陈晨

随着我国电子商务市场的蓬勃发展，日趋繁荣的第三方支付业务为商业银行带来了新的发展机遇，也让商业银行面临诸多新的风险问题。本文拟在厘清第三方支付业务相关法律关系及民事责任分配机制的基础上，针对商业银行关注的问题和面临的挑战，提出切实可行的应对措施。

法律地位

一般而言，第三方支付是由合法授权的机构所提供的，为实现用户、商户两端线上资金转移、支付结算而设立并提供的与银行相关结算系统关联的接口和通道服务，从而将商户、客户及结算银行构建链接关系，实现资金安全交易结算的支持工具与功能载体。

现行法律和政策性文件对第三方支付的表述不完全一致。根据《非金融机构支付服务管理办法》规定：“本办法所称非金融机构支付服务，是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务：（1）网络支付;（2）预付卡的发行与受理;（3）银行卡收单;（4）中国人民银行确定的其他支付服务。本办法所称网络支付，是指依托公共网络或专用网络在收付款人之间转移货币资金的行为，包括货币汇兑、互联网支付、移动电话支付、固定电话支付、数字电视支付等。”中共中央正式发布《促进互联网金融健康发展指导意见》，使用了“互联网支付”一词，用来指代“通过计算机、手机等设备，依托互联网发起支付指令、转移货币资金的服务。”根据《非银行支付机构网络支付业务管理办法（征求意见稿）》的规定：“支付机构是指依法取得《支付业务许可证》，获准办理互联网支付、移动电话支付、固定电话支付、数字电视支付等网络支付业务的非银行机构。网络支付业务，是指客户通过计算机、移动终端等电子设备，依托公共网络信息系统远程发起支付指令，且付款客户电子设备不与收款客户特定专属设备交互，由支付机构为收付款客户提供货币资金转移服务的活动。”

第三方支付主要参与主体有四方：付款方（买方）、收款方（卖方）、商业银行、第三方支付机构。第三方支付机构和银行之间的法律关系是服务合作关系，主要体现在实际交易中的两个阶段。

第一阶段，付款方进行在线资金划拨，通过第三方支付的网关进入到银行的网关中进行转账，付款方银行确认银行卡真伪、客户预留信息以及转账金额，按指令将资金划拨到第三方支付的虚拟账户中。在此阶段，银行在与第三方支付机构的合作中，主要承诺如下义务：确认付款方银行卡真伪;按照付款方指令完成资金的划拨。银行的主要权利是，完成指令人发出的正确指令或者拒绝指令人发出的不符合规定程序的、无法执行的、无效的指令。

第二阶段，在付款方通过第三方支付平台发出确认收货并支付货款的指令后，第三方支付就会通知银行将存放在其账户中的资金划拨至收款方账户中。在此阶段，银行在与第三方支付平台的合作中，主要承担的义务是依照第三方支付的指令进行资金划拨。

银行与付款人存在信用卡或借记卡合同关系，对银行来说，其负有按照付款人指令将存款支付给收款人或其指定的代理人、保障存款人资金安全等义务;对付款人来讲，其负有妥善保管银行卡信息及密码的义务。两者之间是传统的金融服务合同关系，虽然因第三方支付机构的介入，两者在客户身份识别、客户资金和信息安全等方面的义务增多，但是两者的基础法律关系仍然未发生变化。

面临的风险

第三方支付机构主体资格及经营范围风险。《非金融机构支付服务管理办法》规定了非金融机构提供第三方支付服务的主体资格条件：“非金融机构提供第三方支付应当取得《支付业务许可证》，成为支付机构;支付机构须依法接受中国人民银行的监督管理，未经中国人民银行批准，任何非金融机构和个人不得从事或变相从事支付业务。”从事第三方支付除应当具有符合条件的主体资格外，经营范围也有较高要求：“支付机构应当按照《支付业务许可证》核准的业务范围从事经营活动，不得从事核准范围之外的业务，不得将业务外包。支付机构的分公司从事支付业务的，支付机构及其分公司应当分别到所在地中国人民银行分支机构备案。”根据以上要求，第三方支付机构开展经营活动必须经人民银行审批，同时应该在核准经营的范围内开展经营活动。

