中國政法大學民商經濟學院碩士研究生
主要項目
壹、互聯網支付服務提供商概述
二、互聯網支付服務的法律關系
三。互聯網支付服務提供商的責任及其限制
隨著近年來電子商務在中國的快速發展,第三方互聯網支付服務憑借其相對於傳統支付方式的壹系列優勢獲得了人們的青睞。互聯網支付服務提供者是指依托互聯網為收款人提供貨幣支付和資金轉移服務的經營者,具有綜合性、遠程性和數據化的特點。在互聯網支付服務合同框架下,互聯網支付服務提供者的義務主要是以互聯網支付數據處理義務為主要支付義務的支付服務義務群,包括互聯網支付數據維護義務、支付數據信息傳輸義務、支付數據保留和刪除義務、支付環境安全義務。關於互聯網支付服務提供者的責任,現行法律明確規定,實踐中的主要問題在於互聯網支付服務提供者在未授權支付情況下的責任。因此,有必要明確互聯網支付服務提供者的責任邊界,設置減輕其責任和免除其過度損害賠償責任的理由。將部分責任解釋為壹般過錯責任,可以更好地平衡互聯網支付服務提供者和用戶之間的責任分配規則。
壹、互聯網支付服務提供商概述
20世紀末,第三方互聯網支付服務商在電子商務的潮流中應運而生。1998年,美國最受歡迎的第三方互聯網支付服務商PayPal成立。21世紀,國內領先、目前全球最大的互聯網支付服務商支付寶成立於2001,基於騰訊旗下微信支付服務商的微信支付成立於2013。隨後,各種第三方互聯網支付服務商大量湧現,進入我們的生活。
互聯網支付服務提供商的定義
早在2005年,我國的官方文件中就出現了“電子支付”壹詞,它不同於傳統的支付手段,而這些支付手段中的另壹種被稱為“網上支付”。緊接著,2010,“網上支付”壹詞也正式出現在官方文件中,支付方式分為貨幣兌換、互聯網支付、固定電話支付等。“網上支付”和“網上支付”這兩個詞都是在同壹個組織發布的文件中使用的詞,所以後面的“網上支付”這個詞應該是“網上支付”這個詞的壹個修正,所以“網上支付”實際上是“電子支付”的壹個從屬概念,“網上支付”是“網上支付”的壹個從屬概念。但在電子商務法部分並沒有對各種具體的電子支付方式進行區分,所以電子商務法中“電子支付”的範圍並不僅限於互聯網支付,而在實踐中,電子商務交易采用的支付方式主要是狹義的互聯網支付,貨幣兌換和固定電話支付很少。本文主要指PayPal、支付寶、微信支付等依托互聯網的電子支付服務提供商,因此本文采用“互聯網支付”這壹術語。本文所指的互聯網支付服務提供者是指依托互聯網向收款人提供貨幣支付和資金轉移服務的經營者。
在實踐中,互聯網支付服務有兩種模式,即網上銀行和非金融機構。網上銀行服務是傳統銀行機構自己提供的,可以看作是銀行的互聯網櫃臺服務。用戶無需使用實體存折和銀行卡,只需在開戶和下載網銀應用時提供相關資料,即可開通網上支付、賬戶查詢等服務。許多金融機構現在通過網站或手機應用程序提供網上銀行服務。常見的網上銀行服務包括:賬戶余額查詢和賬單、賬單支付服務、資金轉賬以及分行和ATM的定位。除了這些常規的網上銀行服務,壹些金融機構也開始通過移動互聯網提供壹些新的支付服務。例如,USAA是第壹家使用用戶移動設備上的照相功能來創建USAA存款移動服務的金融機構。用戶可以使用這項服務來拍攝支票的正面和背面,並通過拍攝的圖像將支票存入他們的銀行賬戶。
