互联网支付领域个人信息保护制度探析

赵　园　园

(上海政法学院 法律学院，上海 201701)



·法治文明与法律发展·

互联网支付领域个人信息保护制度探析

赵园园

(上海政法学院 法律学院，上海 201701)

随着网络的普及与发展，中国有越来越多的在线人群和在线支付，与支付服务相关的风险愈发突出。由于缺乏完善的立法和有效的监管及执法措施，对消费者的信息侵权问题越来越多，影响了消费者对互联网金融的信任。美国、欧盟等国家和地区也都非常关注这一问题，除加强消费者信用保护与数据保护的完善立法外，还在不断加强执法机构的有效执法，强调自律监管与自我监管。面对日新月异的互联网金融创新发展，完善立法只能是退而求其次的选择，互联网金融服务商的自我监管与监管机构的有效执法，才是解决这一问题的关键所在。

互联网支付；互联网金融；消费者信息保护；自我监管

保护消费者信息以取得消费者的广泛信任是互联网金融发展的重要基石。第三方支付服务打通了线上线下资金融通，通过提供全方位的支付解决方案不断渗透到金融业最底层支付领域,通过电商平台和支付平台向客户提供全方位的生活与金融服务；与此同时，互联网支付机构也获取了大量的注册用户资源和海量的客户数据，在这样“滚雪球式”的服务循环之下,互联网支付机构提供的金融服务在深度和广度上不断增强[1]。但随之而来的泄露消费者信息、侵犯消费者信息权的行为也越来越多。金融服务强调消费者的信任，只有有效保护消费者的信息权，才能真正保障该行业的平稳健康发展。

一、互联网支付的定位

互联网时代，各国的互联网金融业务都在迅猛发展，但互联网支付在各国的具体称谓与概念却不相同。在美国，并没有专门的互联网支付或第三方支付概念，与其相关的被称为货币传输业务，受到《银行保密法》(Bank Secrecy Act, BSA)规制。美国金融消费者保护局使用“移动金融服务”(mobile financial services, MFS)概念，覆盖移动银行服务和移动金融管理服务。还有人将其称为电子非金融机构支付服务(Electronic non-financial institution)或替代支付服务(Alternative payment services),如贝宝(PayPal)等[2]。在澳大利亚，把互联网支付称为数据金融服务(digital financial service, DFS)，包括一系列通过数字远程访问的金融服务，如信贷、储蓄、贷款、保险和支付服务等，并认为支付服务是金融服务的重要组成部分，是实现金融包容的重要手段。在法律和监管框架的设计中,监管机构必须考虑金融包容性与安全、效率的目标。*UNSW Digital Financial Services Research Team, Regulatory Handbook-the Enabling Regulation of Digital Financial Services, Centre for International Finance and Regulation, December 2015.

在互联网时代，网络支付目的虽然没有实质改变，但支付活动所能掌握的客户信息、交易信息等却大大增加，支付的价值不再局限于支付本身，支付的基础功能被急剧放大。通过对这些数据信息的收集、整理、分析，能够对客户信用、行为、爱好等进行全面的了解和掌握，从而为其他业务提供必要的基础性数据，为有针对性地营销客户、维护客户、推销产品和服务等提供有效保障[3]。

目前，中国相关的法律法规已将第三方支付平台定性为非金融机构，但其所提供的支付服务又具有资金吸储和支付结算等金融服务功能，因而互联网支付机构更多地体现了金融中介服务商的作用。互联网支付应充分发挥技术手段和业务模式的优势，寻求成为传统金融机构和新兴金融业务之间链条、银行类金融机构发展普惠金融对外触碰的无缝隙接口，成为互联网金融机构发展普惠金融产品所依仗的基础力量[4]。但是，互联网支付如果避开商业银行的支付清算系统，自成一套闭合体系，就可能滋生洗钱和信息不对称的现象，对客户资金和个人信息构成威胁。