目前，经人民银行审批合法经营的第三方支付机构共269家，主体资质良莠不齐，而商业银行与第三方支付机构的合作正处在探索阶段，虽然商业银行总行在合作机构的遴选和资质考察方面较为审慎严格，但是部分分支机构为完成内部经营指标考核，在遴选合作机构过程中，更加注重合作的第三方机构能否为自身带来更多的经营收益，合作的业务范围能否最大化的创造利润，因此在主体资格和业务经营范围方面的考察失于严谨。同时，因商业银行的分支机构相对独立，总行对分支机构的合作情况缺乏统一管理，更无法做到对合作第三方支付机构的动态监管，但是当一家分支机构的合作第三方支付机构出现风险时，往往导致出现全行性声誉风险。

第三方支付平台交易安全风险可能波及银行系统声誉或安全。第三方支付机构与银行各接口进行对接，集成网关，隔绝了商户网络、用户网络与银行网上银行之间的联系，虽然第三方支付在技术上不断取得突破，效率提升，安全保障功能也加强了，但是在第三方支付平台中的交易模式中，无论是签订服务合约还是进行资金的委托保管都是置于虚拟的网络环境中，而在交易过程中，因为第三方支付平台系统漏洞或者是网络钓鱼、木马病毒或黑客入侵导致的交易信息的泄露会极大的侵害交易者的财产安全权。消费者在自有资金受到损害时，通常认为保障资金安全是商业银行而非第三方支付机构的责任，第一时间联系银行寻求保护，无法追偿资金时，寻求多种手段向银行追偿，这种寻求救济的思路之下，商业银行极易产生被诉风险，若处理不当，更容易引发严重的声誉风险。

消费者隐私信息泄露被利用攻击银行客户账户。在第三方支付平台代收代付消费者资金的过程中，为了保证交易的真实有效性，第三方支付机构往往需要消费者提供一系列的个人资料信息，同时也可以利用技术方法获得更多他人的个人信息，如果这些留置于第三方支付平台数据库中的庞大个人信息群，一旦因为管理疏漏或者网络的客观风险泄露或扩散，被不法分子收集利用攻击银行客户账户，不仅导致客户财产及信息安全受到侵害，同时也使银行的账户安全遭到侵害，加重银行对客户账户的安全管理义务。

商业银行无法及时监测违法行为。由于第三方支付的主要目的是通过提供技术平台，促进交易顺利完成，对交易的目的、对象以及真实性并不刻意注重，因而极易导致违法犯罪行为的乘虚而入。在第三方支付中，通过一张信用卡、一个支付宝账号和互相串通的买卖双方，就可以将信用卡里的钱成功套现，而在交易中，商业银行只是被动接收付款指令，而不能掌握交易信息，很难对交易背景的真实性做出判断，一旦买卖双方互相串通，信用卡套现将会变得十分容易。此外，第三方支付是伴随网络经济的产物，网络经济除具有隐蔽性的特点外还具有匿名性，为洗钱犯罪提供了很大便利，商业银行很难根据《反洗钱法》的要求履行建立客户身份识别制度、客户身份资料和交易记录保存制度的义务，商业银行面临较大的反洗钱压力。

应对措施

目前，无论是从法律规范还是监管要求方面，都对商业银行提出了严格的责任，且随着消费者的维权意识日益加强，在运用法律手段维护自身利益方面，往往因为商业银行资金充足具备偿还能力，且其经营注重声誉风险等特点，最终选择由商业银行承担损失。在第三方支付业务领域，商业银行面临监管机构的严格要求和激烈的市场竞争，应当从外部合作、内部规范、符合监管需求等各方面加强完善，防范第三方支付业务中面临的法律风险。

