加以严格的控制。许多银行的网银和网上支付是两套独立的系统，两者采用的是不同的安全机制，其他人在知道用户卡号和口令的情况下，虽然无法通过网银进行转账，但却可以通过网上支付功能进行消费。此外，还可以通过电话银行、手机银行等其他多种渠道对用户的资金进行操作。账户资金的安全性取决于安全机制最低的环节。因此，银行在网上支付环节安全机制降低就成为用户账户资金的风险点。

内部管理存在疏漏。由于银行对网银开户人的资料审查不严格，业务流程不规范，导致他人有机会假冒用户身份开办网银并盗取资金。或者银行内部工作人员与外部人员相互勾结，盗取用户资料私自替用户开办网银，再利用网银窃取用户资金。

4.电子支付安全风险的防范

网上银行的一些不安全隐患确实存在，但只要采取了足够的技术手段和管理措施，网银交易的安全性是可以确保的。网络是一个互动的平台，安全性需要银行和客户共同来维护和保障，同时还需要相关社会大环境的不断完善。

（1）正确使用数字证书

数字证书是迄今为止最有效的网银安全防范手段，用户只要正确使用，网银安全是完全能够得到保障的。从上述的案例中可以看出，绝大部分的案件都是集中在没有数字证书的大众版上。所以说，数字证书是保证网银安全的有效手段。

数字证书的合法性是恰当使用数字证书的基本前提。随着用户安全意识的逐步提高，越来越多的媒体和用户关注数字证书的合法性问题。例如《每日经济新闻》曾有一篇报道就明确写道“部分银行网上交易系统所适用的数字认证（CA）是自己颁发的。而按照常理，CA只有由值得信任、中立的第三方颁发，才会具备一个身份验证的作用。银行自行颁发认证，纯属王婆卖瓜，一人身兼裁判与球员二职，网上客户自然只有任银行宰割的份了”。采用合法的第三方CA才能从根本上保证数字证书的合法性，符合国家法律的相关规定。

同时，正确使用数字证书也非常重要。如果使用不当，也会给不法分子造成可乘之机。首先，在数字证书的申请过程中，用户本身对于个人资料的保管不当使得他人有机可乘；其次，由于流程不规范、审查不严格或内部管理疏漏导致内外勾结等漏洞，使得他人可以冒充用户身份开办数字证书，利用网银盗取大额资金；最后，用户在使用环节中的大意也容易形成被他人攻击的突破口，例如将证书的密码轻易透露给他人，证书的存储介质未能妥善保存，让不熟悉的人接近存放证书的计算机等；还有，在证书存放的过程中，大部分用户仍然采用的是浏览器方式，这种方式的安全级别要低于USB-key的存放方式。

如何才能保证用户的正确使用呢？这既需要用户本身树立正确的使用观念，同时也需要银行不断采取各种措施加以保障。

银行方面：首先，从强化网银品牌、强化公众信心、规避风险的角度，银行需要加大对数字证书相关知识的宣传力度，多向用户介绍如何正确使用第三方数字证书；其次，银行尤其要加强证书办理流程的规范，严格审查用户资料，加强内控制度，防止内部人员的违法犯罪，先从银行内部杜绝可能出现的风险；再次，银行应多向用户推介USB-key的数字证书存储方式，加大促销力度，以带动此种方式的普及；最后，对于自建CA的银行而言，应当尽快采用第三方认证机构的认证体系，第三方CA拥有合法的认证地位，拥有完善的安全管理机制和赔偿制度，使用第三方CA既符合法律规定也符合银行和广大网银用户的利益。

用户方面：用户自己养成正确的使用习惯也很重要，例如妥善保管个人用户资料，防止被其他人盗取；妥善保管数字证书及其使用密码，避免无关人员的接触；采用USB-key的高安全级别存储方式等等。

（2）对用户的宣传普及和正确引导

用户正确使用习惯的培养并非一朝一夕之事，需要各银行及相关机构长期不懈的努力。尤其是作为CFCA和银行，更应将提高大众的安全意识作为一项长期的责任，要起到积极的引导和推动作用。CFCA联合各银行发起的“放心安全用网银”联合宣传年活动就是一个很好的例子。宣传年活动的开展对网上银行的健康发展起到了良好的促进作用。

另外，银行从自身角度，也要本着负责任的态度进一步加强宣传和引导力度。包括在网站上提供相应的风险提示，印制并发放相关的网银安全知识等等。尤其加强对网点人员的培训力度，对用户做好引导工作。

（3）改进业务管理的规则

一是改善大众版网银的业务规则。

由于大众版网银的安全级别较低，成为网银安全事故的多发地带，因此各银行应对大众版网银采取恰当的措施，规避风险。例如，关闭仅需要卡号、密码即可开通大众版的功能，用户必须要凭有效证件前往银行柜台才能办理网银业务；若用户只需要卡号、密码即可开通大众版，那么则应当对其功能加以限制，如限制用户只能查询，但无法使用缴费、支付、转账等涉及资金流转的功能；根据《电子支付指引》尽量控制大众版每日的交易限额，减少用户在万一账号遭窃情况下的损失。

二是改进网上支付等其他支付方式的业务规则。

尽量统一网上银行与网上支付、电话支付、手机支付等其他支付方式的安全机制。例如，其密码防范机制需要进一步完善，不应当出现上述黄颜菲案件中网上支付密码就是取款密码的情况，两种情况下的密码应当需要分别设置；而且银行网上支付交易虽然可以在6次输错密码后才锁定账户，但经尝试后却发现可以通过不断提起新交易，每次尝试5次密码的方式来猜测密码，这是密码设置机制当中的一大漏洞。另外，对于涉及资金流转方面的功能也应适当地加以限制，对于涉及洗钱的行为更应加大监控。

三是改进与用户的沟通渠道。

银行应当采取多种措施改变目前与用户之间信息不对称的现状。如前面所述，加强安全知识的宣传固然是很重要的一方面，另外对于用户账户的任何变动，例如网银的开通，余额的变动，异常状况的发生等，银行都应当与用户之间建立一种顺畅的沟通渠道，让用户随时掌握自己账户的相关信息。例如手机短信就是一种非常方便、及时的方式。另外，对异常的账户变动应该建立一个预警机制，对可疑的操作能够尽早采取措施。

四是改进网站的防伪功能。

对于假网站等网络钓鱼手段的出现，除了需要用户自身注意认真辨别之外，同时也需要银行加强本行网站的防伪手段。防伪手段多种多样，例如银行可以开办网上银行“预留信息验证”服务，即用户在注册网上银行时，可以预留下验证信息，在进行网上购物时，碰到链接的银行网站，用户就可以先检验验证码是否正确，如果不正确，则是假网站；另外银行还可以采用国际上较为流行的假网站监测及关闭服务，银行可以委托权威的域名管理机构，在网络上实施24小时监测，一经发现有假冒站点出现便立刻采取措施关闭该虚假站点。

七、中国工商银行网银安全事件分析

处于起步阶段的网上银行近段时间受到了严重的安全质疑，其中，影响最大的是2006年6～7月间的工商银行网银失窃事件，其涉及面之广、受害人之多，引起了社会各界的广泛关注。

（一）中国工商银行的网银安全事件

2006年夏，在工行网银受害者成立的集体维权联盟的网站上（域名为www.ak.cn），200多人用真实姓名签名并留下自己所在地点和被窃金额数量。这些网银受害者组成维权联盟，并表示将联名起诉工商银行总行。根据其反映，比较典型的情况有以下两种：^[39]

持卡人并没有开通工行网银服务，在办卡的时候被默认开通，账号被盗，密码被破译。或者在其不知情的情况下被他人恶意开通网银服务并在网上转账，遭受损失。^[40]

持卡人开通了工行网上银行业务，但是没有使用电子银行口令卡、U盾等特殊保护措施，由于交易需要等将账户公布在外，受害人声称未将密码透露给其他人，但是发生了网上购物、发出支付指令转账给他人的情形，遭受损失。^[41]

（二）中国工商银行的网银安全事件中的法律问题分析

1.网上自助开通网银服务的审核责任

根据中国工商银行个人网上银行交易规则，储户可以通过营业网点注册网上银行服务或者在网上自助注册网上银行，取得交易资格。在营业网点注册网银服务时，储户需持有本人的身份证、银行卡等（若他人代为办理，则需持有代理人和储户本人的身份证），银行有责任对申请注册网银服务人提供材料的真实性进行审查核实，若违规操作而给储户造成的损失，则由银行承担。这一原则在被媒体广泛报道的中国“网银被盗第一案”中中国农业银行的败诉判决中得到司法上的认定。

相比较在营业网点开通网银业务有现实的人、身份证、银行卡等，网上开通是通过互联网远程接入的方式，突破了地理限制。向客户提供无边界的虚拟金融服务带来了不言自明的便利，但是随之而来的是欺诈成本的大大降低，若此时仅为便利的考虑，而不顾及安全，单凭借身份证号、银行卡号、密码就可以简单开通网银业务，银行却不做任何实质性的审查，那么储户的利益将难以得到有效保障。所以，相比在营业网点开通，网上注册网银服务中欺诈等风险不仅依然存在而且被放大了，但银行的审查责任没有得到更多的强调。通过网络开通网银服务，无须审核储户的卡和存折，只要在电脑上输入储户的身份证号、卡号及密码，即可注册工行个人网银并可立刻进行交易产生支付。“不需要到网点，不需要原卡和身份证件原件，只需要几个号码即可开通”，^[42]若在储户不知情的情况第三人恶意开通了网银业务并给储户造成了损失，由于相关网络立法的不完备，银行的责任无处可循，储户承担了放大的风险。

依据《中国工商银行电子银行章程》第6条：“客户可在营业网点办理电子银行注册，也可通过电子银行自助办理部分业务的注册。客户办理电子银行注册时，应保证所提供或填写的资料真实、准确、完整，并签订服务协议。”《中国工商银行电子银行个人客户服务协议》中，甲方（客户）的义务第二项规定：“甲方到乙方营业网点办理电子银行注册、注销、变更等手续，应提供相关资料，填写相关申请表，并签名确认。甲方向乙方提供的业务申请表是本协议不可分割的组成部分。甲方应保证所填写的申请表和所提供的资料真实、准确、完整，对于因甲方提供信息不真实或不完整所造成的损失由甲方承担。乙方（工行）有权根据甲方资信情况，决定是否受理甲方的注册申请。乙方负责及时为甲方办理电子银行注册手续，并按甲方注册功能的不同为甲方提供相应的电子银行服务。”

2.密码交易是否由客户负全责的问题

《中国工商银行牡丹灵通卡章程》第5条规定：“凡使用密码进行的交易，发卡银行均视为持卡人本人所为。依据密码等电子信息办理的各类结算交易所产生的电子信息记录均为该项交易的有效凭据。”《中国工商银行电子银行章程》第7条规定：“中国工商银行以客户的注册卡号（客户编号、登录ID、注册手机号码）或存折账号、客户证书及相应密码作为识别客户有效身份的标识，并以客户发出的电子交易指令作为办理电子银行业务的合法有效依据。对中国工商银行验证无误并已执行的电子支付指令，客户不得要求变更或撤销。”

上述条款意味着：任何由密码进行的交易，视为持卡人本人所为，由客户负全责。在通常情况下，交易指令人为客户本人，那么交易后果由客户承担自然无异议。问题在于在非常态的情况下，即交易指令人非客户本人时，或问题未查清、未破案时，相关民事纠纷的责任分担和举证责任分担应如何建立。

网银事件发生后，各个领域的专家分别提出了不同的见解，要求从技术手段上更有效地保护账户密码等重要资料，如利用数字证书、U盾、电子银行口令卡，工商银行还对不同注册类型的网银客户的日交易额度、交易类型进行了限制。网银业务刚刚发展，未来有许多未知的风险，从立法者、法律人的角度而言，网银的服务、交易无论发展至何种程度，都应遵循公平原则，立法应平衡网银业务中银行、客户的关系，保护弱势方客户的利益。

《中国工商银行电子银行章程》第9条规定：“客户须妥善保管好自己的注册卡号、密码、客户证书等重要资料，以防泄露。因客户保管不善导致上述重要资料泄露，造成的损失应由客户自行承担。”

《中国工商银行电子银行个人客户服务协议》中甲方（客户）的义务第四项：“甲方必须妥善保管本人注册卡号、客户编号、密码及客户证书，并对通过以上信息完成的金融交易负责。乙方执行通过安全程序的电子支付指令后，甲方不得要求变更或撤销电子支付指令。”

《中国工商银行电子银行章程》第9条规定：“客户须妥善保管好自己的注册卡号、密码、客户证书等重要资料，以防泄露。因客户保管不善导致上述重要资料泄露，造成的损失应由客户自行承担。”

现有一个案例：2006年3月21日，R先生通过网上银行查询某行账户余额时，发现账户上的资金在三天内被分六次转走共10900元。通过网上银行提供的转账汇款查询功能，他查到该款项被转向刘××、金××两人，并且有对方的账号以及交易时间。R先生当即打电话给该银行告知此事，银行建议他报警。后经公安部门侦破此案：犯罪嫌疑人通过非法途径盗取了受害人的银行账号、网银密码等相关信息后，通过网上银行窃取了R先生的资金。在本案中，R先生不存在没有保管好账户密码的过失：没有将密码泄露给他人、电脑未中木马病毒，犯罪嫌疑人采取的是“穷举”方式“猜”密码的。只要设置好程序，软件就可以自动做出无数的组合密码，一次一次地试，直到“猜”对密码。通过用户端，客户根本不可能对这样的“穷举猜”密码的行为进行预防和阻止。如果银行在总服务器端有一定的防护程序，比如说，密码错误几次，账户受到攻击启动自动保护程序，该账户的网银功能自动关闭，肯定会有效阻止这样的情况发生。但是当时该银行网银系统不具备这样的功能。

那么，在这种客户不可能预防他人恶意窃取密码的情形下，银行没有在合同中进行合理风险提示，在网银系统中也缺乏对自己客户的用户端识别，而遭致客户被他人破译密码受到损失时，客户不存在保管不善的过失。犯罪分子被抓获后对客户承担的赔偿责任自不待言，问题在于在上例的情况下，银行是否有过错，银行是否应对客户的密码保密负有相应的义务？(www.xing528.com)

客户对账户密码等重要资料应当承担第一位的、全面的、积极的妥善保管义务，但是对于网上银行，客户同时也是银行提供网银服务的消费者，银行应保证提供服务网上银行的安全性，这就必然要求其对客户的密码负有消极的防盗义务：提供安全的客户端（在软件设计、界面友好性、操作无歧义性和接口安全性等方面协助客户做好操作风险防范），并防止罪犯通过探测银行网银系统端获取用户密码（在网银业务系统的开发上应坚持标准进行提出需求、流程分析、详细设计、代码编写、多方测试和持续改进等工作，最大限度地减少业务系统安全漏洞的潜在风险）。

由于网络立法的缺失——没有统一网银业务的技术标准体系和业务规范体系，加上格式合同的强势利益主导性，银行从法理上应负有的保障网络平台安全和消极防盗义务，并没有明确得到体现，又因“密码交易视为本人交易”前提存在，使得无法认定工行的过失、进而追究其责任。犯罪嫌疑人通过非银行过失的非法途径盗取了受害人的银行账号、网银密码等相关信息后，通过网上银行窃取了客户的资金，银行不对此损失承担责任。

网上银行安全包括银行端和客户端两个方面，需要银行和客户携手共同打造。从客户端来说，为了保护客户端的安全，银行为客户提供了U盾、电子银行口令卡、防病毒安全控件、余额变动提醒、预留信息验证等一系列安全措施。从银行端来说，银行采用了一系列先进的安全防范技术，包括多重防火墙、1024位非对称加密算法的证书签名、SSL128位加密传输、实时扫描、实时监控、数据加密存放等，通过这些措施，使网银系统达到了较高的安全级别。^[43]但这样的安全级别能否使得充分、是否符合安全标准，进而免除银行网银在提供安全服务上的责任，尚存疑问。

八、电子支付安全风险中的举证困境

在近几起网银被盗的案例中，诉讼过程中凸显的重大问题在于受害者难以证明自己没有过失，这也是证据法上的核心问题“一个人无法证明没有发生过的事”。又因为立法上没有统一的网银安全标准，受害人也无法证明银行的网银系统存在重大漏洞，银行的网银专家又以受害人不到网银用户的十万分之一，来证明银行的网银系统不存在漏洞。

九、防范电子支付安全风险的建议

在网银失窃事件中，责任分担大致可分为以下几种情形：

第一，客户本身的过失所致。泄露、丢失密码、客户电脑中毒、遭受黑客攻击等，恶意第三人获得客户密码等重要信息的来源与网银系统无关时，应由客户承担损失。

第二，银行网银系统不符合安全标准。客户可以以银行的网银系统不符合安全标准要求其承担损失，此时银行需要证明自己提供的网银符合安全标准，且自己是按照不存在疑问的交易指令予以转账的，否则就应承担责任。此处，对于银行适用过错推定原则。

简单地说，网银的安全风险无非两大方面：系统安全风险与身份安全风险。目前的风险主要来自后者，大规模的系统安全风险还不是很大，也许以后会成为重点。身份安全为银行的身份安全与用户的身份安全两大类，前者主要指“网络钓鱼”等手段伪造银行身份骗取用户钱财，后者包括用户密码保管不善、身份被冒用、盗用等风险。前一类的风险是面对一群人的，后一类往往是个案，具有一定的特殊性。用户的针对措施可以包括：妥善保管密码、及时修改密码、不在公用机器上用网银、及时杀毒避免中毒、使用电子签名、不随意接收不明邮件、不随意登录不明网站等。