在法律定位上，中国和美国都将第三方支付机构定位为非金融机构，而欧盟则将其定位为金融机构。在具体的监管措施上，欧盟采取的是金融机构监管模式，如对初始资本金的要求类似银行监管中的注册资本，而对持续自由资本金的要求则类似于银行资本充足率的要求。中国对第三方支付机构的注册资本和备付金要求与对银行的要求基本一致，类似于欧盟的金融机构监管模式。这也就是说，中国目前对第三方支付授以美国的经营模式、欧盟的监管模式，对局限于提供支付中介服务的非金融机构施加金融机构的监管配置，存在着业务与监管的错配问题[5]。

二、互联网支付机构与消费者在个人信息处分上的权限划分

2013年12月18日，美国第二大零售百货集团塔吉特百货公司(Target Corporation)遭遇了涉及数百万客户借记卡和信用卡数据泄露事件。随后又进一步证实，计算机黑客窃取了大约4 000万条在商场购物的借记卡和信用卡信息。2014年1月，塔吉特百货还公开表示，大约有7 000万名顾客的电话号码、电子邮件等信息也被窃取[2]。2014年5月，eBay公司发生了一起更大的数据侵害事件，1.45亿名客户的用户名和密码被窃取。美国联邦贸易委员会警告说，金融公司和其他公司使用大量的个人信息来评估潜在客户，应该采取措施避免可能的歧视以及合法使用消费者的数据[6]。

在中国互联网支付发展过程中，由于代理商与消费者、代理商与移动网络运营商、移动网络运营商和金融机构或非金融机构支付提供商之间存在信息交换，使得消费者隐私和个人数据保护问题日益凸显。移动设备产生大量数据，如通话记录、短信息、浏览记录等，因而在交易过程中，支付者的支付账号、电话号码、账户余额、成交价格、售后服务、数据分析、购物习惯、经济地位甚至健康及家庭成员等相关信息都会被泄露[7]。

对互联网支付机构而言，消费者的个人信息是资源；对消费者而言，个人信息是隐私，是消费者的应有权利，不可随意剥夺。在两者的冲突中，应给予消费者权利以优位的保护。即使个人信息产生于消费者使用支付平台的过程中，也不意味着第三方支付平台就可以随意占有、使用或处分这些信息。支付服务并不能换取处分个人信息的权利。

2012年出台的《关于加强网络信息保护的决定》为个人信息保护、维护网络信息安全提供了法律依据，配套出台的中国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)提高了企业的个人信息保护技术水平，促进了个人信息的合理利用[8]4。《指南》将个人信息分为一般信息和敏感信息，并提出了默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上，只要个人信息主体没有明确表示反对，便可以收集和利用。对于个人敏感信息，则需要建立在明示同意的基础上，在收集和利用之前要获得信息主体明确的授权[8]5。《指南》将信息相关方分为个人信息主体、个人信息管理者、个人信息获得者和第三方测评机构，强调个人信息主体的知情,要求对于个人信息的处理要全部告知个人信息主体,且处理不能超出告知范围。这一规定为互联网支付机构与消费者个人信息处分设定了一个基本的法律规则。

各部委也在积极制定更为具体的个人信息保护规定。如工信部《电信和互联网用户个人信息保护规定》明确提出，互联网企业对用户信息的采集应当遵循合法、正当和必要的原则，但实践中的执行情况却不尽如人意。在采集信息前，服务者往往给用户提供一份几千甚至上万字的服务协议，其中包括同意采集信息和信息保护的条款，而大部分用户都会选择同意，服务商似乎合法地获得了大量个人信息权益，而其中也包括很多不必要采集的信息。

三、境外法律制度的最新进展

(一)欧盟的新支付指令

欧盟原有的支付指令是2007年制定的支付服务法律(Payment Service Directive，PSD，2007/64/EU)，目的是鼓励和管理支付系统，简化服务流程，提高欧盟地区的支付服务效率。为加强互联网支付及账户的安全性，覆盖不同的支付手段，填补对于快速增长的零售支付和新的支付服务方式的法律空白，新准则应运而生。2015年，经过欧洲委员会、欧洲议会和部长理事会三方协商同意的新支付服务准则(Payment Service Directive 2，PSD2)正式实施。

