第三方網上支付業務中消費者權益保護實踐：美歐比較與借鑒

□

（中國人民銀行寧波市中心支行浙江寧波315040）

一、美歐第三方網上支付消費者權益保護實踐的比較

（一）美國

1.客戶備付金管理方面。 （1）實行存款延伸保險制度。在美國為消費者提供第三方支付服務的機構被稱為貨幣服務機構。為保護客戶資金安全，美國實行了存款延伸保險制度。具體做法是聯邦存款保險公司（FDIC）規定每個貨幣服務機構必須在其規定的銀行中開立一個無息賬戶，貨幣服務機構支付平臺上客戶資金必須及時存放在相應的賬戶中，并規定每個用戶賬戶的保險上限為10萬美元，保險費由客戶資金在銀行產生的利息繳納。這種做法既可避免貨幣服務機構人為延長資金的在途時間，又可解決貨幣服務機構和用戶之間的利息分配問題。（2）實行特別的保證金制度。出于保護消費者以及金融安全考慮，2000年美國國會通過了《統一貨幣服務法》。該法案要求貨幣服務機構申請貨幣服務許可時必須向監管部門提交5萬美元的保證金，如申請者或者其授權代表人擬在一個以上的地點提供貨幣服務，則每增加一個地點需額外提交1萬美元保證金，保證金上限為25萬美元。同時，監管部門有權在申請者或者持牌人出現不良財務狀況、有證據表明資本凈值減少、財務損失或者其他有關情形出現時，提高其保證金額度的要求，最高上限為100萬美元。（3）限定投資范圍。《統一貨幣服務法》明確規定，貨幣服務機構必須維護客戶資金的安全性與流動性，投資范圍僅限于銀行儲蓄、具有較高評級的債券、美聯儲支持的銀行承兌匯票等。同時，為控制風險，貨幣服務機構用于投資的總額不得超過可用于投資金額的50%。

2.客戶交易安全保護方面。（1）明確消費者的免責條件。1978年美國出臺了《電子資金轉移法》和E條例，對消費者使用借記卡或存款賬戶進行第三方支付交易的安全保護措施進行明確，規定發生第三人非法獲取或者篡改消費者登錄密碼、并利用消費者支付賬戶從事未經授權支付交易時，如消費者在得知該未經授權交易后的2個工作日內及時通知貨幣服務機構，則對未經自己授權的支付交易損失不承擔責任。（2）明確消費者承擔損失限額。《電子資金轉移法》和E條例規定消費者借記卡或存款賬戶發生第三方未經授權交易時，如果消費者在2個工作日之后至60個工作日之間通知貨幣服務機構，其責任限額最高不超過500美元。而1969年出臺的《誠實信貸法》及Z條例則規定：如果他人利用消費者信用卡進行第三方未經授權支付，無論是否及時通知貨幣服務機構，消費者承擔損失的上限為50美元。

3.客戶知情權保護方面。（1）規定信息披露的形式和時間。在信息披露形式上，《誠實信貸法》規定貨幣服務機構的信息披露應當以明確、顯著的方式做出，同時為便于保存，信息披露還應當以書面形式做出。在信息披露時間上，法案將貨幣服務機構信息披露分為初次信息披露、定期信息披露、實時信息披露和變更信息披露四種，并規定了具體的披露時間。（2）明確信息披露的內容。美國《誠實信貸法》和Z條例規定貨幣服務機構信息披露應當包括以下內容：各項收費條件、確定收費的方法及費率、提現時附加費用的收取及費率、是否需要擔保更正記賬錯誤的權利和救濟等。《電子資金轉移法》和E條例則對貨幣服務機構首次信息披露、定期信息披露、實時信息披露以及變更信息披露內容分別作了規定。（3）明確未按規定披露信息應承擔的責任。為保護消費者權益，美國對貨幣服務機構未按規定進行信息披露的行為規定了嚴格的民事和刑事責任。根據美國 《電子資金轉移法》和E條例，貨幣服務機構未按規定進行信息披露時，其承擔民事責任的主要形式為賠償損失，賠償范圍包括消費者造成的實際損失、法庭確定的訴訟費、律師費等其他合理費用。同時對嚴重違反信息披露規則的行為規定了刑事責任，即故意提供虛假或不實信息、或未依法披露信息的，處5 000美元以下罰金或1年以下有期徒刑，或兩者并處。