谨慎选择合作第三方支付机构，完善双方合作协议。虽然人民银行出台《非金融机构支付服务管理办法》对第三方支付机构进行金融监管，并对其进行发放经营牌照，事实准入制度，但是因为互联网金融业务的繁荣发展，第三方支付机构中鱼龙混杂，由许多资质不佳的机构在市场中实施违法行为，通过与银行的业务合作，盗取银行的客户信息实施侵权行为，给合作银行造成了大量的资金损失，因此商业银行商业银行在与第三方支付机构合作过程中，一是须关注第三方支付机构的主体是否合法，是否符合现有规章制度，确保第三方支付机构主体资格合法合规;二是注意审核该机构《支付业务许可证》上已核准的业务范围，避免超范围合作;另外，还应动态关注该机构的经营状况，发现有超范围经营、业务外包、转让、出租、出借许可证行为的，应及时中止或终止业务合作。

商业银行应该根据新形势不断完善与第三方支付机构的合作协议，商业银行与支付机构签订业务合作协议时，应就非商业银行直接进行客户身份认证的批量扣款或电子支付，与支付机构就赔付问题达成一致。商业银行应在协议中明确约定由支付机构自行完成客户身份认证的资金支付，应有支付机构就客户资金被盗等风险事件承担先行赔付责任，并就此指定详细的操作流程，确保可行性及操作性。

严格做好客户信息安全与保密工作。商业银行与第三方支付机构合作开展各项业务，对涉及到的客户金融信息管理，应严格遵循有关法律法规和监管制度的规定，严格遵照客户意愿和指令进行支付，不得违法违规泄露。一是在客户身份认证方面商业银行账户与第三方支付机构首次建立业务关联时，应经双重认证，即客户在通过第三方支付机构认证同时，还须通过商业银行的客户身份鉴别。二是商业银行应构建安全的网络通道（如专线连接、VPN通道等），指定安全边界（如部署防火墙、DMZ隔离区等），防止第三方支付机构越界访问，确保客户信息安全。

加强内部制度管理，保障交易资金安全。一是商业银行应对客户的技术风险承受能力进行评估，客户与第三方支付机构相关的账户关联、业务类型、交易限额等决策要求应与其技术风险承受能力相匹配;二是将与第三方支付机构的合作业务纳入全行业务运营风险监测系统的监控范围，对其中的商户和客户在本行的账户资金活动情况进行实时监控，达到风险标准的应组织核查。特别是对其中大额、异常的资金收付应做到逐笔监测、认真核查、及时预警、及时控制;三是商业银行应通过电子渠道验证和辨别客户身份，应采用双（多）因素验证方式对客户身份进行鉴别，对不具备双（多）因素认证条件的客户，其任何账户不得与第三方支付机构建立业务关联;四是商业银行对账户与第三方支付机构建立业务关联的客户，应开通至少一种账户变动即时通知技术方式，并通过柜员介绍、短信提示、网站提醒、官方微博或微信提醒等多种渠道对客户使用第三方支付相关的商业银行产品或服务进行防欺诈知识宣传，使客户了解相关的基本常识以及常见的诈骗手段，引导客户提高风险防范意识。

建立联动风险防控机制。商业银行在加强自身体系防御和对第三方支付机构的监测基础上，加强与第三方支付机构和保险机构合作，寻求建立完备的风险防控体系和损失补偿制度。一是建立有效的风险信息沟通渠道。商业银行与第三方支付机构可以通过与客户签署三方协议的方式，在客户授权基础上及时分享最新的风险事件，识别外部欺诈手段，针对性的建立风险防控措施。二是探索成立风险事件披露平台。通过银行渠道、支付机构渠道及时向客户披露网络支付中的风险事件，提示客户防范外部欺诈。三是在信息共享的基础上建立风险防控模型。依托大数据技术，建立完善风险识别模型，准时和及时发现交易信息中的异常数据，为明确风险防控重点和指定针对性的风险防控措施提供支持。四是积极探索建立第三方支付损失保险制度。商业银行应该积极与保险公司合作，探索建立针对因外部欺诈等无法预测的风险导致的客户资金损失保障制度，当客户因外部欺诈或其他非本人原因导致账户资金被盗时，通过账户保险制度，积极对客户予以赔偿，以及时妥善解决客户资金损失产生的投诉等问题，有效防控矛盾升级导致的声誉风险。

（作者单位：中国工商银行法律事务部）