新准则进一步加强了对消费者个人信息的保护：主要针对支付发起服务的提供商，对账户信息获取条目进行了补充，增加了严格的限制，要求支付服务提供方在进行支付服务时必须获得授权；不得让任何第三方知悉用户的个人安全凭证，确保用户的其他任何信息只提供给收款人；不得存储与支付服务用户相关的敏感支付数据；不得要求用户提供任何与进行支付无关的信息；不得使用、获取及储存支付服务规定以外的数据[9]。

(二)美国对互联网支付的立法与监管

1.对非银行支付及隐私权保护的法律规定

在美国联邦银行法案中，对非银行支付机构提供金融产品与服务起到规制作用的法律有：其一，《电子资金转移法》(Electronic Fund Transfer Act, EFTA)，设定了通过电子手段为消费者提供资金转移业务的各方当事人的权利与义务；其二，《银行保密法》(Bank Secrecy Act, BSA)，为参与资金转移的机构设定了反洗钱的标准；其三，《诚实借贷法》(Truth in Lending Act)，为放贷者发放信贷设定了相应的信息披露关键条款与标准。

电子资金转移法(Electronic Fund Transfer Act, EFTA)和规则E(Regulation E)及执法机构消费者金融保护局共同建立了关于消费者使用替代支付服务的基本权利、义务与责任，但对使用这些替代支付服务的消费者并没有更充分保护，且对“金融机构”和“账户”等关键概念的范围没有进行明确。这些缺陷可能导致消费者在使用替代支付服务时，由于未经授权的替代服务账户付款而面临无限责任的损失。因此,为了确保规则E能够广泛适用于所有替代性金融服务,消费者金融保护局应该消除金融机构持有的关于“账户”的定义,并提供关于“活期存款”和“资产账户”明确的定义与范围。此外,消费者金融保护局有权根据规则E对贝宝公司等进行监管。正如电子资金转移法授予消费者金融保护局广泛的自由裁量权来改变监管的建议一样，这种变化不会从根本上改变规则E的本质，但会为消费者提供必要的保护[2]。

美国关于非银行金融机构对信息权的保护主要规定在1999年的《格兰姆-里奇-布利雷法》(Gramm-Leach-Bliley Act，GLB)中。该法规定未经消费者同意，金融机构不得将消费者的个人隐私透露给任何第三方。对于何为“金融机构”，该法案的定义则相当宽泛，包括任何从事《1956年银行持股公司法》(BHCA)第(k)(4)条规定的9项活动以及美联储以条例或命令的形式规定的金融活动。根据此规定可以推断，提供网上支付业务的非银行机构同样属于1999年GLB法案中所指的金融机构，需要承担保护消费者隐私的义务[10]。具体做法是，支付机构需要向消费者提供一份隐私通知，同时还要遵守1999年GLB法案第5章的规定以及联邦贸易委员会的隐私规则，禁止任何人获取或试图获取、或向任何人披露、或试图披露金融机构中另一个人的个人信息。《多德-弗兰克法案》再次明确了金融机构最低限度的个人数据保护标准，规定除非征得消费者同意，否则金融机构不能直接或间接地通过一个附属机构，将非公开的个人信息透露给没有关联的第三人[10]。

2.互联网支付监管机构

对互联网支付活动进行监管的主要监管机构是美国消费者金融保护局(CFPB)，该机构对给消费者提供金融产品与服务的机构具有广泛的权力。美国联邦贸易委员会(FTC)有权对非银行机构履行联邦消费者保护法案的情况进行执法。*Understanding FINTECH And Banking Law-A Practical Guide, Thomson Reuters, 2015-2016 Edition.金融犯罪执法网络(FinCEN)是设在美国财政部的一个机构，其对于参与资金转移与进行支付业务的非银行机构履行联邦反洗钱法具有执法权力。

不同于欧盟和其他国家自上而下的执法,联邦贸易委员会的执法是自下而上的。由于适度的执法举措以及联邦贸易委员会的隐私执法原则并没有发展为司法判决,因此，联邦贸易委员会的执法也常常被忽视与低估。但是，联邦贸易委员会绝不仅仅是自律监管的“橡皮图章”，有美国学者一直在呼吁要关注与重视联邦贸易委员会在消费者个人信息与隐私领域的执法作用[11]。