非金融機構支付服務模式是指為用戶創建具有獨立銀行賬戶的支付賬戶,並基於該賬戶向用戶提供支付和收款服務,或者根據用戶的支付指令向其他電子支付服務提供者發出支付指令。該支付服務提供商向其服務用戶(包括小企業)提供支付範圍。交易通過提供商的系統處理,可以訪問用戶現有的由第三方持有或發行的資金來源,如活期存款賬戶或借記卡、信用卡甚至儲值卡,或者提供商可能有壹個特殊的資金賬戶。
互聯網支付服務提供商的特征
與轉賬匯款等傳統支付方式相比,互聯網支付有其明顯的優勢,尤其是在電子商務領域,體現在其支付方式的創新上。以PayPal和支付寶為例。使用它們,支付處理過程是相似的。PayPal和支付寶首先接受消費者的支付指令,然後根據支付指令將資金轉入商家,並收取壹定的費用。因為支付服務商為了保證支付安全,在資金上加了壹層“支付保護”,所謂支付保護就是在支付前提醒支付方支付風險,如果交易失敗,會自動退款給支付方,使得交易可以在雙方不了解的情況下進行。
PayPal和支付寶都可以為用戶創建獨立的支付賬戶,也可以通過第三方支付服務使用戶通過借記卡或信用卡支付。他們都為他們的商戶提供兩種主要的支付功能:通過PayPal或支付寶本身支付和通過信用卡或借記卡支付。對於後者,PayPal和支付寶代表其用戶與各大銀行和信用卡公司進行交易。雖然簡化了,但這實質上意味著兩家公司都允許其在線用戶使用自己的銀行借記卡賬戶。Paypal開創了信用卡支付的“唱片商”商業模式,並在其他在線支付服務提供商中流行開來。這是PayPal吸引小企業的另壹個方面——它允許無法直接獲得信用卡商戶賬戶資格的賣家,或者不想麻煩獲得自己賬戶的賣家進行在線支付。
互聯網支付服務商的這些優勢體現了其三個顯著的特點,即綜合性、遠程性和數據性。全面性是指在互聯網支付服務合同中,互聯網支付方提供的服務內容涵蓋支付的各個方面。支付準備階段,向互聯網支付需求者開放註冊服務,用戶可以綁定銀行賬戶,向支付服務賬戶轉賬,支付服務提供者維護支付系統,維護支付服務的可用性;在支付階段,互聯網支付提供商可以提供支付環境監控和支付數據處理服務,以數據信息的形式固定支付服務信息,提高支付服務效率。支付處理完成後,互聯網支付服務商將實時反饋支付狀態。遠程性是指互聯網支付服務的履行不要求互聯網支付服務使用者、收款人和支付服務提供者的支付處於同壹時間和空間。在傳統服務合同的履行中,合同雙方存在直接的物理交互,而互聯網支付服務合同雙方可以通過互聯網信息技術在異地提供和接受服務。互聯網支付業務也可以因為互聯網技術而同時為全國乃至全球的支付需求者提供支付服務。數據是指互聯網支付服務主要是與支付數據高度融合的服務。雖然互聯網支付也可能提供線下實體支付服務,但其運營的關鍵在於其掌握的支付數據信息。互聯網支付服務商在收集到這些支付數據信息後,還會對這些信息數據進行分析和處理,以供上遊電商平臺和用戶使用。
二、互聯網支付服務的法律關系
網絡支付服務法律關系的性質和結構
互聯網支付法律關系是指互聯網支付服務的用戶按照約定的方式委托互聯網支付服務提供者或者電子商務支付服務提供者對其賬戶或者價款進行委托,並在條件滿足、收到用戶的支付指令後向對方交付價款而形成的服務關系。關於這種法律關系的性質,多數學者認同支付服務商與用戶之間的關系是托管關系和委托關系。有學者提出“支付委托關系”理論,以委托合同為框架,整合了上述兩種關系。該理論認為,互聯網支付服務提供者與用戶之間是壹種支付委托合同關系,其中支付服務提供者的主要支付義務是根據用戶的委托完成用戶的支付操作,其他義務如用戶的資金托管、支付安全等是從屬或附隨義務。本文認可這壹觀點,因為在大多數情況下,用戶使用互聯網支付服務進行各種支付操作,而不僅僅是為了儲蓄或保管。比如用戶向支付寶或微信賬戶轉賬主要是為了接下來的支付操作。因此,支付服務提供者處理用戶支付指令的數據處理義務應視為主要支付義務,而資金托管和賬戶安全保障義務應解釋為次要支付義務或附隨義務。