在2006年6、7月的针对工行的网上钓鱼事件中，受害人成立了维权联盟，设立了专门的网站，矛头直指工行，要求工行予以赔偿损失。之所以造成这样的局面，其实很重要的一点就是在这样的事件中被仿冒者应采取什么样的应对措施的问题。按照法律的一般原则，冒充某人身份诈骗的，被仿冒者不可能需要承担什么责任，应该也是受害人，受害人不可能追究被仿冒者的责任；还有，假冒商品也是这样，被假冒商品不可能成为受害消费者追索的对象。所以，基于这样的基本原理，银行本是不应承担损害赔偿责任的，但问题在一旦发生了这样的群体事件，银行应采取什么样的措施和态度予以应对，是否需要在第一时间以什么方式告知受害人账户的变化、是否应及时通知其他人风险的存在、是否应及时设立警示标志、是否应对网站采取防伪手段、是否应及时侦测是否存在自己网站的冒牌货并采取措施，等等。而根据目前的法律规定，《电子支付指引（第一号）》第45条规定，银行只是有“帮助查找原因、尽量挽回损失”的义务。

以上法律问题存在的主要原因在于立法上的缺失，因此应加快网银业务的法规建设。要充分借鉴国际上网银业务法规建设的先进经验，尽快完善网银业务的法规框架，形成合理的商业银行、客户关系利益调整机制。在商业银行行为规范方面，要建立网银业务的技术标准体系和业务规范体系。中国目前仍处于网银业务发展的初期阶段，应通过发布网上银行安全评估指引和内部管理指引等非强制形式，引导银行加强信息安全管理，推动规范化内部审计管理规则和工作程序的建立。要根据网银业务发展的实际，适时调整银行、消费者二者之间的权利义务关系，明确规定银行在执行支付指令时的审查义务，兼顾交易效率和支付安全目标的实现。对不同网银业务品种的特殊风险及管理要求通过行政规章的形式强制执行，以确保网银业务整体健康发展。^[44]

第五节　电子支付中的隐私权保护

一、网络中的隐私权

（一）隐私与隐私权

隐私权的概念始于19世纪的美国。到20世纪60年代，隐私权才在美国各州取得宪法和私法上的地位，世界各国的宪法和法律制度逐步把隐私权作为一项公民的基本权利和民事权利确定下来并纳入多个国际公约。隐私权的客体是隐私。所谓隐私一般是指仅与特定人的利益或者人身发生联系且权利人不愿为他人知晓的私人生活和私人信息。本质上，隐私是法律承认个人有自主支配自己生活、处理私事的权利形成的，其表面内容表现为一些有关个人的事实和信息等，必然意味着同时排斥他人的非法干涉。《法学大辞典》认为隐私权是以公民自己个人生活秘密和生活自由为内容，禁止他人干涉的一种人格权。威廉·普洛塞通过描述美国的隐私法来界定隐私，认为隐私权就是不受干涉的权利。一般认为，隐私权包括个人生活安宁权、个人信息和生活情报的控制保密权、个人通信秘密权和个人对其隐私的利用权。中国立法从两个层次上保护隐私权，首先在《宪法》第39、40条规定了住宅和通信自由的不受侵犯。《民法通则》及其司法解释也有相关规定。

（二）信息时代产生的新型隐私权问题

进入信息时代后，个人隐私权又被网络赋予了新的内涵。苹果公司于2006 年1月13日推出i Tune6.02版本多媒体播放软件，该软件具有一个争议性的附带功能——Minsistore。Minsistore可以通过储存在用户电脑内的音乐文件资料，分析出用户主要喜欢的音乐类型，向用户推荐新的可供下载的同类型音乐。然而，i Tune6.02会未经用户知晓和同意的情况下，将一些与用户音乐播放习惯有关的资料传送到其他电脑和服务器，这引起侵犯隐私权的争议。而在此之前，著名的Real Play软件的生产商real network公司就曾经因安装软件收集用户的信息和习惯，秘密发回公司被发现而被诉上法庭。哪些信息属于隐私，信息的所有者是谁，如何主张自己的权利等问题，又重新摆到了人们面前。一般来说，网络隐私权的对象是网络个人数据，网络个人数据较传统意义上的隐私有其独有特征，因此保护网络隐私权方法也与传统隐私权有所不同。网上支付由于涉及客户的银行账户信息，与资金安全紧密联系，因此，网上支付中的个人数据保护成为一个重要的问题。

二、网络个人数据概述

（一）网络个人数据的概念和范围

一般地，网络个人数据指因个人从事网络活动而相关联的反映其个体特征的具有可识别性的符号系统，包括个人的基本信息，也包括因从事网络活动而产生的相关信息和资料。^[45]那么，网上支付中的个人数据就是个人基本信息和因从事网上支付而产生的相关数据。

网上支付中主要涉及三类信息：个人基本信息，银行账户信息和行为信息。个人基本信息包括姓名、性别、居住城市、通信地址、邮政编码、电子邮件、手机号码、电话号码、身份证资料等与个人紧密相关的并具有识别性的信息。银行账户信息则是用户在进行网上支付时，支付服务方获取的用户银行账户号或密码等信息。行为信息则是指用户在进行网上交易的习惯、偏好等具有某些商业价值的信息。个人基本信息主要涉及个人隐私问题，但如果与后两者结合起来，则可以识别个体的消费习惯以及商业价值。因此，网络个人数据既是隐私，也是财产，这也是信息经济时代的普遍特征。这三类信息在网上支付中都普遍涉及。比如支付宝服务协议中要求提供真实姓名、地址、国籍、电话号码、电子邮件地址和其他可选择的附加信息，可能包括公司所在的省份和城市、时区和邮政编码、传真号码、主页和职务。

（二）网络个人数据的法律特征

1.网络个人数据为生成该数据的主体所拥有

个人数据主体指的是个人信息被作为数据加以收集的自然人，而不是该数据的用户。数据用户是指合法地收集，有限度地控制、使用有关数据的个人或组织。在电子商务活动中，消费者同意经营者搜集并适当处理自己的个人信息，但该信息的权利主体仍然是消费者而不是经营者。明确个人数据主体是生成该数据的自然人，这是保护个人数据的必然前提。这是因为，数据用户对个人数据的控制权、使用权仅限于合同约定的范围内；个人数据为数据用户控制、使用时，并不意味着主体放弃该数据的所有权。

2.个人数据是足以对主体构成识别的数据

个人数据内容广泛，如前所述一切与个人有关的信息，只要其能够构成对个人进行识别的都是个人数据。具体地说，个人数据又可以按照不同标准分为单一数据与组合数据、显性数据与潜态数据、静态数据与动态数据等。在多数情况下，单一数据难以对个人加以识别。但是，若干个单一数据的组合就足以对个人进行识别。尤其是由若干要素组合成的数据串对个人具有极强的识别功能，更不允许数据用户任意泄露或超权限使用。

（三）网络个人数据的产生和利用

网络个人数据收集的第一种模式是数据主体应经营者要求自主提供。目前申请开通网上支付服务一般都会遵循这种模式：在支付服务商的网页上注册一个账号，填一系列表格以确定浏览者的身份，在这些表格中往往包含很多个人信息，比如姓名、生日、性别、信用卡号、住址、电话号码、e-mail地址、个人爱好、职业等。如果经营者是本着对消费者负责的态度，为开展售后服务或者其他合法目的，也有其合理之处。但所收集的个人数据是不是已经超过了需要的范围，收集的目的是什么，对收集到的个人数据采用何种安全保障措施，都是消费者难以知悉和控制的。这种貌似合理的诱使消费者主动透露个人数据的行为背后往往隐藏着经营者的其他目的。第二种收集模式是使用网络技术跟踪分析，一般通过软硬件或cookie完成。前述苹果公司和Real Play所采取的手段就是利用软件隐蔽地收集用户个人数据。使用cookie收集个人数据的著名例子是美国的一个集团诉讼案件。2000年2月3日，美国《电子商务法律周刊》报道了一起在加利福尼亚州提起的诉讼，被告是一家大型的网络广告代理商Double Click。一名加州妇女代表与她处境相似的人们于1月27日在加州高等法院对Double Click公司起诉，指控这家公司非法取得并出卖消费者非常私人化的个人信息。原告在诉状中说，Double Click使用cookies的浏览器技术，确定网络用户的身份，追踪他们对互联网的使用，不经用户同意获取他们的个人信息。Cookies是网站经常会利用的一种技术，当用户浏览网站时，就会被设定到浏览器内。当用户关闭浏览器时，一些cookies会自动消失，一些就会被储存下来。Cookies本身有多种功能，一方面可以方便网络用户浏览网站内容，如可以储存用户进入特定网站时的密码，当其再次进入时不必再输入密码。另一方面，它可以成为网站收集个人数据的工具。类似于cookies的技术在电子商务中经常被经营者所使用。^[46]

（四）网络个人数据的使用

1.网络个人数据收集者的直接利用

网上支付服务者在要求用户提供个人信息的时候一般都会同时说明这些信息的使用方式和目的，这些目的包括改进向用户提供的服务、保证用户账户的安全、方便用户使用和防止欺诈交易。如《支付宝服务协议》约定会用注册信息来获得会员的统计资料，给会员分类。如年龄、产业和国家，以便有针对性地向会员提供新的服务和机会。对于银行账户信息，支付宝将其目的表述为“提供的实名认证、提现业务以及将来其他服务将可能需要合理获取用户银行账户信息”并按照银行账户信息保管相关法规保证客户资料的安全。支付宝明确规定可能记录和保存客户登录和使用支付宝网站的相关信息，但承诺不将此类信息提供给任何第三方（法律法规另有规定的除外）。使用Cookie的目的是使网站对用户更友好，省去用户重复输入注册信息和跟踪浏览器的状态，但支付宝在协议中并没有说明如何利用cookies收集到的信息。至于将用户信息向第三方的披露，则支付宝承诺了不会向任何第三方提供、出售、出租、分享和交易用户的个人信息，除非第三方和支付宝一起为网站和会员提供服务并且在该服务结束后将被禁止访问所有这些资料（包括其以前能够访问的），依照生效的法律文件及政府的要求提供信息时才善意地披露用户的资料。上海快钱公司在其专门的隐私协议中明示其所收集的个人数据使用的目的是提供交易服务并处理交易、提供客户服务和改进产品和服务。基于这些目的，快钱要求客户提供的是个人信息、银行信用卡和银行往来账户的信息，并且为了保障用户进行的交易安全，有权收集用户在交易中的计算机IP地址，目的是为了协助调查欺诈交易。对于填入快钱账户信息的信用卡或银行卡信息，快钱会通过与银行授权的安全认证和信誉记录等服务来进行核实，以证实该卡没有不良记录、丢失或者被偷窃。快钱特别详细说明了其Cookie记录的目的和内容。目的是帮助分析网络通信量，或使其能够了解用户是在何时对某个特定网站进行访问的。并说明会在部分网页中使用cookie以帮助分析网页的流量情况，统计各项活动的数据。

2.网络个人数据向第三方的披露

首先，出于商业目的对第三方披露。当某一家公司对另一公司所掌握的个人信息感兴趣，另一公司怀有同样需求时，则两公司之间通过协商各取所需。还有就是个人资料的出卖，即支付服务商把收集或分析出的用户个人信息卖给专门收集并出卖信息的公司或者相关领域的销售公司。其次，为了进行网上交易而进行的必要披露。如卖方向买方告知银行账号，买方向卖方告知送货地址，还包括其他联系方式等。最后，就是个人数据收集者根据法律法规的规定向国家机关提供资料的披露。

如快钱在隐私协议中规定，首先，快钱会把买家的某些私人信息提供给商家，以供商家发货之需，也会向买家提供商户的网站地址和商户提供给快钱的客服信息。其次，快钱以提高服务质量为目的使用作为第三方服务的提供商来完成某些特定的服务时，会向提供商披露某些个人资料，提供商包括但不限于邮件服务提供商、市场调查公司等。再次，客户的信用卡号码、银行往来账户和其他金融信息绝不会透露给包括快钱在内的任何人，只有当政府或者司法机关需要时，才会作必要公布。当政府机关依照法定程序要求快钱披露个人资料时，公司将根据执法单位之要求或为公共安全之目的提供个人资料。在上述情况下之任何披露，公司均得免责。

（五）网络个人资料所有者的权利

1.知情权

知情权是网络个人资料被收集者的基本权利，是指被收集的网络用户不仅有权知道在使用网络服务者提供的服务时被收集了哪些信息（也可能是主动提供的），是什么网站收集的存放在什么地方，以及这些资料信息的内容是什么，而且被收集者还有权知道这些信息将用于什么目的，被收集的信息将在什么情况下被他人获知、取得，如果要更改个人资料信息，可以通过什么方式进行，如果终止使用服务，是否可以删除个人资料信息。当网络服务提供者搜集的是用户的个人信息资料时，用户有权知道以上所列情况，否则这种知情权是不完整和不充分的，也就无法正确地行使其他的权利。

2.选择权（opt-in opt-out）

选择权可以概括为选择使用服务和选择退出服务、终止的权利。用户的选择权主要体现在用户个人在充分地享有知情权的基础上自愿地选择终止服务，从而结束或者继续网络服务提供者对于个人信息资料的收集和使用。但是值得注意的是，选择权往往与被使用网站功能的限制相联系，这里有其合理的一面，因为确保网络服务的真实性和可靠性，在得到某些网络服务功能时，提供详细的个人资料不仅对网络服务提供者重要，对不特定的相对方和公众来说也是必要的。

3.安全请求权

网络个人资料信息的被收集者有权要求收集者采取必要合理的措施，保护其个人资料信息的安全。一是可以要求网站对收集的资料采取一定的技术手段和政策进行保管；二是要求其个人资料不得传输，或披露给任意第三方；三是在网络服务群体内部，也须注意相关信息的披露，如某个用户名购买了某件具有隐私性质的物品，如果此信息能被所有用户看到，那么可能带来隐私权的问题。他人可能从此个人信息上判断出此用户的一些个人隐私。

4.财产权

财产权是网络个人资料所有者的权利，也是网络个人资料收集者的一项权利。在登录个人资料时，某些信息可能直接为他人带来某种商业利益，那么其就具有财产权的属性。另外，作为网络个人资料的收集者，如果其通过收集大量的资料，并加以商业性质的分析，对那些不具有个人识别性质的数据集合得出某种结果或判断，那么其财产的属性是显而易见的。

目前，国内正在抓紧隐私权立法，作为隐私权的重要部分，个人资料保护的问题应该成为重中之重，而网络个人资料保护是随着互联网经济迅猛发展而带来的新情况。应当用立法来保护公民享有网络个人资料信息不被他人非法侵扰、搜索和收集、利用和公开等，同时，在一定程度和范围内限制网络个人资料信息的权利，如因国家安全或者刑事调查等原因，立法时宜在两者之间寻求平衡。此外，应借鉴其他一些国家的经验，成立某些行业自律性质的第三方网络个人资料隐私监督机构，在互联网经济发展的同时，确保和促进网络个人资料信息的安全和合理利用。

（六）境外管理网络个人数据的经验

1.欧盟的经验

1995年6月25日，欧盟通过《保护个人享有的与处理个人数据有关的权利以及个人数据自由流动的指令》。该指令旨在力图防止个人数据被滥用并寻求厘定出一套全面详尽的规则，包括仅能为特定、明确和合法之目的收集个人数据，并且仅能持有具有相关性、准确性和实时性之数据义务。指令要求所有的数据处理均须具备正当的法律依据，并且，正如欧盟委员会在通过该指令的声明中所指出的，该指令为“数据主体赋予了一系列重要权利，包括：有权获取数据，有权知道数据源自何处（如果这样的信息可知的话），有权要求纠正不正确的数据，有权对不法处理数据者诉诸法律，有权在某些情况下收回其允许使用数据的许可等”。该指令在其施行条款中声明，隐私权是自然人的一项基本权利和自由。不仅涵盖自动化方式的个人数据处理，而且也涵盖可处理个人数据的其他形式——只要它构成了或者要意图构成某个文档系统的一部分。指令将个人数据本身定义为是与某个自然人或者与某个能够确定其身份的人有关的数据，其身份之确定可以是通过身份号码，也可以是参照某些特性因素，比如：身体的、心理的、精神的、经济的、文化的或者社会的特征。对个人数据的处理仅在：数据主体明确而不含混地予以同意（即该人“在被充分告知后自愿地”表明“他同意对他的个人数据进行处理的意愿”）；为履行数据主体是其中一方当事人的合同或是应数据主体之请求而订立的合同所必要；为了保护数据主体的重大利益；负责数据处理之人为了履行某一法律义务；或者为了公共利益而完成某项任务所必要的前提下方可为之，有各种例外规定者则不在此限。数据主体可以以“与其特殊情势有关的重大和合法的理由”对处理与他有关的数据提出反对。其对个人数据所下的定义是：“有关一个被识别或可识别的自然人（数据主体）的任何信息；可以识别的自然人是指一个可以被证明，即可以直接或间接的，特别是通过对其身体的、生理的、经济的、文化的或生活身份的一项或多项的识别。”该指令原则上要求成员国必须确保个人数据：其处理是公正而合法的；其收集是为了特定、明确和合法之目的，并且进一步的处理方式没有违背上述目的；其具有准确性、相关性、并且没有超出与数据收集或进一步处理有关的目的；其具有准确性，并且如有必要时保持时新性；其保存形式能够使得在数据收集或进一步处理之目的所必要的时限范围内对数据主体进行识别验证。

