第三方网上支付业务中消费者权益保护实践：美欧比较与借鉴

□

（中国人民银行宁波市中心支行浙江宁波315040）

一、美欧第三方网上支付消费者权益保护实践的比较

（一）美国

1.客户备付金管理方面。 （1）实行存款延伸保险制度。在美国为消费者提供第三方支付服务的机构被称为货币服务机构。为保护客户资金安全，美国实行了存款延伸保险制度。具体做法是联邦存款保险公司（FDIC）规定每个货币服务机构必须在其规定的银行中开立一个无息账户，货币服务机构支付平台上客户资金必须及时存放在相应的账户中，并规定每个用户账户的保险上限为10万美元，保险费由客户资金在银行产生的利息缴纳。这种做法既可避免货币服务机构人为延长资金的在途时间，又可解决货币服务机构和用户之间的利息分配问题。（2）实行特别的保证金制度。出于保护消费者以及金融安全考虑，2000年美国国会通过了《统一货币服务法》。该法案要求货币服务机构申请货币服务许可时必须向监管部门提交5万美元的保证金，如申请者或者其授权代表人拟在一个以上的地点提供货币服务，则每增加一个地点需额外提交1万美元保证金，保证金上限为25万美元。同时，监管部门有权在申请者或者持牌人出现不良财务状况、有证据表明资本净值减少、财务损失或者其他有关情形出现时，提高其保证金额度的要求，最高上限为100万美元。（3）限定投资范围。《统一货币服务法》明确规定，货币服务机构必须维护客户资金的安全性与流动性，投资范围仅限于银行储蓄、具有较高评级的债券、美联储支持的银行承兑汇票等。同时，为控制风险，货币服务机构用于投资的总额不得超过可用于投资金额的50%。

2.客户交易安全保护方面。（1）明确消费者的免责条件。1978年美国出台了《电子资金转移法》和E条例，对消费者使用借记卡或存款账户进行第三方支付交易的安全保护措施进行明确，规定发生第三人非法获取或者篡改消费者登录密码、并利用消费者支付账户从事未经授权支付交易时，如消费者在得知该未经授权交易后的2个工作日内及时通知货币服务机构，则对未经自己授权的支付交易损失不承担责任。（2）明确消费者承担损失限额。《电子资金转移法》和E条例规定消费者借记卡或存款账户发生第三方未经授权交易时，如果消费者在2个工作日之后至60个工作日之间通知货币服务机构，其责任限额最高不超过500美元。而1969年出台的《诚实信贷法》及Z条例则规定：如果他人利用消费者信用卡进行第三方未经授权支付，无论是否及时通知货币服务机构，消费者承担损失的上限为50美元。

3.客户知情权保护方面。（1）规定信息披露的形式和时间。在信息披露形式上，《诚实信贷法》规定货币服务机构的信息披露应当以明确、显著的方式做出，同时为便于保存，信息披露还应当以书面形式做出。在信息披露时间上，法案将货币服务机构信息披露分为初次信息披露、定期信息披露、实时信息披露和变更信息披露四种，并规定了具体的披露时间。（2）明确信息披露的内容。美国《诚实信贷法》和Z条例规定货币服务机构信息披露应当包括以下内容：各项收费条件、确定收费的方法及费率、提现时附加费用的收取及费率、是否需要担保更正记账错误的权利和救济等。《电子资金转移法》和E条例则对货币服务机构首次信息披露、定期信息披露、实时信息披露以及变更信息披露内容分别作了规定。（3）明确未按规定披露信息应承担的责任。为保护消费者权益，美国对货币服务机构未按规定进行信息披露的行为规定了严格的民事和刑事责任。根据美国 《电子资金转移法》和E条例，货币服务机构未按规定进行信息披露时，其承担民事责任的主要形式为赔偿损失，赔偿范围包括消费者造成的实际损失、法庭确定的诉讼费、律师费等其他合理费用。同时对严重违反信息披露规则的行为规定了刑事责任，即故意提供虚假或不实信息、或未依法披露信息的，处5 000美元以下罚金或1年以下有期徒刑，或两者并处。

4.客户隐私权保护方面。美国1999年颁布的《金融现代化法》规定，未经消费者同意，金融机构不得将消费者个人隐私透露给任何第三方。根据美国联邦储备委局做出的解释，该规定同样适用于货币服务机构。此外，美国《公平信用报告法》对消费者信用记录的收集、信息保留的时间、消费者的权利等方面做出了较为具体的规定。

（二）欧盟

1.备付金管理方面。（1）实行账户分离。在欧盟，提供第三方网上支付服务的服务商被界定为电子货币机构。出于对支付服务用户利益的保护，《2009/110/EC指令》规定，为确保通过发行电子货币所获得的客户资金的安全，电子货币机构应将其自有资金与未兑现的电子货币兑换资金完全分离，为电子货币兑换资金专门开立账户。（2）严格投资限制。《2009/110/EC指令》规定，电子货币机构只能投资于以下资产：①信用风险为零且具有充分流动性的资产；②欧盟《2000/28/EC指令》界定的“A区国家”信用机构的活期存款；③流动性充分、不在第一种情况之内、主管机关认为合格并且有关电子货币机构拥有合法股份或必须与之实行并表监管的企业债务工具，且活期存款与债务工具不得超过电子货币机构自有资金的20倍。