互聯網支付服務涉及三類法律主體,即互聯網支付服務提供者、互聯網支付服務使用者和接收支付指令的機構。有學者認為,互聯網支付服務關系的主體是支付服務提供者和電子商務消費者。本文認為,使用網上支付服務的用戶不應過於狹隘地局限於消費者。由於消費者的概念非常狹窄,購買商品或接受服務必須是“不以營利為目的”,而互聯網支付法律關系所涉及的主體顯然不僅僅包括所謂的“消費者”。中國的電子商務法對電子商務采用了寬泛的定義,並規範所有借助電子商務進行的商業活動。因此,電子支付或互聯網支付不僅適用於企業對消費者的交易,而且企業對企業的交易和消費者對企業的交易都可能使用互聯網支付服務。因此,筆者認為,互聯網支付法律關系的主體是互聯網支付服務提供者和互聯網支付服務使用者,而後者不僅包括電子商務消費者,還包括互聯網支付服務提供者的經營者、支付服務提供者內部的經營者等使用互聯網支付服務的企業。而且,除互聯網支付服務提供者和互聯網支付服務使用者外,在上述非金融機構支付服務模式中,互聯網支付服務提供者提供網關型第三方支付服務,向其他用戶存款的機構發送支付指令的,接收支付指令的機構也是壹方主體,有義務根據接收到的支付指令進行相應的支付操作。
互聯網支付服務關系的客體是互聯網支付服務。首先,互聯網支付服務包括支付服務商為用戶提供的銀行賬戶和資金的綁定或托管。與此同時,壹些服務商依托大型電商支付服務商,比如支付寶轉淘寶。因為它們的托管價格可以形成壹個很大的資金池,也為用戶提供相應的理財服務。但值得註意的是,互聯網支付服務提供者向用戶提供的金融產品和服務不屬於電子商務法的調整範圍,但金融產品和服務中的電子支付,如用余額寶中的資金進行的支付,仍屬於互聯網支付服務,適用電子商務法中的相關規則。其次,互聯網支付服務包括支付服務商提供的支付服務和配套的交易安全輔助服務。支付服務商在收到用戶的支付指令時,會從其賬戶中扣除用戶的資金,並在交易完成後將資金支付給交易對手。同時,支付服務商也會提供壹系列的交易安全措施。以支付寶為例,支付寶在收到用戶對可疑用戶的支付指令前,會提醒用戶交易風險。此外,支付寶在支付前會對移動互聯網終端設備進行安全性評估,防止用戶泄露支付信息。最後,支付服務還包括提供商還向用戶提供交易資金價格退款服務。例如,基於電子商務支付服務商的交易未達成,用戶選擇申請退款,支付服務商在電子商務支付服務商處經經營者確認後,將提前預扣的資金價款返還至用戶的銀行賬戶或支付服務賬戶。
互聯網支付服務關系的內容主要是互聯網支付服務中的權利義務關系。按照服務方式可以分為兩種。在網銀模式下,支付服務商的義務相對簡單,即保管用戶資金、根據用戶的支付指令轉移用戶資金的義務,以及提供賬單查詢、余額查詢、賬戶安全等相應服務的義務。在非金融機構的支付服務模式下,支付服務提供者的義務更加復雜。首先,用戶將其銀行賬戶與支付服務提供商的賬戶綁定,或者將價格轉移到支付服務提供商的賬戶。此時,支付服務商承擔相應的賬戶綁定和資金劃轉義務。其次,支付服務商在使用支付業務時,應根據用戶的支付指令,提前從用戶的銀行賬戶或支付服務商的賬戶中扣收價款,並在交易完成時交付給交易對手。
互聯網支付服務提供商的義務