另外，数据主体对其个人数据的处理可以提出反对的权利并不限于要有“重大和合法的理由”。对于直接以市场营销为目的进行数据处理的，他也有权提出反对。应在数据第一次被披露给第三人的时候向该数据主体免费进行告知，以使他得以对直接以市场营销为目的进行的数据处理提出反对。

指令原则上赋予数据主体不受那些会对其产生某种法律后果或者会对其有显著影响的数据处理结果制约的权利，如果这些结果是“基于评估他的某些个人状况，比如工作表现、信用程度、可靠程度、行为举止等为目的”而单纯以“自动化的数据处理”为基础得到的。不过，指令中也有许多例外认可此类数据处理结果的效力，如果这是依据合同，如果“有适当的措施来保障数据主体的合法利益，比如允许他可以提出抗辩主张的安排；如果有法律授权，而且该法律也规定有保障数据主体合法利益的措施”的话。

2.美国与英国的经验

进入电子商务时代后，美国政府为了促进电子商务的发展，以确保在未来的全球竞争中继续居于领先位置，响应人们的呼声，颁布了一些法令：1998年6月美国联邦贸易委员会（FTC）发布了一个报告，声称web站点未能充分保护消费者的隐私；此后不久，美国商务部就提出了保护人们私人上网信息的指导原则。1997年7月克林顿总统发表《全球电子商务框架》，在这篇对开展电子商务有着重要指导意义的文件中，克林顿总统对保护个人隐私权问题做了透彻的分析。在美国商务部关于保护人们私人上网信息的指导文件中规定：当web站点收集用户信息和使用这些信息时，应当公布有关指导原则；应给予来访者有选择地确定怎样使用信息；在未经患者同意的情况下，患者的医疗信息不得透露给他人；当隐私政策受到侵权时，有侵害行为者应当承担责任。

而在以判例法为主要形式的英国侵权行为法中，对个人隐私权的保护采取了一种比较保守的态度，侵害隐私的案例经常被纳入其他侵权行为的范畴，比如侵害名誉的范畴等。不过，近年来英国在隐私权保护方面的立法实践亦有所进展。1984年，英国沿袭《欧洲数据保护公约》的内容制定了《数据保护法》（Data Protection Act）。该法延续至今，适用于电子商务领域。

3.加拿大的经验

在加拿大，除魁北克省外，还没有和电子商务有关的针对隐私权问题的综合法律，但是，在许多和特定行业相关的联邦法律中规定了在特定情况下要保护隐私权。如：加拿大《银行法》（1961.C.46）要求银行采取相关措施来限制个人秘密信息的使用。1994年，联邦政府建立了信息高速公路咨询委员会（IHAC）。IHAC的使命是检查互联网应用的各个方面，它曾建议保护个人信息，而且联邦政府也已经同意提交与个人领域隐私权相关的法律。即将制定的新隐私法可能会采用加拿大标准协会出版的《个人信息示范法》。《个人信息示范法》的目的是为个人信息管理提供一系列原则，为了保护个人信息提出对信息保护的最低要求，并且增加公众关于如何保护个人信息的认识。该文件提出10条原则。

指定负责人：为了对所控制下的个人信息数据负责，组织应指派专人负责保证组织的行为能符合以下原则；

鉴定收集目的：在信息被收集前及收集之时，组织应对收集信息的目的加以鉴定；

获得个人同意：收集、使用与透露个人信息的前提是告知该人并取得其同意；

限制收集：应将信息的收集范围限制在由组织鉴定过的目的范围内，应通过公正与法律的手段来收集；

限制使用、透露与保存：个人信息除了为其被收集的目的服务外，不应被随意使用或透露（除非经个人同意或出于法律需要），在达到所限定的目的之前，个人信息可以被长时间保存；

准确性：个人信息应准确、完全，并能得到不断修正，从而满足使用者对数据准确性的要求，达到应用目的；

保密性：应采用对信息敏感性较为合适的安全措施对个人信息加以保护；

开放性：组织在个人数据管理方面采取的政策，以及组织将采取的管理措施方面的信息应让个人知晓；

个人的相关权利：根据个人的要求，在个人知道关于本人的信息的存在、使用与透露的情况下，个人应该可以知道本人信息的具体内容；也允许个人对信息的准确性与完整性提出质疑，如果所提要求适当，可以对本人信息加以修改；

监督以上原则的贯彻情况：当怀疑组织是否符合以上原则时，个人可以向第一点所提到的负责人提出质疑。

4.德国的经验

1997年，德国颁布了两项几乎平行的法律：《联邦政府信息与通信服务法》和《州内媒体服务法》，其中一部分规定了电子支付中的隐私权保护问题。在电子现金的传递过程中，个人数据的存储是不可避免的，所以就会出现数据保护问题。在德国，有些系统已经开始尝试使用匿名机制，但是问题要得到彻底解决，显然还需要专门的《银行隐私法》。目前则只能采用已有法律，如《银行机密法》。当然，传统的数据保护法所作的约束仍然有效。二者一定要结合起来应用，原因有两个：首先，因为《银行机密法》只在受保护的数据被网络银行传递给第三方时才起作用，而对银行内部存储和使用数据问题不作限制；其次，数据一般是经过收款人的许可后被存储的，收款人本人不一定会遵守银行的保密机制。为了实现个人数据的存储与使用的最小化，将这两种法律结合应用是目前的最佳抉择。^[47]

5.个人数据保护立法情况一览表

表2-3

续表

续表

综上，网络个人数据权利是一项新型且复杂的权利，对于隐私权保护不甚全面的中国，就更是一个挑战。网络个人数据的主体、利用方式、目的限制以及救济方式都是新的课题。特别是在网上支付过程中，银行账户的安全问题更加重要。因此，应借鉴其他国家关于网络隐私权的立法，结合中国的实践，开展对网上个人数据保护的立法工作。

三、中国网络支付中的隐私权问题

（一）中国网络支付中的隐私权概况

总体而言，中国还没有针对个人隐私保护的法律，并且在其他的法律法规中的相关规定也很单薄，隐私权保护，尤其是电子支付中的隐私权保护，在中国法律界还是一个新的命题。在已有的法律法规中，中国《宪法》第38条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”中国《民法通则》第100条规定：“公民享有肖像权，未经本人同意，不得以获利为目的使用公民的肖像。”第101条规定：“公民、法人享有名誉权，公民的人格尊严受到法律保护，禁止用侮辱、诽谤等方式损害公民、法人的名誉。”中国《计算机信息网络国际联网安全保护管理办法》第7条规定：“用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。”中国的《计算机信息网络国际联网管理暂行规定实施办法》第18条规定：“用户应当服从接入单位的管理，遵守用户守则；不得擅自进入未经许可的计算机学校，篡改他人信息；不得在网络上散发恶意信息，冒用他人名义发出信息，侵犯他人隐私；不得制造传播计算机病毒及从事其他侵犯网络和他人合法权益的活动。”

针对网络支付中隐私权保护的特殊情况，前面已经提出，隐私权包括个人和生活不被干扰权利与个人资料的支配控制权，那么，具体到电子支付中的隐私权，我们认为从权利形态来分有隐私不被窥视的权利、不被侵入的权利、不被干扰的权利、不被非法收集利用的权利；从权利的内容分可以有个人特质的隐私权（姓名、身份、肖像、声音等）、个人资料的隐私权、个人行为的隐私权、通信内容的隐私权和匿名的隐私权等。其中，隐私不被窥视、侵入的权利主要体现在用户的个人信箱、网上账户、信用记录的安全保密性上；隐私不被干扰的权利主要体现在用户使用信箱、交流信息及从事交易活动的安全保密性上；不被非法收集利用的权利主要体现在用户的个人特质、个人资料等不得在非经许可的状态下被利用上。这些权利之中，受到威胁最大的恐怕要算个人资料、特质等不被非法利用的权利了。因为网络的发展已无异于一个虚拟的世界，人们在网上漫游，驻足感兴趣的网站，收集有价值的信息，在BBS上发表自己的看法，在网上玩游戏、购物，在网上交友、通信、谈情说爱，在网上旅游，在网上加入一些团体，如果把人们从事这些活动的所有信息集中起来加以分析并公之于众，人们可能就会比他自己都对他知道得更多。而在网络上要达到这样的目的，显然要比在现实生活中容易上百倍！的确，有谁愿意每天在自己的身边安一台摄像机再装一个窃听器，然后再让这些信息在自己无从知晓的情况下昭然于天下呢？如果我们能从这个角度来看这个问题，恐怕就不难理解电子支付中隐私权问题的重要性了。

（二）中国网络支付中隐私权立法的方式与原则

关于中国网络与电子支付隐私权立法的方式，一方面就像分析的那样，中国隐私权的法律基础与环境相当薄弱；另一方面，电子支付隐私权的保护应体现在不同环节上，不仅包括对非经许可的个人资料收集利用的禁止，也应包含在spam的规范上，应有专门对ISP的责任规范，还要有行业自律方面的约束，也就是说，保护隐私权的规定可能要分散在几部不同的法律法规中。所以，结合这两方面的因素，应从一些不同的法规的角度对网络电子商务中的隐私权加以保护。如电子支付中的消费者保护法、网上广告与spam的管理办法、ISP的经营规范及个人数据的保护法等，而先订立电子支付中的消费者保护法、网上广告与spam的管理办法，ISP的经营规范，要更具可操作性。

关于立法的原则，可以参照结合国际组织以及一些国家的做法，确立一些个人资料保护的原则，如限制的原则：经本人同意以合法、公正的手段于适当场所收集；资料内容的原则：符合资料利用的目的，并保持资料的正确、完整；目的明确公开原则：进行收集的目的必须明确公开；限制利用的原则：除本人同意外，不得作目的范围以外的利用；安全保护的原则：对资料应采取合理的安全保护措施；公开原则：资料的开发、利用遵循公开的政策；个人参与的原则：个人有权利向资料管理者确认是否保存着自己的资料，并知悉个人资料的内容，还可以请求删除改正。还有，再附加以一些在电子支付中的私人事务不受打扰的有关原则，就可以形成电子支付隐私权立法中的原则。

第六节　信用卡的若干法律问题

一、信用卡使用中的欺诈问题

（一）信用卡使用的现状

信用卡是当今世界广泛流行的一种先进的新型支付手段和消费信贷结算工具，是银行或信用卡公司发给用户（包括个人和单位）用于购买商品、取得服务或提取现金的信用凭证。信用卡因其具有快捷便利等优点而被广泛地采用，然而由于信用卡业务是以持卡人的个人信用为基础，因而具有较大的风险性。信用卡运作的任何一个环节出了问题就会给银行或特约商户及信用卡持卡人造成经济损失。信用卡虽然在中国出现的时间不长，但是信用卡诈骗活动却不少。VRL Knowledge Bank日前所作的一份研究报告指出，欺诈的类型包括仿造、申请欺诈、丢失/盗窃欺诈及互联网欺诈等。在中国法院审理的银行相关诉讼中，有一半以上涉及信用卡，且以欺诈居多。另据数据显示，2005年中国信用卡欺诈造成的损失达到1亿多元。犯罪分子的非法获利数额呈逐年上升的趋势，这类犯罪不仅侵犯了银行、特约商户及信用卡持有人的合法利益，而且还严重地扰乱了金融秩序。

中国的银行卡支付体系经过各方共同努力，特别是利用后发优势，已初步形成有中国特色的银行卡支付体系，在银行卡产品体系、支付网络架构、发展模式等方面都体现出了中国自己的特色。截至2006年6月，中国10.33亿张银行卡中，借记卡、准贷记卡和贷记卡分别占比为96%、3%和1%。剔除批发性的大宗交易和房地产交易，中国银行卡支付的消费交易额占全国社会消费品零售总额的比重从2001年的2.1%上升到2005年的10%，增长迅速。但随着信用卡市场的快速发展和消费者更多地使用信用卡，中国的信贷损失水平将接近业界平均水平。

从银行行为来看，风险有三种类型：违约风险、流动性风险和市场风险。违约风险即借款方不能偿付本金和利息的风险；流动性风险即银行由于资金流动困难而不得不以高于市场平均成本取得资金的风险；而市场风险也就是利率或汇率风险，即所经营商品货币的价格风险。信用卡业务也具有上述类型风险的特征。但是，由于信用卡业务还具有无担保、无抵押和额度授信等特征，并以特殊卡片作为载体，因此信用卡业务的风险具有一定的特殊性，包括信用风险、欺诈风险和操作风险。信用风险是因持卡人信用不良而产生的拒付风险，也即违约风险；欺诈风险是因诈骗产生的风险，一般情况下损失由发卡行承担；操作风险是因操作流程上的操作不当产生的风险。

（二）中国现有的法律规定

1.《刑法》

2005年，全国人大审议通过《刑法修正案（五）》，在金融犯罪方面增加了妨害信用卡管理和窃取、收买、非法提供他人信用卡信息资料罪两项新罪名，并对信用卡诈骗罪作出补充和修改。这些规定的实施加大了对信用卡犯罪的打击力度，进一步改善了信用卡使用和管理的法制环境。

《刑法修正案（五）》在《刑法》第77条后增加妨害信用卡管理罪，并列举了四类构成妨害信用卡管理罪的具体情形：一是明知是伪造的信用卡而持有、运输的，或是明知是伪造的空白信用卡而持有、运输，数量较大的；二是非法持有他人信用卡，数量较大的；三是使用虚假的身份证明骗领信用卡的；四是出售、购买、为他人提供伪造的信用卡或者以虚假的身份证明骗领信用卡的。

《刑法修正案（五）》在第1条第2款中增加了窃取、收买、非法提供他人信用卡信息资料罪。所谓窃取、收买、非法提供他人信用卡信息资料罪，是指以秘密手段获取或者以金钱、物质等换取他人的信用卡信息资料的行为，或者违反有关规定，私自提供他人的信用卡信息资料的行为。其中“窃取”是指以秘密手段（包括偷窥、拍摄、复印以及高科技手段等）获取他人的信用卡信息资料的行为；“收买”是指以金钱或者其他物质利益从有关人员（如银行等金融机构的工作人员，商场、酒店的收银员等）手中换取他人的信用卡信息资料的行为；“非法提供”是将合法掌握的他人信用卡信息资料提供给无权知悉他人信用卡信息资料的人。

根据《刑法》第196条规定，信用卡诈骗罪是指“以非法占有为目的，进行信用卡诈骗活动，骗取数额较大的财物的行为”。其特征包括下面几点。第一，犯罪主体是自然人一般主体，即已满16周岁具有辨认和控制能力的自然人，单位不能成为本罪主体。第二，客体是复杂客体，即国家金融管理秩序和公私财物所有权。第三，客观方面表现为信用卡诈骗行为，具体表现为以下四种形式：使用伪造的信用卡的行为，即行为人明知是伪造的信用卡而进行消费购物、提取现金等行为；使用作废的信用卡的行为，即使用已超过有效使用期限的信用卡或使用已挂失而无效的信用卡等行为；冒用他人信用卡，即非持卡人以持卡人的名义使用持卡人的信用卡骗取财物的行为；恶意透支，即持卡人以非法占有为目的超过规定限额或规定期限透支，骗取财物金额5000元以上，逃避侦查或经银行进行还款催告超过3个月仍未归还的，应追究刑事责任。持卡人在银行交纳保证金的，其恶意透支金额以超出保证金的数额计算。第四，主观方面是故意，并且以非法占有为目的。

2.最高人民检察院、最高人民法院《关于办理利用信用卡诈骗犯罪案件具体适用法律若干问题的解释》

“为依法惩治利用信用卡骗取财物的犯罪活动，现就办理此类案件具体适用法律的问题解释如下：

一、对以伪造、冒用身份证和营业执照等手段在银行办理信用卡或者以伪造、涂改、冒用信用卡等手段骗取财物，数额较大的，以诈骗罪追究刑事责任。二、个人以非法占有为目的，或者明知无力偿还，利用信用卡恶意透支，骗取财物金额在5000元以上，逃避追查，或者经银行进行还款催告超过3个月仍未归还的，以诈骗罪追究刑事责任。持卡人在银行交纳保证金的，其恶意透支金额以超出保证金的数额计算。三、行为人恶意透支构成犯罪的，案发后至人民检察院起诉前已归还全部透支款息的，可以从轻、减轻处罚或者免予追究刑事责任。四、对实施上述犯罪行为的银行工作人员，应当依法从重处罚。”

3.最高人民法院《关于银行储蓄卡密码被泄露导致存款被他人骗取引起的储蓄合同纠纷应否作为民事案件受理问题的批复》

该批复明确规定：“因银行储蓄卡密码被泄露，他人伪造银行储蓄卡骗取存款人银行存款，存款人依其与银行订立的储蓄合同提起民事诉讼的，人民法院应当依法受理。”

（三）信用卡风险的防范

首先，信用卡诈骗的原因是多方面的。从犯罪人的方面说，贪欲是人类本性潜在的一个弱点，只要遇到适当的时机，贪欲之心就会超越人的理性和理智，使人产生犯罪之心。信用卡本身以个人信用为基础，具有非及时结算和可以透支的特点容易使犯罪人轻易得手。这种特点结合贪欲就会动摇人的意志，在这种情况下，人就可能走向犯罪之路。

其次，发卡行和特约商户之间信息沟通不畅。信用卡的使用具有跨国界和地区的特性，不法分子利用信用卡进行诈骗，极具流窜性，而且往往打时间差。在中国一些信用卡管理系统不完备的地方，从用户传递信用卡挂失的申请到特约商户接到止付令有时需两三天，甚至更长时间。因此产生一个时间差，在这段时间内如果有人在特约商户那里持卡消费，商户必然接受，这样就给不法分子以可乘之机。同时由于信息沟通的不及时，对于信用卡的真伪、是否存在恶意透支的情况，发卡机关和特约商户之间也难以迅速进行信息交换，从而对潜在的风险难以发觉，以致产生巨大的隐患。