(三)域外法律制度对中国的启示

1. 加强执法机构的有效执法

虽然美国有众多的机构监管，但也留有大面积未受管制的领域,特别是在联邦政府层面。如有学者提出，没有联邦法律对如梅西百货和Amazon等公司进行隐私数据的收集与使用的行为进行直接规制，也没有联邦法律关注Facebook和谷歌等公司的数据收集行为，大多数州的法律是无效的[11]。

1995年在国会的敦促下,联邦贸易委员会开始参与消费者的隐私保护。联邦贸易委员会最初鼓励自律,因为担心过度监管会抑制在线活动的增长，且没有创建法律规则,仅负责执法。《联邦贸易委员会法案》没有规定特定贸易类别的个人信息，相反,是通过具体执法来禁止不公平或欺骗性行为对消费者个人信息的侵犯的。尽管美国联邦贸易委员会管辖权和资源有限，但其通过处理投诉、同意法令和各种报告等创建了一套隐私权保护的普通法原则，成为美国隐私监管体系最重要的组成部分。

由此，值得我们借鉴的是，面对日益复杂的互联网金融发展环境，加强执法机构的有效执法非常关键。

2.加强对金融消费者的兜底保护

美国金融消费者保护局可以通过立法来界定金融产品或服务的范围，包括很多由科技公司或非银行公司开发的金融产品或提供的金融服务，如转移或交换资金，出售、提供或发行储值或支付工具，支票兑现；通过技术手段为消费者提供支付或其他金融数据处理或服务等。即使这些产品或服务是由消费者基于个人或家庭目的使用的，金融消费者保护局也拥有监管权力。美国金融消费者保护局有能力向立法列表中添加其他产品和服务。当然，将该产品或服务添加到列表中的原因是多种多样的，如发现产品或服务进行有目的逃避任何联邦消费者金融法律，或允许银行或金融控股公司提供该业务，或可能会对消费者产生实质性的影响等。*Understanding FINTECH And Banking Law-A Practical Guide, Thomson Reuters,2015-2016 Edition.美国金融消费者保护局对直接提供金融产品或服务的非银行机构具有调查和执法的权力，既包括基于违反联邦消费者保护法提起民事诉讼，也包括对进行不公平、欺骗性行为或滥用权利行为的科技公司与非银行机构采取执法行动。美国消费者金融保护局的使命就是保护消费者，其几乎完全独立，没有监督,而且拥有非常大的财政预算。需要注意的是，保护局实际上并不取代任何其他机构,其目的是为令人困惑的地盘之争导致的复杂的金融服务监管环境增加另一层合规监管，成为金融监管的增量或补充。*Adam W. Snukal，Joseph I. Rosenbaum，Leonard A. Bernstein，Cloud Computing-Transcending the Cloud: a Legal Guide to the Risks and Rewards of Cloud Computing, Part One, Consumer Fiance Law Quarterly Report, 2011.

因此，对于中国的互联网支付领域来说，也需要一个具有类似监管权力的消费者保护机构，以加强对金融消费者的兜底保护。

四、完善中国互联网支付消费者信息保护制度

任何行业都面临着监管和创新的永恒博弈难题。互联网支付需要立法确认边界，而边界划得是否合适也至关重要。对于完善互联网金融信息保护制度来说，立法完善、行业自律和政府监管都不可或缺。但是，面对互联网金融日新月异的快速发展，强调自我监管与有效执法似乎在当前中国会更有效率。

(一)立法完善

对个人数据包括隐私数据进行法律保护的根本目的，是在安全性的前提下促进数据的合理流通和合理利用，从而创造更大的经济价值。互联网支付领域的个人信息保护应围绕个人信息安全和促进信息合理利用两条主线进行。