基於支付服務提供商與用戶之間的合同關系,即前述的支付服務合同關系。在互聯網支付服務合同框架下,互聯網支付服務提供者的義務主要是以互聯網支付數據處理義務為主要支付義務的支付服務義務群,包括互聯網支付數據維護義務、支付數據信息傳輸義務、支付數據保留和刪除義務、支付環境安全義務。
壹是互聯網支付數據處理義務。該義務是指為了解決用戶特定的支付需求,互聯網支付服務提供者應當提供適當的互聯網支付服務,通過互聯網信息系統處理用戶的支付指令,並完成相應的操作,如相關資金的劃轉、銀行賬戶的綁定等。此外,當交易沒有完成時,價格將返回到用戶的帳戶。在此過程中,支付服務商承擔根據用戶的支付指令向對方支付資金的義務,防範交易風險和交易未完成時返還資金的義務。支付服務商也要對用戶的各種支付信息進行處理匯總,展現給用戶。而且,支付服務提供者還應當對用戶的敏感信息,特別是可識別的個人信息進行去識別,避免用戶個人信息在存儲和傳輸過程中泄露。
第二,互聯網支付數據維護義務。互聯網支付服務提供者應當確保支付數據處理和存儲系統的良好運行,保障用戶支付數據信息的安全,及時處理數據管理設備或者系統的異常情況。支付數據的維護對於互聯網支付服務提供商的用戶非常重要。在支付數據管理服務中,用戶實際上將自己支付數據信息的控制權交給了支付服務商,而支付服務商不僅對這些數據有物理控制權,還擁有虛擬控制權,因此應當承擔維護這些支付數據的義務。支付數據維護包括兩個方面:保證支付數據管理服務的連續性和保證支付數據的安全性。壹方面,支付服務提供商應繼續提供支付數據管理服務。支付數據管理服務的連續性是基於物理層面的服務器、存儲設備等硬件設備和虛擬層面的計算機信息系統的良好運行。當數據管理服務所依賴的硬件設備或信息系統出現異常時,如服務器宕機或系統崩潰,用戶的生活和業務行為都會受到壹定程度的影響。對於壹些數據驅動的企業用戶來說,數據管理服務的中斷甚至是致命的。因此,互聯網支付服務提供者應保證其服務的連續性,不僅不能主動中斷服務,還應主動維護相關硬件設備和軟件系統,避免業務異常並及時處理。另壹方面,支付服務提供者也應確保其管理的支付數據信息的完整性和保密性,防止用戶的支付數據被刪除、篡改和竊取,確保用戶的商業秘密和敏感信息不被泄露和竊取。當支付數據信息涉及用戶和第三方的可識別個人信息等敏感個人信息時,應進行匿名化處理。
第三,數據信息傳輸的付費義務。這壹義務是指支付服務提供者應當將處理後的支付數據信息及時傳遞給支付服務提供者、支付需求者和受托者,並保持數據信息傳遞渠道的通暢,使各方能夠及時收到支付數據信息。互聯網支付服務是遠程的,服務的質量和效果體現在支付服務商反饋給用戶的數據信息中。為了恰當地提供這項服務,首先,在互聯網支付服務的合同關系中,支付服務提供者不僅要在支付服務開始前向用戶充分披露風險、註意事項、收費標準等重要數據信息,而且要在合同履行過程中持續告知用戶各種重要數據信息。第二,互聯網支付服務提供者應當確保支付數據信息傳輸系統的可用性。互聯網支付服務提供者在傳輸支付數據時,應當確保用戶能夠獲取,即確保支付服務提供者的客戶端對用戶開放,不存在不合理的訪問障礙。