2.客户交易安全保护方面。为在受害人与支付机构之间公平分担风险，2007年欧盟出台的《支付服务指令》就支付服务使用人与提供人对未经授权交易的责任范围进行了划分：一是对通知后的未经授权交易的责任进行明确，即如用户已将未经授权交易发生的事实通知支付服务提供者，但仍有未经授权交易损失发生的，则该损失原则上应由支付服务提供者承担；二是对于通知前发生未经授权交易，如支付服务用户在交易中无故意诈骗或重大过失，则无论损失金额多少，用户承担损失的上限为150欧元。

3.客户知情权保护方面。为保护客户知情权，《支付服务指令》分别就一次性付款交易和框架合同覆盖的支付交易中支付服务提供者应披露的信息内容作了规定：（1）对于一次性付款交易，信息披露主要内容为：①为正确执行支付指令而向支付服务用户提供的信息或独特标识符的说明；②支付服务的最长执行时间；③用户需要向支付服务提供者支付的所有费用；④支付交易的实际或参考汇率。（2）对于受框架合同所覆盖的交易，信息披露内容主要包括：①支付服务提供者的相关信息，包括地理地址、注册资料；②与支付服务相关的信息，包括支付服务主要特点的描述、为正确执行支付指令而向用户提供的信息或独特标识符的说明、同意执行支付交易和撤回该同意的形式和程序等；③收费、利息和汇率；④通信方式；⑤保障措施和纠正措施；⑥框架合同的变更和终止；⑦救济方式。

4.客户隐私权保护方面。

为保护客户隐私权，欧盟于1995年出台了《数据保护指令》，规定支付服务提供者处理个人数据信息的合法条件：（1）数据当事人（即消费者）已经明确同意处理数据；（2）数据当事人是合同一方当事人，在合同签订前应数据当事人要求的数据处理或为履行该合同所进行的必要的数据处理；（3）为履行数据控制人的法律义务而进行必要的数据处理；（4）为保护数据当事人重大利益而进行的必要数据处理；（5）为完成公共利益任务或履行数据控制人或数据披露中第三方的官方职责而进行的数据处理；（6）为数据控制人或数据披露中第三方的合法利益，有必要进行的数据处理，但数据当事人依本指令所享有的基本权利和自由而产生的利益更大时不得数据处理。

二、我国第三方网络支付业务中消费者权益保护存在的不足

（一）现有客户备付金管理制度有待进一步完善

1.风险准备金计提方法不完善。为有效防范支付风险，弥补客户备付金的特定损失，《支付机构客户备付金存管办法》（以下简称《存管办法》）第29条规定了支付机构应按所有备付金账户利息总额的一定比例按季计提风险准备金，以保护客户权益。但以上规定存在以下不足：根据《存管办法》规定，当支付机构开立备付金收付账户的合作银行多于4家时，其应在现有比例（10%）基础上动态提高风险准备金的计提比例。由于《存管办法》没有对计提比例动态提高的具体幅度进行量化，势必会造成支付机构执行尺度的不统一。

2.客户备付金孽生利息归属不合理。由于《存管办法》没有明确客户备付金利息总额扣除风险准备金后“剩余部分”的归属问题，因此实践中支付机构均将“剩余部分”归自己所有。这一做法不仅与《管理办法》中“客户备付金不属于支付机构”的规定相悖，也违反了《中华人民共和国经济合同法》第377条中关于“保管期限届满或者寄存人提前领取保管物的，保管人应当将原物及其孳息归还寄存人”的规定，一定程度上侵犯了客户的合法权益。

3.客户备付金管理方式存在不足。根据 《非金融机构支付服务管理办法》（以下简称《管理办法》）规定，支付机构接受的客户备付金不属于自有财产，必须开设专门的客户备付金账户加以管理，并严禁支付机构以任何形式挪用。《存管办法》第17条也就“闲置客户备付金管理”予以明确，即支付机构在满足办理日常支付业务需要后，可以单位定期存款、单位通知存款、协定存款或人民银行认可的其他形式存放客户备付金。以上规定保证了客户备付金的安全，方便了客户备付金的管理，这也与当前支付机构经营管理能力相适应。但是，随着支付机构经营管理与盈利能力的不断提高，如长期将大量客户备付金以单一银行存款形式存放于银行，则显然不是客户备付金管理的最佳办法，不利于货币资源的优化配置，也不利于客户备付金的保值增值。