最后，就是发卡行管理的疏忽。一些银行经办人员在受理办卡申请业务时，由于熟人介绍或经验不足、业务不熟练、警惕性不高没有对申请人按规定进行详细的资信调查就核准发卡。一些特约商户利用银行对其监管不严，同不法分子相勾结欺诈银行，甚至一些银行工作人员利用职务上的便利同不法分子内外勾结进行诈骗活动，更加导致信用卡欺诈的风险的增加。同时不少发卡行防范意识不强，认为信用卡发出了，银行多了一份信用卡使用手续费的收入，但却很少主动对持卡人进行随后的资金流动情况的监管和跟踪服务，这样都导致信用卡欺诈风险的增加。一些发卡行为了多发展客户、扩大业务，还有意放松对申请人的资格进行严格的审查，往往被不法分子所利用，也会给银行造成很大的损失。

尽管《刑法》明确把信用卡诈骗规定为犯罪，并且还将其最高法定刑设置为无期徒刑，但信用卡欺诈是一个严重的全球性违法犯罪问题，任何一个国家不管制定多少法律来保护发卡银行和合法持卡人的利益，信用卡欺诈仍然层出不穷。这是不以立法者的意志为转移的社会客观现实，即使发卡银行对此作再多的宣传工作也很难从根本上抑制信用卡欺诈。

控制信用卡诈骗的根本方法就是通过相关制度的建立和相关技术措施的采取来进行防范，遏制信用卡诈骗犯罪的发生。为促进银行卡产业快速、健康发展，政府主管部门要继续完善银行卡的相关法规建设，积极推动改善银行卡业务创新的外部环境，并在市场准入、日常监管上采取一系列措施，鼓励创新，从政府监管、行业自律和参与机构自我管理等多个层次，引导参与机构提升综合风险管理能力。同时，还需要进一步完善电子支付服务体系，丰富个人征信系统的服务方式和产品种类，积极倡导、推动信用文化和信用体系建设，全力打击各类银行卡违法犯罪行为，加强消费者风险保护等方面，为银行卡产业发展创造有序、和谐的外部环境。

中国人民银行要求切实落实银行卡账户实名制。为规范银行卡账户的开立和使用，有效防范利用银行卡账户套取现金、偷逃税款、逃废债务和洗钱等违法犯罪活动，维护存款人的合法权益和社会诚信环境，并降低银行经营风险，目前，人民银行正研究有关落实措施。拟进一步明确存款人、商业银行和人民银行三方职责，实行银行账户年检制度，界定单位和个人开户的有效证件种类，发挥账户管理系统功能以及促进人民银行与公安、工商等信息系统联网等方面促进账户实名制的落实。为防范银行卡业务创新中的风险，中国银监会表示，将对已不能满足市场发展需要和风险监管需要的规章制度进行修订和完善，根据银行卡业务创新的新情况、新问题及时制定相关政策和制度，同时积极推动改善银行卡业务创新的外部环境。针对各类新业务的特点和风险特征，依法实施市场准入管理；对发卡银行开办创新业务要及时进行风险提示，督促其制定科学的新产品研发战略和规划，进行充分的风险测算，完善产品定价机制和风险管理措施，同时确保消费者的合法权益得到保护。

中国人民银行建设的个人征信系统正在为各商业银行大规模扩张信用卡业务规模发挥积极作用。截至2005年10月底，个人征信系统收录了近5.3亿人的基本信息，其中5500多万人有贷款和信用卡还款记录；并为各商业银行在全国开启查询用户7.5万个。各商业银行累计查询信用报告4300多万次，最近一个月的日均查询量已达20万笔。各商业银行2005年因审批信用卡查询信用报告500万次，2006年前9个月因审批信用卡查询信用报告1134万次。

1.应加强技术措施提高信用卡使用的安全性

在鉴别持卡人身份方面，借鉴国外先进技术，如使用照片卡、激光签名、个人身份识别代码以及生物性识别技术，准确认定审查出持卡人是否是发卡行登记的真正用户。在鉴别卡的真实性方面，一些发达国家和地区已全面推广带有微电脑芯片的智能卡的使用，大大地提高了信用卡使用的安全程度。发卡行和特约商户之间可以通过在线网络建立迅速及时的联系，沟通反馈信息，由发卡行最终审查是否授权交易，实时清算，实现信用卡的电子化。这样将能大幅度减少信用卡欺诈的发生。另外，发卡行还可采取一系列加密措施，如可在ATM上增设验卡装置，持卡人提款时需输入密码和本人身份证号，否则交易将无法成功，这种办法对防范信用卡诈骗也有较大帮助。

2.发卡行与收单行之间、发卡行与警方之间加强合作和信息共享

各个发卡行之间协力建造共享的网络系统，定期交换情报资料，通报不良持卡人的情况及交易活动，提出相关的建议对之加强防范，交换信用卡欺诈的信息，实现信息数据共享。另外，发卡行要和警方密切合作，及时将可能发生和已发生的欺诈事件通报警方以便防范和及时打击犯罪。同时，警方也要通过警方和发卡行之间的在线网络及时通报自己所掌握的情报信息，做到及时地沟通联络，确保信息交流的通畅和准确，实现信息资源共享。

3.防止特约商户协同不法分子进行诈骗

特约商户在反信用卡诈骗的斗争中起着重要作用，其直接同不法分子进行面对面的较量。若特约商户的工作人员认真执行相关规章制度就能从很大程度上防止信用卡诈骗的发生，从而在反信用卡诈骗中构筑起第一道防线。但若商户同不法分子相勾结，则必然会大大增加诈骗得手的可能性。因此发卡行要对特约商户加强监管，对其涉及信用卡使用的日常交易活动进行监管，对异常交易情况及时发现并作出迅速的分析评价，采取相应的措施以减少这类行为的发生。

4.持卡人自身加强防范意识

对于持卡人来说，在持卡消费或是在ATM上提款时缺乏防范意识被不法分子获悉自己的密码、签名及其他个人信息资料后烧卡诈骗，会给合法持卡人带来相当的损失。另外，在中国许多人为了使用信用卡方便，往往将信用卡与身份证放在一起，结果经常造成信用卡与身份证同时丢失的情况，这就给拾得或盗得信用卡的人创造了冒用的机会。尽管有的银行在信用卡的使用上规定有加密措施，但中国许多人的信用卡的密码往往与其出生年月、电话号码或汽车牌照等数字有关，这样就更增大了信用卡被冒用的危险。所以持卡人必须改变这样的习惯，加强防范，避免信用卡被别人冒用以减少自己的损失。

（四）对信用卡反欺诈法规的探讨

需要指出的是，《刑法》及《刑法修正案（五）》虽然使用的是“信用卡犯罪”的概念，但其并不排除对所有银行卡犯罪行为的适用，“信用卡犯罪”实际上涵盖了所有的银行卡犯罪。随着商业银行金融业务的发展，中国出现了借记卡、准贷记卡、贷记卡等多种形式的电子支付介质。中国人民银行于1999 年3月颁布《银行卡业务管理办法》，将各种形式的电子支付介质划分为信用卡与借记卡两大类，这一划分将不可透支的储蓄卡、电子钱包等借记卡类银行卡排除到“信用卡”这一《刑法》所引用的概念之外，给司法实践中针对信用卡之外的银行卡犯罪的定罪量刑带来了法律适用上的困难。为了解决这一问题，全国人大常委会2004年12月29日通过立法解释，明确《刑法》中的“信用卡”的具体含义是：由商业银行或者其他金融机构发行的具有消费支付、信用贷款、转账结算、存取现金等全部功能或者部分功能的电子支付卡。这就将借记卡等银行卡一并纳入到《刑法》所称的“信用卡”概念范围之内。但是，立法解释毕竟还是有一定的局限性，为便于司法实践操作，建议尽快在法律修改时将这一问题彻底解决。

对于信用卡诈骗罪，需要进一步完善的是未规定单位犯罪的问题。信用卡有个人卡和单位卡之分，因此利用信用卡诈骗，尤其是利用信用卡恶意透支不仅自然人会实施，法人也会实施，这就不能排除单位实施信用卡诈骗行为的可能性。信用卡诈骗活动涉及的金额并非都是小数额的，否则《刑法》也没有必要规定无期徒刑为信用卡诈骗罪的最高法定刑了，而通常情况下单位犯罪所涉及金额往往要大于自然人犯罪所涉及金额。对于单位持卡人按照单位意志实施的信用卡诈骗行为，依《刑法》第196条的规定只能对具体负责人施以刑罚而对单位却只能施以罚金刑，导致单位的刑事责任无法追究。

在银行储蓄卡犯罪案件中，因为持卡人泄露密码导致存款被他人骗取的案件占有相当比例。人民法院是否受理和如何处理因此类事件引发的民事纠纷，已成为司法实践中面临的重要问题。

目前，对于因持卡人泄露密码导致存款被他人骗取而引发的民事纠纷，法院是否应当将其作为民事诉讼案件受理这一问题，存在两种完全不同的意见：一种意见认为，持卡人泄露密码导致存款被他人骗取，涉嫌刑事犯罪，应当作为刑事犯罪案件由公安机关立案侦查，持卡人也应该根据刑事侦查和审判结果直接向犯罪嫌疑人主张损害赔偿，因此，持卡人基于储蓄合同与银行发生的纠纷不应作为民事案件受理；另一种意见认为，虽然持卡人存款被骗涉嫌刑事犯罪，但犯罪嫌疑人在作案后往往难以被公安机关抓获或被及时抓获，很多时候犯罪嫌疑人即便被抓获也难以追回或全额追回持卡人有关存款损失，在这种情况下，如果在存款被骗取过程中银行存在过错，银行应当根据其过错程度对持卡人的存款损失承担赔偿责任，持卡人基于储蓄合同纠纷而提起的诉讼就应当作为民事案件立案受理，法院应当通过案件审理确定银行或持卡人是否存在过错，并认定当事人应当承担的法律责任。

2005年7月4日，最高人民法院审判委员会第1358次会议通过最高人民法院《关于银行储蓄卡密码被泄露导致存款被他人骗取引起的储蓄合同纠纷应作为民事案件受理问题的批复》（法释［2005］7号），针对上述问题明确规定：“因银行储蓄卡密码被泄露，他人伪造银行储蓄卡骗取存款人银行存款，存款人依其与银行订立的储蓄合同提起民事诉讼的，人民法院应当依法受理。”也就是说，持卡人的银行储蓄卡密码被泄露后，他人伪造银行储蓄卡骗取存款人银行存款，如果存款人基于储蓄合同提起民事诉讼，法院应当依法受理。

基于这样的一个解释，首先，从性质上看，银行储蓄卡密码应当是银行储蓄卡电子交易中持卡人的一种电子签名。根据《电子签名法》第2条的规定，电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。在银行储蓄卡业务中，电子签名主要表现为一组数据串，它是银行和持卡人之间约定用以确认持卡人真实身份、保障交易安全的重要手段。《电子签名法》第14条规定：“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”根据这一规定，持卡人在交易中使用密码（电子签名），即产生相应的法律效力：银行据此确认持卡人的有效身份并予以付款；持卡人据此对有关交易内容进行有效确认。实践中，银行在向客户发放银行储蓄卡时，通常会在有关业务章程以及与客户签订的书面协议中，明确规定双方在银行储蓄卡密码交易中的权利义务关系。如，《中国工商银行牡丹灵通卡章程》第8条规定：“持卡人必须妥善保管牡丹灵通卡和个人密码，对使用密码进行的交易负全部责任。”第9条规定：“凡使用密码进行的交易，发卡机构均视为持卡人本人所为。依据密码等电子信息办理的各类结算交易所产生的电子信息记录均为该项交易的有效凭证。”

其次，储蓄合同在法律性质上是一种双务合同，合同双方均相互负有对等给付义务：对于储户而言，负有将存款交付给银行的义务；相应的，银行则负有向储户交付储蓄卡、保护储户存款安全，以及按照储户及其代理人的要求和存单的记载支付存款本金和利息的义务。除了上述给付义务之外，合同双方还负有相应的附随义务：对于储户而言，其附随义务是保管好自己的储蓄卡及有关信息；对于银行而言，则应当履行为储户提供存款查询等附随义务，并且在储户遗失储蓄卡时提供挂失和办理新卡或新密码手续的服务。由于银行储蓄卡密码存在私密性和唯一性的特征，实际上绝大多数情况下持卡人对其银行储蓄卡密码的泄露都存在过错，因此，持卡人应当依法承担泄露密码而产生的法律后果。

最后，最高人民法院法释［2005］7号已经明确规定，人民法院应当依法受理因银行储蓄卡密码被泄露导致存款人提起的民事诉讼，因此，银行不得不面对且必须认真对待此类事件引发的民事纠纷，积极采取有效措施防范和化解有关法律风险。

二、信用卡等电子支付中的套现与洗钱活动

（一）信用卡套现问题

信用卡套现是指持卡人违反与发卡机构的约定，将信用卡中的透支额度通过POS终端或其他方式，全部或部分地直接转换成现金的行为。发卡机构在其信用卡章程或信用卡领用合约中通常约定持卡人可以通过银行柜台或ATM自助终端提取现金，但需按照发卡机构的要求支付利息；而信用卡套现往往是持卡人避开了银行柜台取款或ATM自助终端提现的方式，获得了不超过信用卡透支额度的现金价值，而不必向发卡机构支付利息。从外在表现形式看，持卡人多是通过虚假交易的方式实现信用卡套现，而在这一过程中，也多是需要商户的配合，甚至在有些情况下，商户主动提出为持卡人提供“信用卡套现服务”。但在网上交易领域，持卡人完全不需要商户的帮助，通过自买自卖的方式，就能实现信用卡套现。

持卡人使用信用卡套现的主要目的就是减少向发卡机构的利息支出，也有一些持卡人同时申请多张信用卡就是为了在这些信用卡之间循环套取现金，从而占有银行的借贷资金而不支付任何利息。信用卡发卡机构的盲目扩张、收单机构的风险防范意识薄弱以及发卡机构信息共享机制尚不成熟使得这种行为缺乏有效的管理。信用卡套现的风险主要表现在发卡机构的信贷风险被放大。由于中国没有个人破产制度，信用卡本身又是一种无担保的借贷工具，当持卡人无法偿付信用卡透支额时，发卡机构的补救措施就显得相当有限。

由于对持卡人实施了信用卡套现行为后的惩罚机制尚缺乏明确的规定，使得发卡银行或行政管理部门发现信用卡套现行为后，难以对持卡人和提供套现便利的商户给予处罚。并且，由于信用卡套现行为本身只是违反了持卡人和银行之间的约定，规避了支付银行透支利息的义务，如果持卡人没有拒不还款、恶意透支行为，《刑法》对这种信用卡套现行为也难以有效约束。由此可以看出，缺乏有效的国内个人信用征信体系，缺乏银行间信用卡信息共享机制，收单机构对特约商户的风险管理意识不强，是信用卡套现行为不断发生的主要原因之一。

完善我们国家银行卡法律制度，要从以下方面着手：

第一，建立适合中国银行卡产业发展规律的银行卡法律框架和体系。中国银行卡产业正处于上升期，政府十分重视银行卡产业的发展，关注银行卡产业对整个支付系统的影响；借记卡仍然是银行卡的主体，在持卡人与发卡机构的关系方面，借记卡与信用卡又有明显的不同；国内法律环境尚不健全等。这些特点决定了政府的政策和法律不仅包括对持卡人、发卡机构、收单机构、商户之间利益的平衡，还要维护整个支付系统的安全。所以，中国银行卡法律体系不仅包括规范发卡机构、收单机构在银行卡发行、收单、催收过程中的行为的法律，还包括对从事发卡业务、收单业务、信息转接业务等与银行卡交易、处理业务相关的机构的市场准入和运营监管。

第二，抓紧制定和完善银行卡产业基本性法律。《银行卡条例》正在起草过程中，而《个人破产法》和《征信条例》尚未列入近期的立法计划。但这三部法律法规，在中国的银行卡产业健康发展过程中的作用将是基础性的。

第三，从维护金融安全、支付系统安全和个人信息安全的角度出发，制定发卡机构、收单机构、银行卡信息转接机构、银行卡交易信息处理商等市场参与主体设立的规范，尤其要加强对新兴支付工具和市场参与机构的规范；借鉴美国的立法经验，制定相应的法规、规章，约束发卡机构的发卡行为、催收行为，收单机构发展商户的行为等，如《发卡行为规范》、《催收行为规范》、《特约商户风险管理指引》。

（二）网络支付中的套现与洗钱

洗钱总是和违法犯罪活动相关，早已成为国际公害之一。尽管许多国家都已采取多种措施控制洗钱活动，但是互联网革命带来的金融衍生工具却为洗钱活动提供了不少便利，也为国际反洗钱工作带来一定的难度。

对于在网络上做交易的用户来说，在线支付服务非常实用，而且不必向对方透露有关财务信息。如，买方不必向一个无法证实的网上商店透露自己的银行账号信息，而只需要向一个网络账户转账即可。此外，用户无须多少钱就可以开通一个网络账户，甚至也没有最低存款额，因此风险也降低很多。这也方便了那些因为缺少信用而很难取得信用卡的用户，以及那些缺少资金而无法在银行开户的用户。