第四,保留和刪除支付數據的義務。互聯網支付服務提供者應當在用戶需要留存支付數據時提供壹定期限的留存服務,並應當在用戶需要時刪除支付服務提供者收集、存儲的用戶支付數據。無論是在互聯網支付服務提供者與用戶的服務關系終止期間還是之後,用戶都可能面臨兩種情況。壹種是支付服務提供商存儲的支付數據因訴訟、監管或其他法律原因需要保留,另壹種是相關支付數據對用戶仍有價值,用戶需要壹些時間來恢復或復制這些數據。如果互聯網支付服務提供者在數據管理服務期間或服務關系終止後,立即刪除對方的支付數據,作為數據主體的用戶將遭受法律上的不利或經濟上的損失,支付服務提供者經營者因此將處於相對有利的地位。為了平衡數據主體和數據控制者之間的權利義務,互聯網支付服務提供者應當在壹定期限內為用戶保存支付數據。而且互聯網支付服務提供者有義務刪除用戶支付數據,尤其是涉及可識別個人信息和敏感信息的數據。在實踐中,支付服務提供商的服務條款會要求支付服務提供商的運營者在用戶要求時或用戶不介意刪除時刪除用戶的相關數據。值得註意的是,數據的刪除分為兩個層次。較低級的也就是我們日常語境中的“刪除”,不會完全擦除數據,而較高級的“刪除”則是指對存儲設備進行物理銷毀,或者通過技術手段對數據進行“覆蓋”,從而徹底銷毀數據。壹般來說,不需要對支付數據進行高層刪除,只需要使其不可訪問,等待這些數據被新數據“覆蓋”即可。但是,互聯網支付服務商在提供支付數據管理服務的過程中,不可避免地會收集和存儲用戶和收款人的壹些個人信息和敏感信息,如家庭住址和醫療用品購買記錄等。對於這些數據,支付服務提供者有義務在用戶和接受者的要求下,通過技術手段或物理手段徹底刪除。
第五,支付環境安全義務。互聯網支付服務提供者在提供互聯網支付服務時,應當確保用戶支付環境的安全,保障用戶支付信息和數據的安全。具體來說,壹是義務要求互聯網支付服務提供者為用戶提供相應的支付環境安全驗證程序,檢查用戶支付使用的信息系統環境,調查潛在的惡意程序;第二,互聯網支付服務提供者在支付過程中,應當對用戶的身份進行驗證,通過IP地址、支付密碼、指紋驗證等方式確認支付經營者為用戶本人。第三,互聯網支付服務提供者有義務對用戶進行基本的支付安全教育,提高用戶的安全支付意識。值得註意的是,互聯網支付服務提供者的支付環境安全義務不應理解為結果義務,而應理解為手段義務,即只要互聯網支付服務提供者合理地提供了支付環境安全服務,即可視為履行了支付環境安全義務,無需對所有支付安全漏洞造成的損害承擔責任。
三。互聯網支付服務提供商的責任及其限制
互聯網支付服務提供商的責任
在實踐中,互聯網支付服務中最重要的問題是未授權支付。因此,本文重點研究網絡支付服務商在未授權支付情況下的責任。上述電子商務法直接規定的互聯網支付服務提供者的第三項、第四項責任,均為越權支付責任。不同的是,在第三種未授權情形下,互聯網支付服務提供者並不知道這種未授權支付行為;第四種非授權支付行為,是指互聯網支付服務提供者發現支付指令未經授權或者已經收到用戶的非授權通知,但未及時采取措施防止損失發生或者擴大的行為。電子商務法對非授權支付確立的規則是,壹般情況下,損害由支付服務提供者承擔,支付服務提供者能夠證明損失是因用戶過錯造成的,損失由用戶承擔。
責任範圍
互聯網支付服務商是電子商務過程中的重要中介環節。單純增加互聯網支付服務商的責任,不僅會增加其運營成本,還會給整個電子商務行業帶來更廣泛的“寒蟬效應”,不利於互聯網支付服務和電子商務的健康發展。目前《電子商務法》規定的互聯網支付服務提供者的四種典型損害賠償責任中,前三種都被理解為對互聯網支付服務提供者過錯的推定,因此將這些相對嚴格的責任強加於互聯網支付服務提供者可能過於苛刻。因此,我們需要采取壹些措施,如設置相應的免責事由或減輕事由,或將過於嚴格的推定過錯責任解釋為壹般過錯責任,以限制其支付服務提供者的責任,從而避免寒蟬效應過度抑制互聯網支付服務的發展。