（二）客户支付交易安全保障机制不完善

网络的开放性易使客户支付信息遭受侵害，现实中不法分子通过窃取或篡改支付信息等手段进行未经授权的支付交易案件时有发生。关于未经授权支付交易损失的责任承担问题，1999年出台的 《银行卡业务管理办法》规定了发卡银行应在章程或有关协议中明确其与持卡人间的挂失责任。实践中发卡银行也在发卡章程和合同协议中明确了对持卡人银行卡挂失后产生的未经授权交易损失承担责任。但对持卡人挂失手续办理前产生的银行卡未经授权交易损失责任承担，目前除少数发卡银行 （如广发银行、招商银行等）信用卡章程明确持卡人信用卡被冒用挂失前48小时产生的损失经核实属实后，发卡银行可在相应的保障限额内予以补偿外，其他多数发卡银行银行卡章程明确规定银行卡挂失前的责任全部由持卡人承担。至于支付机构在未经授权的第三方网络支付交易中应承担的责任，《管理办法》及其相关制度并未明确。

（三）信息披露制度不完善

一是信息披露的内容较少。《管理办法》以及其他相关制度仅规定支付机构应当披露支付业务的收费项目、收费标准以及支付服务协议的格式条款，而没有对需要披露的其他事项做出规定；二是披露时间上主要要求支付机构开展业务前的披露和业务变更时的披露，没有对实时披露和定期披露做出具体规定；三是披露的方式过于简单，仅规定支付机构在营业场所和网站主页进行披露，没有书面披露的规定。

（四）对于侵犯客户隐私权行为的惩罚机制不完善

支付机构因业务需要，保留了大量的客户隐私信息。客户隐私一旦被侵犯，其相关的信息资料就会被泄露，很可能对客户的人身和财产造成严重的伤害。实践中因支付机构管理不善等原因，极易产生客户隐私信息泄露风险。关于支付机构侵犯客户隐私权行为的处罚问题，《管理办法》及其实施细则并未具体明确，客户隐私权遭到侵犯后虽仍可通过《民法》、《侵权法》等法律维护自己的合法权益，但仍不能弥补客户因此所遭受的现实和潜在损失。

三、借鉴

（一）完善客户备付金管理

1.建立与完善支付风险资金管理制度。一是完善风险准备金计提方法，在现有计提比例基础上，明确支付机构每新增一个备付金收付账户的合作银行，其风险准备金计提比例应增加的幅度。二是鉴于风险准备金计提规模整体相对较小现状，建议建立支付机构风险保证金制度，规定支付机构根据一定时期的客户备付金规模，缴存一定比例的风险保证金，并根据客户备付金规模变化情况动态调整缴存风险保证金的余额。同时开立客户保证金专户，实行专户管理，加强风险保证金的监管。

2.建立并实行存款延伸保险制度。建议通过完善法律法规，强制要求经人民银行许可的支付机构均须对存放在存管银行的客户备付金进行保险，并规定客户备付金存款所生利息仅用于客户权益保护和支付机构的风险救助，如保险费支出等，不得为支付机构所有。

3.完善管理方式，提高客户备付金的流动性和收益性。随着对支付机构监管力度的加大，以及支付机构经营管理能力与支付风险防范水平的提高，建议通过完善制度，适时允许部分“优质”支付机构在一定额度内，利用客户备付金对流动性高和风险低的行业进行投资。在制度制定上，建议综合考虑支付机构偿债能力、营运能力、盈利水平、客户备付金规模、经营年限等因素，确定支付机构利用客户备付金进行投资的时间与比例。同时建立支付机构与客户间投资前的沟通协调机制，通过加强沟通，支付机构可就投资意愿与行业、投资收益分配、风险承担等问题与客户进行充分协商，在充分尊重客户知情权的情况下实现客户备付金的价值增值，这既可进一步保护客户权益，也可提高资金的利用效率。

（二）建立客户未经授权支付交易责任承担处理机制

一是结合当前我国经济发展状况、居民整体收入水平与承受能力等因素，合理确定客户承担责任的限额；二是明确客户承担全部损失的前提条件，即当客户存在故意或者有重大过失时，并对具体情形分别列示；三是明确客户免除全部责任的前提条件，并规定凡是只有支付机构才能控制的风险而造成客户资金发生的损失的，客户一律不予承担。如当支付机构系统遭黑客攻击，或因其内控制度不健全，造成客户信息泄露，致使客户造成损失的。

（三）不断完善信息披露制度

强化支付机构信息披露，有利于加强消费者知情权的保护。相比而言，我国相关立法中所规定保障消费者知情权的内容还较狭窄，为此建议借鉴相关国家和地区的立法经验，进一步完善支付机构信息披露制度，强化支付机构信息披露的责任，扩大信息披露范围，完善实时披露和定期披露的时间和内容，并在原有披露形式基础上增加书面披露。

（四）完善侵犯客户隐私权行为的惩罚机制

一是明确规定保护客户隐私权是支付机构的法定义务，要求支付机构采取切实有效措施，加强客户隐私权的保护；二是明确规定支付机构使用客户隐私信息的前提条件、告知义务、隐私信息使用范围，以及客户隐私泄露时支付机构的免责事由等；三是明确规定侵犯客户隐私权的处罚措施，根据支付机构侵犯客户隐私权行为的不同情况设立相应额度的经济处罚，并要求其限期整改。同时对于侵犯客户隐私数量多、范围广、影响严重的支付机构，规定人民银行可直接责令其退出第三方网络支付市场，并在必要时追究当事人的刑事责任。