电子钱包和在线支付可能带来更多的洗钱的隐患，因为这些服务允许用户匿名开户。开一个网络账户，用户只需要一张信用卡、银行账号或电汇，有时甚至用一张长途电话卡就可以开户。信用卡和银行账户很容易追溯到个人，而且它们本身对用户身份验证的要求要比电话卡高，电话卡几乎随处都可以用现金买到。一旦电话卡内充足金额，它们就可以被用来购物，而且不必像信用卡或支票支付那样留下书面记录。

《反洗钱法》第2条规定：“本法所称反洗钱，是指为了预防通过各种方式掩饰、隐瞒毒品犯罪、黑社会性质的组织犯罪、恐怖活动犯罪、走私犯罪、贪污贿赂犯罪、破坏金融管理秩序犯罪、金融诈骗犯罪等犯罪所得及其收益的来源和性质的洗钱活动，依照本法规定采取相关措施的行为。”第3条规定：“在中华人民共和国境内设立的金融机构和按照规定应当履行反洗钱义务的特定非金融机构，应当依法采取预防、监控措施，建立健全客户身份识别制度、客户身份资料和交易记录保存制度、大额交易和可疑交易报告制度，履行反洗钱义务。”

网上支付平台极易成为犯罪分子进行不法活动的工具。在央行发布的《反洗钱报告》中，网上银行在银行业务中占据的比重上升很快，而且由于交易大都通过电话、计算机网络进行，银行和客户很少见面，这给银行了解客户带来了很大的难度，也成为洗钱风险的易发、高发领域。在现实情况中，比如有的网上交易实际上并不是进行真正的消费，而是制造一笔虚假交易，通过银行卡支付后，钱进入了支付平台的账户，通过账户转移到银行，从银行取现，实际上是为了套取现金。由于第三方支付平台的电子支付系统大都是游离在银行系统之外，难以跟踪其内部资金流向，给国家对资金流向的控制带来困难。因此一些犯罪分子利用平台进行洗钱、套现、赌博以及金融诈骗的事情也就常有发生。

综合来看，网络支付平台中的套现、洗钱行为主要利用了网络支付在这方面的四个主要漏洞：其一，网络交易的匿名性。虽然各交易平台都采取了一些身份验证措施，但真正能够做到严格身份审核的却很少，或者说，互联网与电子商务的主流仍然是在匿名化下发展的。其二，网络交易本身的难以核实性。就是网络交易中资金流、信息流与物流的分离导致对于交易或支付平台要核查一桩交易的真正标的变得困难。其三，网络交易平台与第三方支付平台自身法律地位的不明确直接导致法律责任范围的不明确，在反洗钱、反套现中的相应义务与责任自然也难以明确。其四，目前中国网络交易平台、网络支付平台很多是实行免费服务的，这样就给网上套现行为提供了更加优厚的条件，在一定程度上助长了这种违法犯罪行为在网上的蔓延。

要从根本上解决这种现状，首先，要加强对网络上虚拟交易的监管，实施网络实名制，这样会使犯罪分子不敢明目张胆地进行非法活动，也有利于监管部门掌握具体的资金流向，使其得到有效的控制。另外，作为支付平台本身应该做到合法经营，尽到自己的社会义务，支付平台本身在涉及相关违法犯罪行为中的法律责任应得到进一步明确。其次，在立法方面的监管，从目前来看，法律层面上只有一个确认电子签名与手写签名具有同样法律效力的《电子签名法》，但是《电子签名法》的实施并不是很好，而现在的《电子支付指引》实际上主要是规范银行的，它的法律约束力和适用范围还有待明确。也就是说，维护这部分资金的交易安全，针对网上交易与网上支付的虚拟性、匿名性、跨区域性以及相应反洗钱、套现工作的复杂性，制定切实有效的管理规范和惩治措施，都是我们下一步的相关立法需要解决的。

三、境外相关信用卡风险事件

（一）美国的信用卡泄密事件

2005年6月17日，万事达卡国际信用卡公司证实，一家美国的信用卡第三方服务公司（Card Systems Solutions，Inc.，Tucson，Arizona）遭到黑客攻击，导致该公司存储的自2004年8月1日至2005年5月27日发生交易的约4000多万张信用卡账户信息可能被窃取。这次事件涉及1390万名万事达客户、2200万VISA客户以及数量不详的美国运通和Discover客户。这是迄今为止美国最大的信用卡资料外泄事件。根据Card Systems公司公布的资料，黑客是通过一种类似于电脑病毒的脚本程序侵入Card Systems公司的电脑系统，使包括持卡人姓名、发卡机构和信用卡号在内的信用卡磁道信息以及卡片校验码2 （CVC2）受到威胁。美国联邦调查局已经介入事件调查，目前已有6.8万个账户信息可能被用于欺诈，多数为非面对面的欺诈交易，这些卡号多涉及美国的发卡银行，交易地点波及美国、英国、加拿大、直布罗陀等国家和地区的商户。

万事达卡针对该事件采取的措施有：一是向成员机构发送风险提示，介绍事件基本情况，通报已采取的行动，报送涉案卡号及相关时间范围内的交易信息；二是要求相关发卡机构尽快联系可能已遭欺诈的持卡人，核查账户及交易记录；三是建议相关成员机构对涉案卡号进行标记；四是聘请数据安全公司负责对Card Systems公司电脑系统实地取证分析，敦促其实施补救系统缺陷的计划。接下来可能采取的措施包括：要求相关发卡机构对涉案账户换发新卡，对仍保留的信用卡账户进行监控；调查责任方数据信息管理是否存在违规情况，根据规定进行处罚；要求责任方承担换卡和账户监控费用；将责任方信息录入“Global Security Bulletin”，以示警告。VISA也采取了类似的措施。VISA和万事达卡均特别强调，“资料外泄”与“账户盗用”并无直接因果关系。因为VISA、万事达卡设置的许多其他防伪措施，可防范资料外泄事件后欺诈的发生。

此类事件对中国的启示包括：第一，分析、评估银行卡交易环节的风险。本次信息泄露事件实际上是美国银行卡交易体系内Card Systems公司这个交易环节上出现问题，导致了整个体系内交易信息的泄露。银行卡业界应根据国内银行卡交易网络特点，在制定账户信息及数据安全相关风险管理规则的基础上，加强落实相关安全管理规则，将交易信息的失密风险纳入银行卡风险管理体系，并且不断改进风险的识别、判断、评估和控制手段，构建完整、全面的银行卡账户信息及交易数据安全管理体系。第二，借鉴国际信用卡公司对相关责任方的处罚措施，建立针对账户信息及交易数据泄露的责任方处罚机制，对造成信息泄露的责任方以及对不遵守账户与交易数据安全管理要求的责任方给予相应的处罚。第三，参考国际信用卡公司保护持卡人信心的做法。VISA和万事达卡的“零责任条款”可有效保护持卡人的利益。第四，学习国际信用卡公司的危机事件处理经验，建立危机事件应急处理机制，以便在出现危机时作出迅速和恰当的反应，将危机事件的负面影响降到最低，维护整个银行卡产业的利益。^[48]

（二）韩国的信用卡危机

2003年11月，韩国最大的信用卡公司LG集团旗下的LG信用卡公司出现流动性危机，被迫停止现金预付业务。在政府干预下，韩国Worri银行等16家机构决定向其提供共计45亿美元的紧急救援。LG集团也表示将注资3.2亿美元以避免LG信用卡公司被迫破产。LG信用卡公司相应公布了重大重组方案。这是两年来韩国的第四家需要输血的信用卡公司。但是市场人士普遍认为相对于178亿美元的债务，这次举措并没有彻底解决公司的现金周转问题，前景仍然令人担忧。如果公司破产，韩国经济将遭受至少229亿美元的损失。随后LG集团决定将放弃信用卡、证券等金融业务。

韩国信用卡业曾经历了1999～2001年间无限辉煌的发展时期，并在2001年达到顶峰。15岁以上的韩国人平均使用4张不同的信用卡，拥有10张信用卡的人数也已超过23万，而美国人则平均只有2张。2001年韩国信用卡的使用金额为445兆韩元，比2000年增加了88%。信用卡公司当年纯利润总额达到了24870亿韩元，韩国独立信用卡借贷机构（如三星、LG）的资本报酬率达到52%，银行卡消费对经济增长的贡献率达到65%。韩国被认为是使用信用卡最好的国家之一。然而，2003年发生的情况证明了这不过是表面的繁荣。

通过分析韩国信用卡业发展历程，我们认为导致韩国信用卡危机的主要原因有：第一，韩国政府拉动内需、刺激消费，强力推动消费信贷发展的政策一定程度上使得大多数缺乏经验的韩国国民盲目举债，背负与其偿还能力极其不符的债务。第二，在信用的审核和批准环节，未对申请人信用进行有效翔实的调查与评估。为吸引客户，尽可能获取高额回报，各家银行和企业下属信用卡机构在政策引导下，大力扩张发卡规模，不断放宽申请资格，使包括未成年人和无业人员在内的大量信用不充分者进入信用卡消费领域。第三，信用度的测量环节，应根据消费者的品德、能力、现金、抵押、外部条件，给予不同的信用额度，进行早期的风险防范。而由于韩国信用卡量的急速扩张，发卡部门无法对持卡人的风险走向进行跟踪、分析、分流等必要的监控。第四，个人信用管理体系不完善，还款变成“搬家”。韩国相关法律曾规定个人信用资料不得共享，这不仅使低信用等级者轻易获得信用卡，更严重的是欠款人通过申领其他信用卡来归还旧账，形成恶性循环。调查表明，在一家金融机构中有不良记录的占31%，而所谓多重债务人占69%。这种债务放大机制的博弈结果，就是使故意不偿还或无力偿还成为必然。

韩国是不成熟市场发展信用卡业务的典型，对中国信用卡业的发展有很大的启示意义。首先，应建立个人信用控制机制，建立全国性的个人信用数据库。其次，现有的发卡机构的个人信用评估及授信额度控制手段无法满足风险管理的需要，发卡机构应增加风险管理意识，增强风险管理技术水平。监管部门必须制定适合中国国情的“信用卡管理规定”，加强对发卡机构的检查和监管，对违反规定进行恶性竞争或风险管理松懈的发卡机构及时查处，建立一个良性竞争的信用卡发卡环境。各发卡机构也必须依法制定严格的内部控制制度，加强自律管理，从信用卡的各项环节防范风险。

（三）中国台湾的卡债危机

中国台湾地区信用卡市场发展已近30年，在经历了20世纪90年代的高速发展之后，市场已十分饱和。发卡机构间激烈的竞争使得信用卡、现金卡在当地泛滥，宽松的借贷方式诱发了许多持卡人过度消费、无节制负债，继而无力还债，成为“卡奴”，而发卡机构资产状况随之恶化。

卡债危机产生的原因有：第一，银行资金过剩，企业间接融资需求降低；消费金融领域，信用卡业务的高利润率也受到银行的青睐。在银行业竞争激烈的岛内，各家银行不惜成本进行营销、争夺市场。如，为吸引消费者，推出赠品和优惠，如免费停车、送保险、机场免费接送等，使得每张信用卡的先期投入至少为1000元。第二，过度竞争下的信用扩张。在发卡过程中，放松个人信用等级审核，简化审核过程，在提高卡片活动率上，降低最低付款比率至2%～3%，鼓励持卡人动用循环借贷、预借现金、分期付款业务，甚至无限分期，并提高信用额度。这些措施为抢占市场份额、促进消费信贷发挥着一定的作用，但客观上留下了大量的风险监控盲点，为卡债危机的爆发埋下了隐患。第三，风险监控体系的不完善。在卡债危机爆发以前，中国台湾本土发卡机构一直以六个月逾期账款指标为主要监控指标，滞后的风险监控指标使发卡机构忽略了对信贷风险的监控和早期对资产恶化的防治。此外，发卡机构在双卡上应用信用评分系统较晚，风险监控体系不成熟，也没有建立本土黑名单共享机制，为双卡危机的爆发埋下了隐患。第四，持卡人结构趋于年轻化，信用水平下降，还款能力较弱。在媒体、银行、社会的鼓动下经受不住诱惑，往往过度消费、无节制负债。第五，台湾地区目前尚无个人破产机制，持卡人欠债濒临破产的边缘，却无法通过适当手段解决债务困扰，发卡银行也无合理机制争取自己的债务权益，往往将此类问题交由社会公司处理，引发逼债、骚扰、持卡人自杀等一系列社会问题。

为解决卡债问题，台湾地区“金管会”检讨了现行的双卡规定，对相关法律法规加以完善，以期降低卡债危机对整个社会的危害、恢复正常的金融信贷秩序。^[49]

（四）各类信用卡风险事件对中国的教训

从2003年起，中国信用卡业出现爆炸式增长。但是，如果为了追求发展速度，而忽视了信用卡引发的系统性风险，则有可能步那些遭遇“信用卡危机”者的后尘。如今，信用卡业的监管已引起中国有关部门的高度重视，银监会主席刘明康曾表示，要把信用卡列入当前加强管理的业务范围。

为防范信用卡系统风险，中国在个人征信体系建设方面，由中国人民银行组织商业银行建设的全国统一的个人信用信息基础数据库于2004年12月中旬开始试运行，在北京、重庆、深圳、西安、南宁、绵阳、湖州七城市对各国有独资商业银行、股份制商业银行和城市商业银行开通联网查询。2005年还实现个人信用信息基础数据库在全国联网运行。届时，所有获得资格的商业银行和部分农村信用社将可以联网查询个人的信用信息。

在信用卡现金透支方面，中国各发卡银行对信用卡现金透支的控制相当严格。信用卡现金透支不仅不享受免息期，而且还要加收较高的手续费；再者，中国的借记卡已经较为普及，消费者已经习惯于用借记卡提现，这与韩国借记卡起步晚、不发达的情况存在本质上的不同。从信用风险看，首先，由于信用卡业务在中国刚刚兴起，潜在优质持卡人数量庞大，各发卡机构能够在有效开拓市场的同时，普遍采取较为严格的信用审核制度。目前，现有持卡人数量虽然大大增加，但持卡人仍多为优质客户。其次，随着持卡人用卡信息、还款信息的积累，发卡机构对持卡人个人信用的分析、判断水平不断提高，从而能够通过动态调整持卡人信用额度，进行积极的风险管理。最后，中国信用卡都具备循环信贷功能，持卡人可以更加灵活地规划资金运用，在资金短缺时可以选择较少的首付比例。从以上三点看，尽管中国的征信体系尚不健全，但信用卡业务的信用风险并不高。

从流动性风险看，首先，中国信用卡不具备高额取现、结余转户等功能。结余转户，就是持卡人申请信用卡后，发卡机构向其提供优惠利率的信用贷款，用以清偿持卡人现有信用卡的透支金额及其他费用。高比例预借现金也使得持卡人能够通过申领新的信用卡，偿还现有信用卡的到期债务。在社会征信体系不尽完善的市场环境中，这些业务的推行，将会使得持卡人的信用风险不断膨胀和聚集，将大大增加银行的流动性风险。在中国，信用卡产品均不具备结余转户功能，预借现金比例也普遍限定在30%以内，持卡人难以通过申领新的信用卡，套取资金来偿还现有信用卡的到期债务。其次，中国的信用卡均由银行发行，没有采取专业化、高负债的经营模式。国外很多发卡机构为专业信用卡公司，其业务运作采取高负债的经营模式。如，韩国三星信用卡公司的资产负债率连续数年超过90%，易形成流动性风险。

从操作风险看，由于信用卡业务的特殊性，新巴塞尔协议也将其纳入考核框架。以下从狭义的操作风险和伪冒风险两个角度逐一分析。狭义的操作风险即商业银行内部的交易处理风险，如果商业银行内控制度完善，这部分风险会相对较低。但是，目前中国商业银行正处于改革阶段，这部分风险仍然较高。从伪冒风险来看，目前国际上已普遍开始推行EMV智能卡，而中国的征信体系仍不完善，信用卡仍以磁条卡为主，风险相对较高。当然，中国目前的信用卡伪冒交易损失大部分由持卡人承担，银行事实上所承担的风险并不高。但是，随着信用卡业务的发展以及法律制度的逐渐完善，这部分风险最终会由银行承担。因此，这部分风险也应作为关注的重点。

中国信用卡业要想实现快速、持续和健康发展，一方面，需要尽快完善法律环境，出台《银行卡条例》、《征信管理条例》和《个人破产法》；另一方面，需要为中国信用卡业的发展营造良好的外部环境，尤其是政策环境。针对各银行对信用卡透支资产的风险已使用不同标准的情况，建议监管机构尽快进行统一和规范，并建立信用卡透支资产风险监管指标体系和定期报告制度；为了避免单个发卡机构的经营风险危及整个金融体系的稳定运行，建议监管机构制定并实施发卡机构经营风险的预警和应急处理机制，在各银行建立严格的核销制度的前提下，简化信用卡呆坏账的核销手续，适当放宽核销条件，给予银行一定的自主核销权。

四、围绕中国银行卡的争议

（一）银行卡跨行查询收费的争议事件

2006年6月，四大国有商业银行及交通银行相继公告称将对银行卡的跨行查询收取每笔0.3元的费用。此通知一经公告，便引发了社会各界的广泛热评。6月2日，全国人大代表黄细花就向全国人大常委会提交紧急议案，建议暂停此项收费，组织听证，同时还呼吁有关方面对银行中间服务收费加强法律审查。7月5日，上海市民邓维捷向上海市徐汇区人民法院提起诉讼，起诉交通银行、工商银行、建设银行和中国银联，认为银行卡跨行查询收费侵犯了她的合法财产权益，请求法院判令4家单位取消跨行查询收费，并返还1.5元已收费用。