在网上支付领域，对个人信息和支付信息的收集无处不在。中国的新《消费者权益保护法》第29条虽然就消费者的个人信息权做出规定，但对于已经进入大数据时代的互联网支付行业来说，这样的规定仍显不足。在具体的金融活动中,基础性的法律安排对信息安全保护力度还远远不够。为此,央行为保护个人信用信息,还另外颁布了《个人信用信息基础数据库管理暂行办法》《个人信用信息基础数据库数据金融机构用户管理办法》《个人信用信息基础数据库异议处理规程》等一系列规章制度,对信息采集、保存及运用等方面进行了规范,并规定了授权查询、限定用途、保障安全、查询记录以及违规处罚等监管措施,严格保护信息安全。但要保护互联网融资参与各方的信息安全,还要构建具体的适应互联网融资活动特点的信息安全保护监管机制,进一步明确各参与方的义务,特别是融资平台的信息安全保护义务[12]。

(二)加强行业自律管理

自律在许多行业是至高无上的准则。2013年，中国支付清算协会印发《支付机构互联网支付业务风险防范指引》，这是国内第一部针对互联网支付业务风险防范操作的具体规范性文件，填补了互联网支付风险管理自律规范的空白。但是，实践中还缺少进一步提高法律效力的立法，自律监管的力量较为薄弱。中国人民银行《非银行支付机构网络支付业务管理办法》规定支付账户的开立应实行实名制，支付机构不得为客户开立匿名、假名支付账户。网络支付实名制的推出，将对规范和促进互联网支付业务发展和网络支付的安全发挥重要作用。用户风险防范的首要环节是用户注册审查，包括实名制要求、用户身份信息审核、用户申请资料保存等。

2015年12月，经国务院批准，中国互联网金融协会成立，它是中国第一个承担特殊职能的全国性行业协会，旨在通过自律管理，规范从业机构的市场行为。其职责之一就是制定互联网金融领域业务和技术标准规范、职业道德规范和消费者保护标准，并监督实施，建立行业消费者投诉处理机制。在信息保护方面，互联网金融协会应制定细化的具体标准，针对第三方支付机构要求消费者注册时提供的各种信息，履行保密和不得随意泄露的义务。

(三)互联网支付的新监管模式

1.加强互联网支付服务商的自我监管

互联网支付服务商要制定有效的信息保护规则，加强自我约束与监管。金融机构是信息安全的创新者。2013年，美国金融机构数据泄露比例仅为3.7%。*Eric Naing, Banks: added consumer data protections unnecissary, CQ Roll Call, August 8, 2014.监管机构制定的指导方针和行业组织进行的自我监管,尽管没有法律效力,但被认为是保护消费者个人信息的最佳实践。因此，美国大部分区域没有对任何特定行业法规的监管,但相当数量的公司都有隐私政策，隐私政策由联邦贸易委员会执行[11]。正如美国学者所提出的，第三方服务提供商要保证数据安全。互联网支付服务商还可以在合同中增加信息保护的条款,要求供应商确保适当的安全控制，这些安全控制包括加密和安全的数据传输及存储等。美国在加强互联网支付服务商自我监管方面的经验值得中国借鉴。

从中国互联网金融发展的实践来看，由于成文法传统以及立法的复杂与缓慢，急于立法并不能有效解决互联网金融问题。我们应该充分利用现有的法律规则，明确监管机构的执法准则，强调互联网金融服务商的自我监管，这是应对互联网金融快速发展、有效保护消费者信息权的最有力举措。

2.加强对个人信息保护的有效执法

美国对第三方支付机构执行的是功能监管，将第三方支付视为传统金融服务的延伸，并强调监管机构的有效执法。欧盟强调的则是机构监管，针对第三方支付机构制定了电子货币法律体系。而当前中国并未形成明确、清晰的监管理念[5]。目前，对第三方支付进行监管的主体是中国人民银行，其职责主要是对第三方支付机构的资质进行审查，对支付交易中的金融风险和法律风险等进行管理和监控，而对信息安全风险的日常监管尚无明确的要求和执行标准。