4.客戶隱私權保護方面。美國1999年頒布的《金融現代化法》規定，未經消費者同意，金融機構不得將消費者個人隱私透露給任何第三方。根據美國聯邦儲備委局做出的解釋，該規定同樣適用于貨幣服務機構。此外，美國《公平信用報告法》對消費者信用記錄的收集、信息保留的時間、消費者的權利等方面做出了較為具體的規定。

（二）歐盟

1.備付金管理方面。（1）實行賬戶分離。在歐盟，提供第三方網上支付服務的服務商被界定為電子貨幣機構。出于對支付服務用戶利益的保護，《2009/110/EC指令》規定，為確保通過發行電子貨幣所獲得的客戶資金的安全，電子貨幣機構應將其自有資金與未兌現的電子貨幣兌換資金完全分離，為電子貨幣兌換資金專門開立賬戶。（2）嚴格投資限制。《2009/110/EC指令》規定，電子貨幣機構只能投資于以下資產：①信用風險為零且具有充分流動性的資產；②歐盟《2000/28/EC指令》界定的“A區國家”信用機構的活期存款；③流動性充分、不在第一種情況之內、主管機關認為合格并且有關電子貨幣機構擁有合法股份或必須與之實行并表監管的企業債務工具，且活期存款與債務工具不得超過電子貨幣機構自有資金的20倍。

2.客戶交易安全保護方面。為在受害人與支付機構之間公平分擔風險，2007年歐盟出臺的《支付服務指令》就支付服務使用人與提供人對未經授權交易的責任范圍進行了劃分：一是對通知后的未經授權交易的責任進行明確，即如用戶已將未經授權交易發生的事實通知支付服務提供者，但仍有未經授權交易損失發生的，則該損失原則上應由支付服務提供者承擔；二是對于通知前發生未經授權交易，如支付服務用戶在交易中無故意詐騙或重大過失，則無論損失金額多少，用戶承擔損失的上限為150歐元。

3.客戶知情權保護方面。為保護客戶知情權，《支付服務指令》分別就一次性付款交易和框架合同覆蓋的支付交易中支付服務提供者應披露的信息內容作了規定：（1）對于一次性付款交易，信息披露主要內容為：①為正確執行支付指令而向支付服務用戶提供的信息或獨特標識符的說明；②支付服務的最長執行時間；③用戶需要向支付服務提供者支付的所有費用；④支付交易的實際或參考匯率。（2）對于受框架合同所覆蓋的交易，信息披露內容主要包括：①支付服務提供者的相關信息，包括地理地址、注冊資料；②與支付服務相關的信息，包括支付服務主要特點的描述、為正確執行支付指令而向用戶提供的信息或獨特標識符的說明、同意執行支付交易和撤回該同意的形式和程序等；③收費、利息和匯率；④通信方式；⑤保障措施和糾正措施；⑥框架合同的變更和終止；⑦救濟方式。

4.客戶隱私權保護方面。

為保護客戶隱私權，歐盟于1995年出臺了《數據保護指令》，規定支付服務提供者處理個人數據信息的合法條件：（1）數據當事人（即消費者）已經明確同意處理數據；（2）數據當事人是合同一方當事人，在合同簽訂前應數據當事人要求的數據處理或為履行該合同所進行的必要的數據處理；（3）為履行數據控制人的法律義務而進行必要的數據處理；（4）為保護數據當事人重大利益而進行的必要數據處理；（5）為完成公共利益任務或履行數據控制人或數據披露中第三方的官方職責而進行的數據處理；（6）為數據控制人或數據披露中第三方的合法利益，有必要進行的數據處理，但數據當事人依本指令所享有的基本權利和自由而產生的利益更大時不得數據處理。