1.银行是否违约

按照邓女士的观点，银行在未通知她、未与她协商、未经她同意的情况下，突然擅自收取跨行查询手续费，依据《合同法》第8条的规定，依法成立的合同对当事人具有法律约束力，不得擅自变更合同。银行跨行查询收费的行为构成违约。实际上，各家银行的银行卡章程都规定有相似的免责条款，如《中国工商银行牡丹灵通卡章程》第14条规定：“本章程的修改或牡丹灵通卡收费项目和标准等发生调整，发卡银行通过营业网点、网站或报纸等进行公告。公告满30日后，修改后的章程或收费项目和标准即为生效。在公告期内，持卡人可以选择是否继续使用牡丹灵通卡；持卡人因对章程的修改或收费项目和标准的调整有异议而决定不再继续使用牡丹灵通卡的，可向发卡银行提出销卡申请，发卡银行为其办理销卡手续。公告期满，持卡人未提出销卡申请的，视为同意章程的修改或收费项目和标准的调整。”

2.政府指导价还是市场调节价

在该事件，争论的焦点主要集中在：银行是否有权规定跨行查询收费价格，该收费是否应属于政府指导价的范畴。《商业银行法》第50条规定：“商业银行办理业务，提供服务，按照规定收取手续费。收费项目和标准由国务院银行业监督管理机构、中国人民银行根据职责分工，分别会同国务院价格主管部门制定。”《商业银行服务价格管理暂行办法》第6条规定：“根据服务的性质、特点和市场竞争状况，商业银行服务价格分别实行政府指导价和市场调节价。”第7条规定：“实行政府指导价的商业银行服务范围为：（一）人民币基本结算类业务，包括：银行汇票、银行承兑汇票、本票、支票、汇兑、委托收款、托收承付；（二）中国银行业监督管理委员会、国家发展和改革委员会根据对个人、企事业的影响程度以及市场竞争状况确定的商业银行服务项目。除前款规定外，商业银行提供的其他服务实行市场调节价。”

大部分银行卡用户均认为跨行查询收费将对个人、企事业单位产生广泛重大的影响，符合政府指导价条款中第二项的规定。而银行业人士则认为该业务属于银行自主定价范围，每笔查询收取0.3元对持卡人不会构成影响，而且相对于专家计算的1.2元的查询成本已经是非常之低。对于这样的争议，应当由监管部门银监会和发改委作出解释。

3.市场多元主体的利益博弈下的定价方式、程序

本来，银行作为营利机构对其提供的金融服务收费本无可厚非，关键在于消费者对银行角色的转变，对“免费”到“收费”需要适应的过程。更重要的是，银行在定价时应选择消费者更能接受的方式，而不是让持卡人觉得自己的利益完全受到忽视。此外，持卡人并不单是对0.3元的查询费不满，而是对银行提供服务质量，以及每项费用对应的服务表示怀疑，如众多持卡人质疑其缴纳的年费究竟包含什么服务，为什么没有包含最基本的查询服务。而从制度层面来看，则是由于缺乏多层次的服务方式，为消费者提供多元化的选择，使其感觉无可奈何，造成情绪上的对立。

《商业银行服务价格管理暂行办法》第5条规定：“商业银行制定服务价格、提供银行服务应当遵守国家有关价格法律、法规及规章的规定，应当遵循合理、公开、诚信和质价相符的原则，应以银行客户为中心，增加服务品种，改善服务质量，提升服务水平，禁止利用服务价格进行不正当竞争。”第9条规定：“实行市场调节价的服务价格，由商业银行总行、外国银行分行（有主报告行的，由其主报告行）自行制定和调整，其他商业银行分支机构不得自行制定和调整价格。商业银行制定和调整价格时应充分考虑个人和企事业的承受能力。”第15条规定：“商业银行实行市场调节价的服务项目及服务价格，由中国银行业协会通过适当方式公布，接受社会监督。”

由此，即使在市场调节价的自主定价情形下，银行也应以客户为中心，考虑个人和企业的承受能力，改善服务质量，提高服务水平进行定价。因此，具体的定价方式、程序应更人性化，更公开、透明、科学，考虑用户的心理承受能力和市场接受能力。

4.可能的定价垄断

虽然中国银联的高管人员对媒体表示，银行和银联此次收取ATM跨行查询费是成本核算的结果，在收费问题上，银联并没有任何定价权，所有定价都是由包括商业银行在内的股东决定，但这样的表态却难以消除公众对银联在收费定价中角色的质疑。

中国银联由全国80多家金融机构发起，专营建立和运营银行卡跨行信息交换网络系统并负责制定统一的业务规范和技术标准。银联最重要的收入来源有两项：品牌使用费及跨行交易佣金。银行每发行一张带“银联”标识的银行卡必须向银联交纳标志使用费；所有发生的跨行交易必须向银联交纳佣金。无论是跨行刷卡消费、跨行取现，都必须通过银联的网络系统才能完成，银联相应地收取佣金；跨行查询同样需要银联的网络支持，这被认为是银联强力推进跨行查询收费的最大理由。

中国银联没有直接与持卡人发生关系，可是银行向持卡人提供的任何跨行交易实际上都需要银联的技术支持，并且只此一家没有别的选择，所以银联自然在佣金费用问题上有充分的发言权，但收费最终要转嫁到持卡人身上。在持卡人免费查询期，发卡行向中国银联和受理行分别支付0.1元，^[50]该收费公布后，持卡人的0.3元分别流向发卡行、银联、受理行。可知银联与银行之间具有共同的利益。

在跨行的支付结算交易领域，只有中国银联一家服务商，显然具有绝对的垄断地位。所以如果本次跨行查询收费是中国银联和各大银行商量后决定的，则银行和银联的行为有价格卡特尔的特征。^[51]而且这种垄断地位并未为其增强市场竞争能力带来明显成效，反而加剧了其对行政部门的依赖，借助行政权力，维护其垄断，而不是通过市场竞争加强其竞争优势。这表现在强迫各商业银行取消已发行的双币卡，并将其“6”字开头的卡作为国家标准，这加大后者的成本，并危及其客户群；要求所有商业银行使用其结算网关，将支付结算体系暴露于系统风险之中；设立商务公司，发行银行卡和非银行卡，直接与银行和其他市场主体展开竞争。其间，多次采用行政手段和压制方法，导致与商业银行的利益冲突和情绪对立。显然，这已不是现行法律规定所能完全解决的，只能通过《反垄断法》等加以规范。跨行查询最终以中国银行业协会出面制止收费而收场。

（二）深圳商户与中国银联之间的手续费争端

2004年6月间，深圳40余商家相继因不满POS机刷卡手续费过高，拒绝刷卡支付，并由深圳市零售行业协会作为商家利益的代表者与银行业谈判，一时间形成社会广为关注的“罢刷”风波。

最初，商户方要求按照《中国银联入网机构银行卡跨行交易收益分配办法》的规定降低费率。其中规定：对一般商户，发卡行固定收益和银联网络服务费为交易额的0.7%和0.1%；而对超市等特殊商户，发卡行固定收益及银联网络服务费比照一般类型商户减半收取，分别为交易额的0.35%和0.05%。中国银联有关人士强调，《中国银联入网机构银行卡交易收益分配办法》只明确跨行交易中的发卡行收益和银联网络服务费分配标准，并不包括收单机构自身的经营成本和应取得的收益，不能代表收单机构应当与特约商户签订的结算手续费率。因此，收单机构可在此基础上，根据自身在业务开展中设备、人力的投入成本，以及对商户风险管理的成本，与特约商户自主协商确定具体商户的手续费。而商户手续费应是“发卡行收益+银联网络服务费+收单服务费”。

在随后首轮公开谈判中，商家提出银行将刷卡手续费率在原基础上降低0.5个百分点，同时考虑根据刷卡消费额的增长，及时按比例降低刷卡消费手续费率。但这个要求遭到银行界的拒绝。银行界提出的方案是，如果2004年深圳刷卡消费金额比2003年增长60%，刷卡手续费率可打九折；如同比增长100%，手续费可打8折。这个方案也遭到零售企业代表的否决。双方谈判就此陷入僵局。

在这起显著的“银—商”矛盾中，涉及的主要问题有：手续费定价是否构成垄断价格；刷卡价格是否是政府指导价的范围；商家“罢刷”行为的性质。

深圳零售商家与银行方代表签订的《特约商户受理银行卡协议书》中约定了刷卡手续费为1%～1.5%，其中，虽然中国银联的收费只占0.1%，但是，该银行方的代表却是深圳银联的下属公司——深圳市银联金融网络有限公司。而这份合同也被商家们视为“格式”合同，商家在手续费的定价问题上没有任何讨价还价的能力，只有作出是或否的选择。实际上，在刷卡消费市场上，服务的提供方虽然由发卡行、中国银联以及收单方构成，发卡行享有最大的利益，而收单方则处于劣势，这一政策导致银行之间不会为了更多商家采用自己的POS机而竞争，而是为了更多的持卡人而竞争。此外，在中国银联成立后，POS机商户运营就由各家银行分别布点变成了银联一家独自负责，中国银联还有权制定POS的技术检测标准，成立了许多下属公司专营其利，进一步打击了其他资金投资POS机的积极性。^[52]所以，实质上，中国银联垄断了刷卡服务的提供。因此我们可以断定在刷卡服务市场存在很明显的垄断。

在手续费构成中，发卡行的固定收益和银联的网络服务费是由人民银行制定的，那么这种价格管制是否具有合理性？

首先，来看国家工商行政管理局《关于禁止公用企业限制竞争行为的若干规定》对“公用企业”的界定，“公用企业是指公用事业的经营者，包括供水、供电、供热、供气、邮政、电信、交通运输等行业的经营者”。很明显，银行和银联不属于公用企业。再来看目前国家的定价目录，银行卡刷卡费率也不在目录之内。从万事达国际卡组织的费率定价方式来看，其费率的制定完全取决于商户、银行和银行卡组织之间的协商，美国政府不会干预费率及分配问题。因此，中国对刷卡的定价明显带有行政干预色彩。

其次，发卡行和银联的收费依据《中国银联入网机构银行卡跨行交易收益分配办法》，该定价主要依据银联和入网机构的协商制定，国家对该行业的成本、利润率缺乏准确的数据，这种定价方式存在管制者和被管制者之间的信息不对称而产生的道德风险和逆向选择问题。被管制者往往具有比政府更充分的信息，故具有抬高真实成本，使政府制定较高的管制价格的动机，从而使政府的管制失效。最后，虽然《中国银联入网机构银行卡跨行交易收益分配办法》规定对收单行费率部分，银行可自主定价，但据2004年10月底深圳市国内银行同业公会第四届会员大会形成的决议坚持刷卡费率不变，彻底宣告商家和银行个别谈判确定费率的希望破灭。可见，这样的定价方式并非科学合理的。

最后，来看商户“罢刷”银行卡行为的法律性质。很明显的一点是，商户违反了其与银行方签订的合同，构成违约，而且在客观上也侵害了消费者的利益。从反垄断法的角度而言，这同时也构成反垄断法上的集体抵制行为。集体抵制是指两个或者两个以上竞争者达成共识拒绝与第三方进行交易的行为。集体抵制包括两种类型：“一是指集中性的拒绝交易，即两个或者两个以上更多的交易者拒绝与第三方进行交易；二是指两个或者两个以上的竞争者拒绝与某交易者进行交易，除非该交易者限制它本身与抵制者的竞争者进行的交易。”深圳商家针对银行的“罢刷”即构成了第一种类型的集体抵制。在美国，要判定集体抵制是否违法，主要以合理性原则为基础，以本身违法原则为例外。但在几种情形下的属于集体抵制合理使用：一是基于“搭便车”之反对而产生的集体抵制；二是对有损于行业协会的人进行的集体抵制；三是对不具备市场垄断权力所进行的集体抵制；四是表达性和非商业性的集体抵制。由于深圳的40多户商家对是否使用POS机，并不具有市场垄断力，所以其行为属于合理的集体抵制，在“罢刷”事件中，其联合行为本身并不应受到否定性的评判。^[53]

由此，中国银联在银行卡刷卡服务市场具有垄断地位，由政府定价的发卡行的固定收益率和银联的网络服务费不具有合理性，而关于收单费的统一定价有价格卡特尔之嫌，商户的“罢刷”行为构成合理的集体抵制行为。关于刷卡手续费比较合理的定价方式是市场定价，经过银商双方的充分讨价还价之后制定的收费标准，在保证银行业利益的同时，也可以比银行与银联单方制定的费率，更容易获得商家的认同，最终可彻底避免“罢刷”事件的再次发生。从法律角度而言，《反垄断法》的出台，能更好地维护商家的利益。

（三）围绕取消双币卡以及将“62”字头卡作为国家标准的争议

银联关于停用双币卡的呼吁将带来巨大的后果、影响。双币卡由于多年的发行，已形成了庞大的使用群体，这些使用者已与发卡行建立了服务合同关系，也形成了一定的消费习惯。双币卡的停用，则意味着这种服务内容的合同关系的终止或需作出变更。双币卡一旦停用，发卡行极有可能因不可抗力而免责，但消费者因建立这种合同关系所花费的成本将由谁来补偿？如换卡，其新卡成本将由谁来支付？如再由消费者来埋单，这对消费者来说是不公平的。另外，取消双币卡，将可能损害银行的当前利益。银行必将花费很大的成本来重新为客户准备新卡。确实，这将意味着三方面的成本上涨：卡片更换、系统更新、客户再教育以及市场推广，此外，就卡的置换问题还需与国际卡组织进行谈判，这些都实实在在地关乎银行的利益。

除了银联呼吁此举的背后利益纷争，从法律角度而言，银行作为一家营利性的卡组织而非行政机关有无权力制定国家标准，或叫停双币卡，其行为的“合法性”也是值得探讨的问题。此外，银联提出叫停双币卡以来，来自银行和持卡人的反对声不绝于耳，银联的行为被质疑为是稳固并强化其垄断地位，并阻碍市场竞争。

第七节　改善中国电子支付法制的建议

一、电子支付法制建设的难点

如果具体地分析电子支付中法律问题的难点，如网上的知识产权保护问题、隐私权保护问题、信息安全问题、电子商务的交易安全问题等，就会发现，社会在整体认识这些法律难题方面还存在一些误区，比如很多新闻媒体在报道此类问题时总是习惯于把问题归咎于法律的空白并呼吁相关的法律法规尽快出台，而这样的宣传导向会产生两个明显的误区：一个是使人们产生任何一个新的法律问题都只能依靠立新法来解决的错误理解；二是使人们产生似乎只要立了新法或作出新的规定，问题就会迎刃而解的错误判断。而这些错误理解与错误判断的存在对于我们建设科学、合理的电子支付法制环境都是十分不利的。因为很多电子支付领域的法律问题的产生表面来看似乎确实是法律空白所带来的，但在解决这些法律问题上，却绝对不能仅以填补相应空白了事。这些法律问题的产生往往有一些更为深刻的背景，如法制观念、法制意识的偏差，法制环境的不健全，法制体系的能动性不足及立法与执法的脱节等，都是需要我们认真加以考虑和解决的，这些方面的原因可能比法律的空白所带来的影响更深刻。但当我们过分强调法律空白的时候，这些方面的原因就会被忽视，得不到有效、彻底的解决。而在一些基本的法律原则和整体法律框架没有得到清楚认识的时候，盲目地立法和修法只会破坏法律体系的完整性、统一性，暴露出更多的法律之间的协调和一致的问题。另一方面，在一些法律意识、法制观念、法制环境中的问题没有得到重视和解决的情况下，单靠法律规定的补充往往难以起到如愿的效果。仅靠修改著作权法无法根治网上盗版，仅靠修改刑法也不能杜绝网络中的黑客的违法犯罪行为。

所以，在讨论完善我国电子支付的法律环境前，非常有必要对网络法制建设的难点做更进一步的分析，以便我们更清楚地认识与面对它们。

难点之一：动态性法制环境所带来的难题。

动态性法制环境所带来的难题是所有涉及网络和电子商务领域法律问题的共性问题。IT产业作为全球最为活跃、发展最快、技术更新最快、技术与产业结合最紧密及最受投资者青睐的产业之一，在“摩尔定律”^[54]、“贝尔定律”^[55]、“吉尔德定律”^[56]、“麦特卡尔定律”^[57]四大IT定律的带领下，一路狂奔而来又绝尘而去，留下很多有待逐一解决的难题及法律上的疑惑和尴尬。立法者在很多情况下对于一些新的法律问题，往往是立法也不是、不立法也不是，当一部新法或原有法律中的一些新的规定经过漫长的立法周期终于露面的时候，人们却会发现这些规定已经过时了，它所立足的产业环境已经有了较大的变化。比如，我们的《著作权法》几经周折终于修订完成在2001年底颁布了，在其中很重要的一条就是增加了“信息网络传播权”^[58]的概念，即规定“即以有线或者无线方式向公众提供作品，使公众可以在其个人选定的时间和地点获得作品的权利”。但如果我们对这一规定进行仔细分析就会发现这一新规定可能不能很好地适用到手机短信息的传播中，因为这种方式的传播往往不是“在其个人选定的时间和地点获得作品”，而在2001年之前手机短信息的应用确实还没有形成规模，^[59]但是很快我们就发现，这种对于一个巨大的新兴产业的规范的不足不能不说是这次修法的一个缺憾。