中国人民银行制定的《非金融机构支付服务管理办法》规定，第三方支付机构有权利要求消费者提供有效身份信息并核对客户的有效身份证件或其他有效身份证明文件，同时对客户身份基本信息进行登记保留，也有义务安全、妥善保管客户身份基本信息、支付业务信息等。2015年底，中国人民银行制定并公布了《非银行支付机构网络支付业务管理办法》，规定支付机构应当依照中国人民银行有关客户信息保护的规定，制定有效的客户信息保护措施和风险控制机制，履行客户信息保护责任。支付机构不得存储客户银行卡的磁道信息或芯片信息、验证码、密码等，原则上不得存储银行卡有效期。因特殊业务需要，支付机构确需存储客户银行卡有效期的，应当取得客户和开户银行的授权，以加密形式存储。支付机构应当以“最小化”原则采集、使用、存储和传输客户信息，并告知客户相关信息的使用目的和范围。支付机构不得向其他机构或个人提供客户信息，法律法规另有规定及经客户本人逐项确认并授权的除外。鉴于客户在网络支付业务中可能面临资金被盗、信息泄露等风险隐患，在维权过程中往往处于相对弱势的地位，为保障客户合法权益，该办法结合支付机构目前在客户权益保护方面存在的不足，在知情权与选择权、信息安全和资金安全等方面都明确了具体的监管要求。围绕客户管理、业务管理、风险控制、消费者利益保护，建立了一个利益相对均衡的监管框架。

这些规定体现了中国人民银行在互联网支付领域对消费者信息保护的重视，但这些规定仍比较原则，需要加强监管机构在保护消费者个人信息领域的执法权限，同时可以利用社交网络加强对金融消费者的教育。

美国联邦贸易委员会可以对违反隐私政策承诺的公司提起诉讼，对于任何欺骗性的或不公平的行为都有管辖权。这个事实已经说明联邦贸易委员会在涉及隐私方面比其他任何机构都拥有更广泛的管辖权[11]。而金融消费者保护局对直接提供金融产品或服务的非银行机构具有调查和执法的权力，包括基于违反联邦消费者保护法提起民事诉讼，也包括对进行不公平、欺骗性行为或滥用权利行为的科技公司与非银行机构采取执法行动。因此，我们可以借鉴美国对消费者个人信息与隐私保护在执法领域的经验，赋予执法机构在个人信息保护方面广泛的管辖权及对侵犯个人信息的执法权，执法对象并不仅限于金融机构，而是包括所有提供金融产品和金融服务的科技公司或非银行金融机构等。

[1]乔奇兵.基于互联网支付的互联网金融渗透逻辑[EB/OL].(2016-01-15).http://www .doc88.com.

[2]PACIFICI E.Making PayPal Pay: Regulation E and Its Application to Alternative Payment Services[J].Duke Law & Technology Review,2015,(13).

[3]中国人民银行支付结算司.互联网时代的支付变革[EB/OL].(2016-05-15).http://www.pbc.gov.cn/zhifujiesuansi/128525/128531/2811423/index.html.

[4]尹振涛.对第三方支付管理办法解读的再解读[N].企业家日报,2015-08-09(003).

[5]包丽红,封思贤.第三方支付监管机制的国际比较及启示[J].上海经济研究,2015,(11).

[6]NAING E.FTC Report Warns Companies of Big Data’s Limits[J].CQ Roll Call, January 7, 2016.

[7]刘越.移动支付：支付宝服务协议与消费者权益保护[J].北京航空航天大学学报:社会科学版，2015,(6).

[8]何晓明,王婧.个人信息保护立法及监管要求[C]//德勤企业风险:第六辑.上海：上海交通大学出版社,2013:4.

[9]梁伟.欧盟新支付指令解读[J].中国征信,2016,(1).

[10]任超.网上支付金融消费者权益保护制度的完善[J].法学,2015,(5):88.

[11]SOLOVE D,HARTZOG W.The FTC And The New Common Law of Privacy[J].Columbia Law Review, Vol.114,2014.

[12]李有星,陈飞,金幼芳.互联网金融监管的探析[J].浙江大学学报:人文社会科学版，2014,(4):96.

[责任编辑：朱磊]

2016-05-20

教育部人文社会科学一般项目“互联网金融领域信用法律体系的构建”(14YJA820033)；2016年度校级科研项目(2016XJ07)；上海市法学类高原学科金融法方向资助

赵园园(1978—)，女，副教授，法学博士，美国杜克大学访问学者，从事经济法、金融法研究。

D922.28

A

1002-462X(2016)08-0090-06