二、我國第三方網絡支付業務中消費者權益保護存在的不足

（一）現有客戶備付金管理制度有待進一步完善

1.風險準備金計提方法不完善。為有效防范支付風險，彌補客戶備付金的特定損失，《支付機構客戶備付金存管辦法》（以下簡稱《存管辦法》）第29條規定了支付機構應按所有備付金賬戶利息總額的一定比例按季計提風險準備金，以保護客戶權益。但以上規定存在以下不足：根據《存管辦法》規定，當支付機構開立備付金收付賬戶的合作銀行多于4家時，其應在現有比例（10%）基礎上動態提高風險準備金的計提比例。由于《存管辦法》沒有對計提比例動態提高的具體幅度進行量化，勢必會造成支付機構執行尺度的不統一。

2.客戶備付金孽生利息歸屬不合理。由于《存管辦法》沒有明確客戶備付金利息總額扣除風險準備金后“剩余部分”的歸屬問題，因此實踐中支付機構均將“剩余部分”歸自己所有。這一做法不僅與《管理辦法》中“客戶備付金不屬于支付機構”的規定相悖，也違反了《中華人民共和國經濟合同法》第377條中關于“保管期限屆滿或者寄存人提前領取保管物的，保管人應當將原物及其孳息歸還寄存人”的規定，一定程度上侵犯了客戶的合法權益。

3.客戶備付金管理方式存在不足。根據 《非金融機構支付服務管理辦法》（以下簡稱《管理辦法》）規定，支付機構接受的客戶備付金不屬于自有財產，必須開設專門的客戶備付金賬戶加以管理，并嚴禁支付機構以任何形式挪用。《存管辦法》第17條也就“閑置客戶備付金管理”予以明確，即支付機構在滿足辦理日常支付業務需要后，可以單位定期存款、單位通知存款、協定存款或人民銀行認可的其他形式存放客戶備付金。以上規定保證了客戶備付金的安全，方便了客戶備付金的管理，這也與當前支付機構經營管理能力相適應。但是，隨著支付機構經營管理與盈利能力的不斷提高，如長期將大量客戶備付金以單一銀行存款形式存放于銀行，則顯然不是客戶備付金管理的最佳辦法，不利于貨幣資源的優化配置，也不利于客戶備付金的保值增值。

（二）客戶支付交易安全保障機制不完善

網絡的開放性易使客戶支付信息遭受侵害，現實中不法分子通過竊取或篡改支付信息等手段進行未經授權的支付交易案件時有發生。關于未經授權支付交易損失的責任承擔問題，1999年出臺的 《銀行卡業務管理辦法》規定了發卡銀行應在章程或有關協議中明確其與持卡人間的掛失責任。實踐中發卡銀行也在發卡章程和合同協議中明確了對持卡人銀行卡掛失后產生的未經授權交易損失承擔責任。但對持卡人掛失手續辦理前產生的銀行卡未經授權交易損失責任承擔，目前除少數發卡銀行 （如廣發銀行、招商銀行等）信用卡章程明確持卡人信用卡被冒用掛失前48小時產生的損失經核實屬實后，發卡銀行可在相應的保障限額內予以補償外，其他多數發卡銀行銀行卡章程明確規定銀行卡掛失前的責任全部由持卡人承擔。至于支付機構在未經授權的第三方網絡支付交易中應承擔的責任，《管理辦法》及其相關制度并未明確。

（三）信息披露制度不完善

一是信息披露的內容較少。《管理辦法》以及其他相關制度僅規定支付機構應當披露支付業務的收費項目、收費標準以及支付服務協議的格式條款，而沒有對需要披露的其他事項做出規定；二是披露時間上主要要求支付機構開展業務前的披露和業務變更時的披露，沒有對實時披露和定期披露做出具體規定；三是披露的方式過于簡單，僅規定支付機構在營業場所和網站主頁進行披露，沒有書面披露的規定。