还有，虽然法律法规不应该涉及技术细节的层次，但在有些情况下，尤其是在法规与规章这一层面，如果规定不能与技术环节有机结合，又会产生无法有针对性地落实的问题，而这就同样会使立法者为难，因为某一领域即使是权威的技术方案往往也不会是唯一的一个，以哪个技术方案为基准就成了一个原则性的法律难题。这样的问题在电子签章法的立法中就非常明显，电子签章的认证机构必须是建立在一整套的技术方案的基础上的，那么我们是认可以“非对称密钥加密系统”^[60]为基础的电子签章系统，还是认可以生物识别技术为基础的电子签章？这就是一个突出的问题。^[61]

动态性法制环境在立法层面产生的另一个现象是地方法规和部门规章往往超前于法律与法规，这一点在电子商务立法领域已有充分的反映。中国的电子签章法还没有出台，我们就早有了广东的《电子交易条例》、上海的《上海市数字认证管理办法》和海南的《海南省数字证书认证管理试行办法》，这些地方法规以其出台的快速、灵活为当地电子商务的发展占得了先机，并为国家层面的立法进行了有益的探索，在这样的动态性法制环境下，是有其合理性和可取的一面的。但我们如果因此就放弃了对于及时出台国家层面的法律法规的努力，那就适得其反了。因为这些地方法规毕竟有很强的地域性，与电子商务的跨地域进行其实很不符合，之所以这么做只是不得已而为之的权宜之计，绝不能以为可以就此打住了。并且由于这些地方法规出台时缺乏更高层次的法律法规的指引，难免存在相互冲突的地方，很可能还会面临与稍后出台的更高层面的法律法规在一些地方相左的风险。

动态性法制环境在司法层面的反映是对司法的能动性的更高要求，在难以完全依照法律条文裁决的情况下，必须作出创造性的、合理的引用和发挥，及时有效地解决问题。

难点之二：违法行为的普遍性与多样性的难题。

由于网络和电子商务领域的很多违法行为都具有易于实施、成本低廉、隐蔽性强和危害范围广等特点，这一领域的违法行为的普遍性和多样性也较其他领域突出，而诸如网络色情、网络侵权等违法行为已达到相当猖獗的地步。^[62]在计算机软件的盗版和非法使用问题、域名的抢注问题、网络上的版权保护问题及网络安全和手机短信息法律问题中，我们都遇到了类似的困惑。在我们试图对其追究责任时往往都会发现，我们很可能面对的是多如牛毛的违法者和随时随地发生的违法行为，对于这样一些行为，我们往往严厉也不是，不严厉也不是，完善的法律规定难以起到令行禁止的效果，法律的严肃性受到了很大的挑战。虽然我们总是可以找到诸如法律无法跟上技术的发展之类的借口，但对于一些早已陈旧的法律问题，我们至今仍无法找到令至行止的良方，显然就有点说不过去了。

而违法行为的普遍性和多样性是和IT技术自身的普遍性和多样性密切相关的，也就是说，造成这种现象的很重要一个原因就是IT技术的广泛应用，更具体地说，是那些可能成为侵害他人合法权益的IT技术工具（如解密工具、侵入其他系统的工具、远程控制工具、木马程序、邮件群发软件等）的广泛传播给了违法者更大的活动空间和更强大的破坏工具，同时也使他们的踪迹更难以被察觉。控制这些技术手段的广泛传播成为切实解决这类问题的有效途径，而在采取类似措施时就会马上遇到类似因噎废食的难题。也就是说，这些技术措施往往是“双刃剑”，其也有良性运行时造福于人的一面。就像很多人常比喻的“菜刀”理论，菜刀可以用来做饭，也可以用来杀人，但我们不能因为有人用菜刀杀人了就禁止所有的人来使用菜刀。

难点之三：法律管辖空间的不确定性带来的难题。

互联网所具有的非中心化倾向、全球性、虚拟性等特性，对传统的法律制度尤其是法律管辖的划分提出了巨大的挑战，甚至在一定程度上试图否定国家的控制和管辖。大量通过网络跨国、跨区域的违法犯罪行为可以在瞬间完成，又有大量通过网络的违法犯罪行为依照传统的管辖划分难以找到合适的管辖地或找到多个管辖地。违法犯罪行为实施人的物理地址可能和违法犯罪结果没有任何关系，而一个合同的当事人双方所在地、合同签署地、标的物所在地、合同履行地等又可能去之甚远。正如1997年海牙国际司法会议的共识那样：互联网的本质是跨国界的，互联网中也许真正存在的是法律过剩，而并非法律真空，这就有必要重新定义国际私法规则。^[63]

难点之四：电子商务的虚拟性是很多电子商务法律问题存在的症结所在。

互联网上主体身份的虚拟性不仅激发了一些人违法犯罪的欲望，更使管理者无从下手，出现问题时无人承担责任，从而引发了一系列的法律问题，也成为电子商务法制建设中的难点。我们知道，再完善的法律规定、再发达的法律体系都是要以相应的责任人为根本落脚点的，法律主体身份和权限的确定是建设法制环境的根基，而这一点在历来主体虚拟化的互联网上恰恰成为一种奢望，如果这一点得不到有效解决，电子商务的法制建设将永远是十分脆弱的，可能这也正是为什么那么多国家都把《电子签名法》作为电子商务立法第一站的根本原因。但《电子签名法》适用的前提是人们要去用电子签名，否则再完善的《电子签名法》也不能替受害人把侵害者从互联网后面揪出来。而目前国际上消费者层次的电子签名应用（尤其是数字签名的应用）还是很不理想，所以在这样的情况下，互联网的实名制就被提上了议事日程。但我们必须同时也要意识到，正像非中心性一样，虚拟性也是互联网与生俱来的特性之一，或者说，互联网的很多优势都与这种虚拟性密不可分，而虚拟性一旦丧失了，可能互联网的很多天然优势也就同时消失了。不问信息包的来路是使网络信息得以迅速传播及通过多种路径有效传递的根本保障，而一旦要通过人为设置的多重验证和追究，互联网的方便性、效率等就肯定会大打折扣了。这样一来，我们看到的就是法律规范强烈地要求实名制与技术应用热烈欢迎虚拟化的巨大反差，这样的矛盾我们不得不看作是法律与技术应用的激烈博弈。

难点之五：网络交易较之于传统交易，其交易的参与人数大大增加了。

在一个完整的网络交易中，除了传统交易中的买方和卖方外，往往还增加了交易平台、支付平台、配送方等，而在这之后，还隐藏着软件、硬件提供者，系统维护者，基础网络运营商，接入服务运营商，等等，这样就直接导致了电子商务中权利义务划分和责任承担的复杂性。可以想象，如果没有一个有效合理的权利、义务和责任的划分机制，我们是很难厘清各方间林林总总的复杂关系的，也就难免会出现了问题时相互推诿的局面。

二、中国电子支付法制的主要问题

为适应金融电子化发展的客观需要，中国在电子支付领域的立法已经起步，并取得了一定的成果。这些立法对规范电子支付中的相关行为，推动电子支付发展具有积极意义。但是中国电子支付的立法还存在一些不足，表现在以下几个方面。

第一，法律效力层次低，以部门行政规章为主，基本没有法律与行政法规。

目前中国电子支付方面的法律文件绝大多数是由中国人民银行或银监会制定的，在法律效力层次上属部门行政规章。其效力低于全国人大及其常委会制定的法律和国务院制定的行政法规，其规定一旦与现行有关法律或行政法规相冲突，就不能得到适用，这势必会影响其规范作用。而且由于规章在立法程序上比全国人大及其常委会制定法律和国务院制定行政法规简单，表现为政策色彩较浓。

第二，行政法律规范为主，仅有极少量的民事法律规范，不能有效地调整电子支付当事人之间的民事关系。

中国人民银行与银监会制定的大多是“业务管理办法”之类的法律文件，这些文件主要以规范银行的某类业务为目的，其中绝大多数规范都是针对银行的行政法规范，在法律责任设定上，也以行政法律责任为主。因此，目前的立法对于银行与客户之间的权利、义务、责任的规定存在欠缺。如在银行卡立法方面，虽然《银行卡业务管理办法》涉及银行与持卡人权利义务的内容，但规定得却极为简单，主要还是围绕银行卡业务的管理进行规定的。对于发卡银行、持卡人、特约商家在银行卡支付中各自的义务，银行卡冒用风险的承担等重要问题目前都没有明确的法律规定。《网上银行业务管理暂行办法》也存在同样的问题，缺乏调整银行与其客户法律关系的规范。造成这一问题的原因在于这些规章本身是适应中国人民银行行政管理需要产生的，它们在性质上均属于行政规章，因此不可能规定过多的民事规范。

第三，立法涉及面窄，电子支付还有很多领域是立法的空白。

电子支付立法涉及电子货币、电子票据、信用卡、网上支付、电子认证等一系列问题，目前中国的电子支付立法仅限于银行卡和网上银行方面，对很多问题都缺乏相应的规范，致使现实中的许多问题都无法可依。如中国电子支票发展中就存在很多问题。在中国，支票是由《票据法》进行规范的，该法第4条规定：“票据出票人制作票据，应按照法定条件在票据上盖章。”第7条规定：“票据上的签章为签名、盖章或签名加盖章。”由此可见，中国现有的票据法律还不承认电子签章的有效性。另外，电子货币的法律地位、电子支付安全的法律控制等问题在法律上都是空白。

第四，与电子签名法相衔接的法律需要尽快配套。

《电子签名法》只是一部基础性法律，此后还需要出台电子交易法、个人隐私保护法等相关的法律。对于现行的相关法律法规，比如《票据法》、《会计法》、《海商法》等也需要进行调整，因为这些法律对电子票据、电子发票、电子提单的合法性都没有规定，未与《电子签名法》相衔接。如果我们进行的是全部通过网络实现的电子交易，还必然涉及电子发票的合法性的问题，而电子发票的合法性目前还没有得到相关法律的认可。与《电子签名法》相配套的相关法律的完善，是保障电子签名应用于电子支付，维护支付安全的前提之一。

三、完善中国电子支付法制的建议

（一）电子支付的立法目标

第一，降低可能威胁金融市场稳定性及损害对支付系统信心的系统性风险及其他风险；

第二，在反欺诈、反对不公平交易、防止经济损失、防止个人信息泄露方面给消费者提供足够的保护；

第三，鼓励给消费者和企业提供有效率、低风险、低成本以及便利的支付服务的发展；

第四，使中央银行保持执行货币政策的能力；

第五，为执法机构预防及侦查与资金转移方面相关的犯罪活动提供条件。

因此，一个较为完整的电子支付法律体系应该由以下五个方面构成。

1.关于主体的资格的法律规范

即关于电子支付业务的主体的规则。银监会发布的《网上银行业务管理暂行办法》、《电子银行业务管理办法》、中国人民银行公布的《支付清算组织管理办法（征求意见稿）》都是对主体方面的规范。对主体方面的规制主要包括市场准入方面的规定以及对主体的审慎经营的要求，都是为了维持支付系统的稳定及公众对支付系统的信心。

2.交易规则方面的法律规范

电子支付的交易规则涉及电子支付活动参与方的行为及责任，主要由各主体之间的协议构成，如电子支付经营者与使用电子支付服务的客户之间的协议。但是也应有相关的法律规范或者商业惯例来规范电子支付参与方的行为及责任。典型的如规范大额电子资金划转交易的美国《统一商法典》第4A编等。

3.支付工具方面的法律规范

完成支付行为一般要使用一定的支付工具。支付工具方面的法律是支付法律体系非常重要的组成部分，如《银行卡业务管理办法》或《银行卡条例》。

4.消费者保护方面的法律规范

消费者在使用电子支付业务时面临多种风险，如欺诈、个人信息泄露、技术问题导致支付不能完成等。电子支付的经营者在技术上和经济实力上显然比消费者占有更优势的地位，因此在电子支付活动中消费者需要更多的保护。中国目前的《消费者权益保护法》并不能很好地适用于金融服务，而已有的电子支付法律法规中关于消费者保护的条款很少，且非常简略。

5.预防和制止金融犯罪方面的法律规范

要降低支付工具对犯罪分子的吸引力，预防和制止金融犯罪，就要提高支付工具在某些方面的特性，比如面值或者一次可转移的金额不能过大、交易记录具备可稽查性等。

（二）完善电子支付法制的原则

1.安全第一的原则

鉴于电子支付的高技术性、虚拟性、跨地域性和网络世界种种黑客纵横、病毒频出、欺诈肆虐的现实，高度的安全风险无疑是我们开展电子支付最大的敌人。对于电子支付法律体系的建立和完善，如何创造更安全的电子支付环境，无疑是我们首要考虑的问题。

2.以规范促发展的原则

目前，中国电子支付业务处于创新发展时期，涉及电子支付业务的许多法律制度问题仍处于研究和探索阶段，如第三方支付平台的合法性问题、虚拟货币的合法性问题等，当然需要必要的规范，但是一定要以促进发展为根本目的。还有，由于与电子支付、电子商务有关的领域发展很快，往往会产生混业经营的问题，如网上交易、网上支付、网上证券、网上基金、网上期货等，在特定领域的行政许可方面，建议采取更为宽松的管制环境，以促进这些新兴领域的快速发展。

3.立足实际、适度超前的原则

电子支付立法必须具有超前性。这样可防止由于信息技术的迅猛发展而不断修改法律，有利于维护法律的稳定性和严肃性，但是这种超前性是适度的超前，不切实际地搞一步到位，其结果往往是过犹不及。

4.国际性与本土化并重的原则

制定电子支付法律与法规要适应全球化和加入世界贸易组织（WTO）和信息技术协议（ITA）的要求，借鉴世界其他国家在电子商务立法方面的有益探索，是一个不容忽视的问题。电子支付法律与法规的制定应与国际接轨，使自己的法律法规具有国际通行性；同时还要兼顾中国特色，结合国情，力求在立法模式和管理模式两方面都有所创新，有所突破。

（三）完善电子支付法制的建议

1.加快信用管理体系的建设

加强政府监管、行业自律及部门间的协调与联合，鼓励企业积极参与，按照完善法规、特许经营、商业运作、专业服务的方向，建立科学、合理、权威、公正的信用服务机构；建立健全相关部门间信用信息资源的共享机制，建设在线信用信息服务平台，实现信用数据的动态采集、处理、交换；严格信用监督和失信惩戒机制，逐步形成既符合中国国情又与国际接轨的信用服务体系。

电子商务作为虚拟经济，如何有效地建立信任在决定交易成败的因素中往往是第一位的，在中国信用体系还很不健全的情况下，这种迫切性就更加明显。而且，电子商务中的欺诈较之于物理环境，由于有技术辅助，可以在瞬间实现大量发送且成本低廉、隐蔽性强，其危害范围更广、危害程度更深，如不能及时遏制，会极大地打击人们对网络的信心。^[64]

2.逐步推广实名制

在互联网上的虚拟社会里，各类主体都是以虚拟的方式表现的，无论是企业还是个人，一直没有一个统一有效的方式来辨别其身份及权限，因此而引发了大量的“虚假网站”、“钓鱼网站”、“欺诈卖家”、“虚假信息”等欺诈事件。据中国电子商务法律网2008年5月的有关统计结果，目前中国与网上交易有关的纠纷中，70%以上都与网上的身份有关。而这种隐藏在身份虚拟化之后的诚信的缺失不仅坑害了消费者，也给诚信合法的电子商务交易蒙上了阴影，给有关行政管理部门实施有效的监管带来很大的困难，已经成为中国发展电子商务的最大的阻碍之一。

互联网最初作为交流科学研究信息的平台，身份及权限虚拟化的结构设计非常有利于信息的及时流通和人们充分地发表观点，也使其得到了快速的发展。但一旦互联网承担起越来越多的社会政治、经济、文化方面的功能的时候，身份及权限虚拟化的弊端就逐步开始显现，而在一些关系到人民群众重大利益的新闻、出版、医疗保健、药品和医疗器械等领域，这种虚拟性就更是十分有害的了。可以说，特定领域的实名化在互联网上将是迟早的事情，是一种趋势，也唯其如此，才能有效地打击假冒、欺诈、发布有害信息等违法犯罪行为，真正建立电子商务中的诚信体系，大力发展网络经济。我们已经注意到，国家食品药品监督管理局颁布的《互联网药品交易服务审批暂行规定》和文化部、信息产业部发布的《关于网络游戏发展和管理的若干意见》中都有关于实名化的要求，而2005年4月1日实施的中国第一部信息化法律——《电子签名法》也可以说是以实名为目的的。

2007年实施的《反洗钱法》也必将对网络的实名化提出更高的要求，电子支付领域必将进一步实现实名化。但这里还有一个问题值得关注，那就是银行等金融机构在落实名制的具体措施问题，是只需拿着身份证与其本人核对，还是需要与公安、工商等执法机关进行核实？在假身份证依然存在的情况下，其实是一个比较关键的问题。

3.对技术创新和运用加强管理

鉴于IT技术的多样性，特定的技术措施如被滥用，不仅会带来广泛的侵害，还会给执法者造成很大的麻烦，直接对网络法制建设和法律的严肃性构成挑衅。所以在我们规范各类行为的同时，对于特定技术措施的开发、使用、传播行为也必须成为我们严格规范的一个方面。只有对各类主体行为的明确规范加之相关技术措施应用的有效控制，才能逐步建立电子支付与电子商务的法制环境，达到令行禁止、可控、可察。

4.建立动态化法制环境

为适应电子商务与现代物流等领域的动态发展的需求，相应的法制环境的动态性十分必要，它是信息化时代对传统法制工作提出的基本课题，或者说，法制环境的能动性程度决定了其与信息化时代的契合度。为此，我们简要提出促进信息化时代法制环境动态化的几点建议：第一，尽量贯彻技术中立原则，抓住法律关系的本质，增强立法的包容性和延展性，同时保持法律结构上的可扩充性；第二，为适应一些特殊需求，缩短立法和修改法律的周期，使这个过程更具灵活性；第三，逐步增大司法的能动性，在一些领域、特定环节，可以考虑给予法官更大的权利，使其充分运用法律原则在必要时创设一些有意义的案例；第四，加快法制的信息化进程，包括立法过程、立法征求意见过程、司法与行政执法中的信息化，以提高效率，充分利用信息资源和信息手段；第五，充分发动民间组织参与法制建设，可以包括评估、认证、调解、出具意见、中介服务等多个环节。

5.建立合理的责任承担模式

目前现有电子支付法律规定基本还是倾向于银行等金融机构的，比如，《电子支付指引（第一号）》第42条规定：“因银行自身系统、内控制度或为其提供服务的第三方服务机构的原因，造成电子支付指令无法按约定时间传递、传递不完整或被篡改，并造成客户损失的，银行应按约定予以赔偿。”该条款非常重要，体现了用户至上的原则，有利于保护用户的合法权益。但是美中不足的是“按约定予以赔偿”的问题，因为在实际操作中，相关约定恐怕都是银行方面制定的，大部分消费者恐怕都没有进行这方面约定的意识和能力，这样的保护很可能在实践中就要变成摆设了。所以，鉴于电子技术本身的复杂性和消费者本身的弱势地位，要在相关立法中适当向消费者倾斜，适当增加银行等金融机构的义务和责任。

又如，在法律上针对银行等金融机构举证责任的调整：在电子资金划转中出现错误或欺诈，举证责任可由银行承担。这是因为电子支付的各个环节都涉及信息技术问题，电子支付的运行程序和数据涉及商业秘密也不为消费者所知，消费者作为受害者要去举证提供电子支付金融服务的银行方是否存在过错，在实践中是困难的甚至是不可能的，在电子支付法律关系中传统的过错责任原则值得进一步商榷。但是，在网络技术迅猛发展的时代，法律调整不应阻挠先进技术进一步发展的空间，如电子支付法律关系采用无过错责任原则，又可能因责任风险过大造成银行方拓展网络银行业务的积极性，因此，在电子支付法律关系中建议实行过错推定责任制度。

具体的立法建议包括制定几部主体方面的法律，如电子支付、电子货币的法规；虚拟货币、虚拟财产的法规；信息安全的法规；个人数据保护的法规。

未来，统一的电子支付法还应包括以下六方面的规则。

（1）电子支付主体的规则。电子支付主体包括银行、信用卡公司、第三方支付服务机构、电子认证机构、特约商家、银行卡持卡人等，电子支付法应对这些主体进行电子支付行为应具备的资格和条件作出明确规定，尤其应对银行、信用卡公司、第三方支付服务机构、电子认证机构的市场准入条件加以科学的规定。

从前述对国外电子支付法律、法规的分析可以看出，随着电子支付的发展，经营电子支付业务的主体已经不限于银行，一些非银行企业的金融服务公司已经开始从事电子支付业务，这也已经成为电子支付中不可逆转的发展趋势。主要是由于电子支付业务具有很强的国际性和技术性，专门从事电子支付业务的金融服务公司的出现是客观实践发展的需要，在客观上对各国金融立法提出了挑战。

目前中国的这类电子支付服务公司在法律上还没有相应的法律地位，除银行外，其他组织不得经营此类业务。为了促进电子支付的发展，绝对否定非银行企业进入电子支付业务市场是欠妥当的，法律不应完全禁止非银行企业进入电子支付业务市场，而是应规定一定的市场准入条件，让符合条件的企业进入市场。中国未来的电子支付法应对这些企业市场的准入条件作出明确的规定。

（2）电子支付工具规则。电子支付工具包括银行卡、电子现金、电子票据等，电子支付法应对电子支付工具进行调整。除了赋予这些电子支付工具相应的法律地位外，还应对它们的发行与使用进行规范。在这方面，中国《银行卡业务管理办法》已作了一定的努力，该办法花了相当的篇幅对银行卡的分类与定义及发行银行卡的审批作了较为详细的规定。这些规定为以后统一电子支付法中电子支付工具规则的制定奠定了一定的基础。

随着支付电子化的进一步发展，电子支付工具呈现出多样化的趋势。仅就电子货币来说，近几年来，全世界已有几十项电子货币实验方案，各项方案的技术不同，当事人间的权利义务分配就有可能不同。电子支付工具多样化趋势对电子支付立法提出了挑战，立法面临的一个重要问题就是如何实现电子支付工具的法定化。

根据一般的立法经验，对电子支付工具法定化存在两种可能的方案：一是明确列举电子支付工具的具体种类，针对不同种类的电子支付工具作出相应的法律规定；二是不列举电子支付工具的具体种类，而是采用开放式的规定，即仅规定电子支付工具须具备的条件。其中主要条件是功能性条件和安全性条件。功能性条件是指电子支付工具应具备的功能，安全性条件则是指电子支付工具在电子数据安全方面应达到的条件。只要某一电子支付工具达到法律规定的条件，则应被承认为一种合法的电子支付工具。上述两种方案各有利弊。前者明确了电子支付工具的具体种类，有利于立法者对各种电子支付工具逐个设定规则，在适用法律时，有利于对各种支付工具“对号入座”。但是，该方案不利于支付技术的革新，随着电子信息技术的发展，必将出现更为先进、安全和方便的支付工具，若法律将电子支付工具种类予以固定化，则新出现的支付工具就不能得到法律的承认，这在一定程度上妨碍了技术的进步。后一种方案采用开放的态度，有利于新的电子支付工具的出现，从而有助于电子支付的发展。但是，这种方案将会在一定程度上增加立法的难度，因为立法者很难预见将来可能出现何种电子支付工具，因此在设定电子支付工具规则及当事人权利义务规则方面不好把握。

（3）电子支付行为规则。电子支付行为包括支付指令的签发、接收、执行等，电子支付法应针对这些行为设定相应的规则，明确各方当事人的权利和义务，使电子支付主体有规则可循。

在确定电子支付行为规则时，应注意的一个重要问题是，不同技术条件下的电子支付，其行为规则会有所不同，如POS条件下与网络条件下的电子支付，二者无论是支付指令的签发方式还是指令的接受，都有不同之处。因此在电子支付行为规则的设定上，应针对不同的技术条件作出规定。

（4）支付安全控制规则。安全问题是电子支付的一个核心问题，其涉及交易双方身份的真实性、信息传输的保密性和完整性、交易的不可否认性等内容。为解决这一问题，数字签名技术、电子认证技术、SET标准等安全控制技术应运而生，这些技术在电子支付领域的应用在当事人间产生了相应的权利义务关系，但传统的法律缺乏调整当事人之间这种关系的规则。中国在2004年8 月28日第十届全国人民代表大会常务委员会第十一次会议通过了《中华人民共和国电子签名法》。《电子签名法》作为中国第一部专门规范电子商务活动的法律，其出台极具里程碑意义，定义了什么是数据电文，指出电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据，并明确规定了电子文件与纸质书面文件具有同等效力，使网络安全这一长时间困扰着中国网络支付的瓶颈问题，有望得到实质性的解决。但由于配套法规不健全，宣传推广力度不够等原因，目前电子签名在中国电子支付中的应用并不理想，从而直接导致中国电子支付的安全缺陷。这一现状希望能通过尽快出台相关强制性规定提高电子签名在电子支付中的应用程度得到解决。

（5）风险承担规则。在电子支付中，风险问题是一个无法回避并为当事人所关心的一个重要问题。电子支付中的风险主要来自于支付指令是否被否认、篡改和各种形式的冒签等行为。对电子支付风险的防范，电子支付行为规则与支付安全控制规则起着正面的积极作用，但是风险仍然是客观存在的。在风险发生之后，损失如何承担是电子支付法要着力解决的重要问题，有关这方面的法律规则可称之为风险承担规则，是构成电子支付法的重要内容。对于风险承担规则的制定，可借鉴美国《统一商法典》第4A编的有关规定，引入“安全程序”的概念，作为当事人间风险分担的平衡工具。立法应对“安全程序”的概念和条件、采用“安全程序”与否对风险承担的影响、安全程序下风险分担的规则等作出详细的规定。由于电子支付技术手段的不同和当事人之间法律关系的差别，安全程序下的风险承担规则不尽相同。因此在设定电子支付风险承担规则时，应将安全程序与具体的电子支付方式结合起来，进行细致的分析和研究，以制定出科学的风险承担规则。

充分利用举证责任分配机制来平衡当事人间的实体权益。在电子支付领域，意思表示的内容多通过特定的技术系统传输，证据多以电磁形式存在，且不容易保存。因此在很多情形下，即使法律赋予当事人一方享有一定的权利，当事人也常常因举证问题而不能有效地保护自己的合法权益。从这个意义上说，在电子支付领域，证据规则的设计有时比实体规则的设计更能有效地调整风险的分配。所以在制定风险分配法律规则时，要充分考虑证据因素对当事人权利义务的影响，在某些特定情形下，可考虑采用举证责任倒置或者过错推定原则，如电子签名法中的相关做法。

（6）制定行业自律规范。2006年7月，在中国社会科学院金融研究所支付清算研究中心主办的“中国电子支付高层论坛”上，多家第三方支付服务机构、学术机构等联合发起了中国第一个电子支付领域的行业自律规范的建议稿——《第三方电子支付服务机构内部运营管理规范建议（草案）》。

【注释】

[1]Augustin Cournot，Researches into the Mathematical Principles of the Theory of Wealth，1838，translated by Nathaniel T. Bacon（New York：Macmillan，1929），p.10.

[2]马丁麦耶：《大银行家》，何自云译，海南出版社，2000年版，第8页。

[3]李双元、王海浪：《电子商务法若干问题研究》，北京大学出版社，2003年版，第211页。

[4]余素梅：《欧盟电子货币机构监管指令述评》，《法学评论》，2005年第2期。

[5]唐应茂：《电子货币与法律》，法律出版社2002年版，第38～40页。

[6]张德芬：《电子货币交易的法律关系及其法律规制》，《法学》，2006年第4期。

[7]杜庆春：《Internet环境下电子支付的法律问题》，《民商法论丛》第12卷，法律出版社，1999年版。

[8]张德芬：《电子货币交易的法律关系及其法律规制》，《法学》，2006年第4期。

[9]http：//www.lawcare.com.cn/newEbiz1/EbizPortalFG/portal/html/InfoContent.html？InfoContent150_action=show&InfoPublish_InfoID=c373e90ab88f82d78ffe43094787fb4b.

[10]李双元、王海浪：《电子商务法若干问题研究》北京大学出版社，2003年版，第67页。

[11]孙晔、张楚编著：《美国电子商务法》北京邮电大学，2001年版，第117页。

[12]参见美国犹他州《数字签章法》第46-3-103条第6项、第46-3-301条第2项，以及联合国《电子签名示范法》第9条的规定。

[13]姚胜琦、周晓辉：《关于电子商务安全认证的立法思考》，《商场现代化》，2006年第10期。

[14]参见46-3-303（3）条。

[15]李双元、王海浪：《电子商务法若干问题研究》北京大学出版社，2003年版，第102页。

[16]《艾瑞中国电子支付研究报告（2005）》。

[17]《网上非银行金融机构行为研究》。

[18]《艾瑞中国电子支付研究报告2006》。

[19]首信易支付网站http：//www.beijing.com.cn/paylink/paybusiness/intro.jsp.

[20]徐菁、胡皓渊：《网络支付问题浅析》，《信息化与电子商务法律资讯》2005～2006年精华版。

[21]E.P. Ellinger，Eva Lomnicka，and Richard Hooley，Ellinger’s Modern Banking Law，Fourth Edition，Oxford University Press 2006，p.71.

[22]E.P. Ellinger，Eva Lomnicka，and Richard Hooley，Ellinger’s Modern Banking Law，Fourth Edition，Oxford University Press 2006，pp.36-38.

[23]12 U.S.C.§1841（c）（1），这是通过The Competitive Equality Banking Act of 1987加入的条款。参见Joathan r. Macey，Geoffrey P. Miller & Richard Scott Carnell，Banking Law and Regulaiton，Third Edition，中信出版社，2003年影印本，第433页。

[24]彭冰：《商业银行的定义》。

[25]E.P. Ellinger，Eva Lomnicka，and Richard Hooley，Ellinger’s Modern Banking Law，Fourth Edition，Oxford University Press 2006，p.39.

[26]谢朝晔：《中国虚拟卡市场的发展情况研究》，来自中国银联网站http：//www.chinaunionpay.com。

[27]魏振瀛主编：《民法》，北京大学出版社2000年版，第126页。

[28]徐菁、胡皓渊：《网络支付问题浅析》，《信息化与电子商务法律资讯》，2005～2006年精华版。

[29]赵昕、王静：《金融监管的新课题——第三方网上支付平台》，《上海金融》，2006年第9期。

[30]宋亦青：《网络欺诈面面观》，《信息网络安全》，2006年第5期。

[31]陈学斌：《利用钓鱼邮件进行金融欺诈的法律特性》，《信息网络安全》，2006年第5期。

[32]《网银丢6万储户告工行一审败诉》，《北京晚报》2006年9月28日。

[33]冯震宇：《企业e化、电子商户与法律风险》，北京大学出版社2006年版，第207页。

[34]王蜀黔：《电子支付法律问题研究》，武汉大学出版社，2005年版，第149页。

[35]刘颖：《电子资金划转法律问题研究》，法律出版社，2001年版，第103页。

[36]欧阳琛：《美国借记卡交易案例分析》，来自中国银联网站http：//www.chinaunionpay.com。

[37]Russell v. First American Bank-Michigan，N.A.，Fed.Banking L.Rep（CCH）Ⅱ87，524（W.D.Mich. 1988）.

[38]王蜀黔：《电子支付法律问题研究》，武汉大学出版社，2005年版，第152页。

[39]若无特殊说明，本书中的事件均发生在新的《中国工商银行个人网上银行交易规则》2006年9月1日实施前，即未对不同的客户（网上存折版、自助客户等）有不同的交易限制，而给工行网银大众版的自助注册开通和自助注册后的客户很高的权限。

[40]《工行网银受害者：我们不是弱势群体》，《瞭望东方周刊》，2006年第37期，第39页。

[41]工行网银受害者维权联盟网站http：//www.ak.cn，2006年11月30日访问。

[42]工行网银受害者维权联盟网站http：//www.ak.cn，2006年11月30日访问，受害人的陈述。

[43]工商银行针对网银事件的回应，http：//www.163.com，2006年11月10日访问。

[44]林晓慧：《网上银行业务风险防范研究》，《会计金融》，2006年第10期。

[45]徐菁、胡皓渊：《网络个人资料保护分析》，《信息化与电子商务法律资讯》2005～2006年精华版。

[46]纪晓昕：《电子商务中的隐私权保护》，《网络法律评论》第2卷，法律出版社，2002年版，第298～308页。

[47]梅绍祖编著：《电子商务法律规范》，清华大学出版社2000年版，第88～108页。

[48]http：//www.fcc.com.cn，2005-8-12.

[49]http：//www.chinaunionpay.com/showcontent.aspx？newsid=2721.

[50]http：//www.cctv.com/news/special/C15724/01/index.shtml.

[51]http：//finance.sina.com.cn/money/bank/bank_hydt/20060723/09292754841.shtml.

[52]李然：《对POS机刷卡收费水平的价格歧视分析》，《财经界》，2006年6月。

[53]杨华敏：《特约商户“罢刷”银行卡风波的法律分析》，《特区经济》，2005年第4期。

[54]这个定律是英特尔的创始人之一戈登·摩尔提出的，几年来一直指导IT产业的发展。摩尔定律的核心是：芯片上的晶体管数量每18个月增加1倍。英特尔按照这个定律，不定期地推出集成度更高、速度更快的芯片。

[55]贝尔定律表述了这样一个意思，即如果保持计算能力不变，微处理器的价格和体积每18个月减小1/2。

[56]吉尔德定律认为，在未来25年内，主干网的带宽将每6个月增加1倍，比CPU的增长速度要快得多。

[57]麦特卡尔定律说明了网络价值同网络用户数量的平方成正比，即N个联结能够创造N2的效益。

[58]参见《著作权法》第10条第12款。

[59]目前人们通常使用的手机短信息被称为加强型短信息（简称EMS），其诞生于2000年。2000年下半年，中国移动推出“梦网”计划，之后逐步拉开了大规模应用手机短信息的帷幕。

[60]与对称密钥系统对应，有两组完全不同的密码，被称为“公钥”和“私钥”。

[61]马来西亚的《数字签名法》就是完全建立在非对称密钥加密系统之上的，新加坡的《电子交易法》创造了“安全电子签章”的概念，在一定程度上摆脱了法律对于具体技术解决方案的依赖。

[62]据2003年9月27日中国新闻网报道：根据一家总部位于美国的网站过滤公司星期二发表的调查报告，互联网上的色情网页暴涨到2.6亿页，也就是说在过去5年中猛增了1800%。

[63]黄进、何其生：《电子商务与冲突法的变革》，《中国法学》，2003年第1期。

[64]2005年6月17日，美国最大信用卡公司之一的万事达公司宣布，一个中间业务公司的安全漏洞导致万事达公司1390万用户的银行数据泄露，算上其他种类信用卡用户在内，这次泄密事件波及的卡民多达4000万人。该事件对人们使用信用卡造成很恶劣的影响。