（四）對于侵犯客戶隱私權行為的懲罰機制不完善

支付機構因業務需要，保留了大量的客戶隱私信息。客戶隱私一旦被侵犯，其相關的信息資料就會被泄露，很可能對客戶的人身和財產造成嚴重的傷害。實踐中因支付機構管理不善等原因，極易產生客戶隱私信息泄露風險。關于支付機構侵犯客戶隱私權行為的處罰問題，《管理辦法》及其實施細則并未具體明確，客戶隱私權遭到侵犯后雖仍可通過《民法》、《侵權法》等法律維護自己的合法權益，但仍不能彌補客戶因此所遭受的現實和潛在損失。

三、借鑒

（一）完善客戶備付金管理

1.建立與完善支付風險資金管理制度。一是完善風險準備金計提方法，在現有計提比例基礎上，明確支付機構每新增一個備付金收付賬戶的合作銀行，其風險準備金計提比例應增加的幅度。二是鑒于風險準備金計提規模整體相對較小現狀，建議建立支付機構風險保證金制度，規定支付機構根據一定時期的客戶備付金規模，繳存一定比例的風險保證金，并根據客戶備付金規模變化情況動態調整繳存風險保證金的余額。同時開立客戶保證金專戶，實行專戶管理，加強風險保證金的監管。

2.建立并實行存款延伸保險制度。建議通過完善法律法規，強制要求經人民銀行許可的支付機構均須對存放在存管銀行的客戶備付金進行保險，并規定客戶備付金存款所生利息僅用于客戶權益保護和支付機構的風險救助，如保險費支出等，不得為支付機構所有。

3.完善管理方式，提高客戶備付金的流動性和收益性。隨著對支付機構監管力度的加大，以及支付機構經營管理能力與支付風險防范水平的提高，建議通過完善制度，適時允許部分“優質”支付機構在一定額度內，利用客戶備付金對流動性高和風險低的行業進行投資。在制度制定上，建議綜合考慮支付機構償債能力、營運能力、盈利水平、客戶備付金規模、經營年限等因素，確定支付機構利用客戶備付金進行投資的時間與比例。同時建立支付機構與客戶間投資前的溝通協調機制，通過加強溝通，支付機構可就投資意愿與行業、投資收益分配、風險承擔等問題與客戶進行充分協商，在充分尊重客戶知情權的情況下實現客戶備付金的價值增值，這既可進一步保護客戶權益，也可提高資金的利用效率。

（二）建立客戶未經授權支付交易責任承擔處理機制

一是結合當前我國經濟發展狀況、居民整體收入水平與承受能力等因素，合理確定客戶承擔責任的限額；二是明確客戶承擔全部損失的前提條件，即當客戶存在故意或者有重大過失時，并對具體情形分別列示；三是明確客戶免除全部責任的前提條件，并規定凡是只有支付機構才能控制的風險而造成客戶資金發生的損失的，客戶一律不予承擔。如當支付機構系統遭黑客攻擊，或因其內控制度不健全，造成客戶信息泄露，致使客戶造成損失的。

（三）不斷完善信息披露制度

強化支付機構信息披露，有利于加強消費者知情權的保護。相比而言，我國相關立法中所規定保障消費者知情權的內容還較狹窄，為此建議借鑒相關國家和地區的立法經驗，進一步完善支付機構信息披露制度，強化支付機構信息披露的責任，擴大信息披露范圍，完善實時披露和定期披露的時間和內容，并在原有披露形式基礎上增加書面披露。

（四）完善侵犯客戶隱私權行為的懲罰機制

一是明確規定保護客戶隱私權是支付機構的法定義務，要求支付機構采取切實有效措施，加強客戶隱私權的保護；二是明確規定支付機構使用客戶隱私信息的前提條件、告知義務、隱私信息使用范圍，以及客戶隱私泄露時支付機構的免責事由等；三是明確規定侵犯客戶隱私權的處罰措施，根據支付機構侵犯客戶隱私權行為的不同情況設立相應額度的經濟處罰，并要求其限期整改。同時對于侵犯客戶隱私數量多、范圍廣、影響嚴重的支付機構，規定人民銀行可直接責令其退出第三方網絡支付市場，并在必要時追究當事人的刑事責任。