支付平台境外拓展的法律风险
2018-05-14张浩陈全思
张浩 陈全思
从全球范围来看,第三方支付未来具有较大的发展空间,我国互联网第三方支付平台也正在依靠先进的支付模式和支付技术走出国门。但是,拓展境外业务存在多重法律风险。本文就我国互联网第三方支付平台境外拓展的法律风险进行深入探讨,并提出相关合规建议。
我国支付平台的“全球化战略”
第三方支付平台(以下简称“支付平台”)是指从事第三方支付服务的非金融机构。根据《非金融机构支付服务管理办法》的规定,我国将第三方支付认定为非金融机构支付服务,指非金融机构在收付款人之间作为中介机构提供网络支付、预付卡的发行与受理、银行卡收单和中国人民银行确定的其他支付服务中部分或全部货币资金转移的服务。截至2018年1月,我国拥有第三方支付牌照的公司有247家,主要分为以支付宝、财付通为代表的互联网型公司和以银联支付、快钱为代表的金融型公司两大类。
目前,我国第三方支付市场基本形成双寡头格局。艾媒咨询数据显示,2018年第一季度支付宝与财付通占据中国第三方移动支付交易规模市场份额的90.6%,市场集中度高。
在国内市场基本成熟的情况下,两大支付巨頭逐渐将视野投向境外。从2015年开始,支付宝和微信开始大规模拓展境外支付场景,以满足中国消费者的跨境支付需求为导引布局境外市场,并在短短两年间取得了骄人成绩。截至2017年底支付宝已覆盖到除中国大陆以外的36个国家和地区,支持18种货币结算。微信支付的跨境业务也已登陆包括韩国以及我国香港、澳门、台湾等在内的20个国家和地区,支持英镑、港币、美元等超过10种外币直接结算。
目前,支付平台拓展境外业务的方式主要是两种,一是通过与当地金融、零售等企业和零售商的合作,实现线上线下门店支付合作。以支付宝为例,在2016-2017年间,蚂蚁金服分别与香港移动支付系统开发商YedPay和Valoot、法国巴黎银行、德国支付服务商Wirecard、美国支付服务公司 First Data、泰国支付公司Ascend等金融、零售公司达成合作。同时,支付宝也积极与境外零售商、小商户合作,不断拓展支付场景,试图覆盖机场便利店、旅游景点等国人旅游、购物的主要聚集区域。
二是通过境外投资的方式,将支付服务延伸到其他国家和地区,成立合资公司或者收购股份的方式在一定程度上具有更高效率,能够短时间内解决牌照、人才、文化冲突等问题。蚂蚁金服分别投资了印度最大的移动支付平台Paytm、菲律宾数字金融公司Mynt、韩国政府批准的互联网银行K-Bank和支付服务供应商KICC等,期望以此种方式获得目标国家和地区的支付牌照,开拓支付业务。
跨境支付是我国支付平台拓展境外业务的主要驱动力。我国支付平台之所以能在短短两年之内打开如此多国家和地区的市场,重要原因在于出境游在我国的盛行。受此影响,跨境支付也就理所当然成为支付平台境外业务的核心。
伴随着我国支付平台纷纷开展全球化战略,由于各地监管理念和模式的不同,支付平台在“走出去”后常面临合规问题。此前有报道称,支付宝在台湾等地遭到当地金融监管部门的警告,称其当面付产品有触及监管红线的嫌疑。另外,泰国央行也曾对微信支付发出警告,称微信支付在泰业务并未获得授权,提醒商家谨慎使用。
面临国内外双重法律风险
支付平台拓展境外业务会面临完全不同的法律和监管环境,同时也会受到更多法律的规制,因此对于支付平台要高度关注境外业务的合规性问题。
我国对支付平台监管的主要法律依据是中国人民银行制定的部门规章、规范性文件,包括支付机构管理和跨境结算等方面的规定。此外还有网络安全法的相关规范要求。根据这些法律规定,我们认为支付平台的境外经营活动可能涉及到的法律风险包括以下几点:
支付结算要求
《非金融机构支付服务管理办法》第四十三条规定了对“转让”“出租”“出借《支付业务许可证》”和“超出核准业务范围或将业务外包”行为的罚则。支付平台的境外业务可能存在多种形态,包括独立开展境外业务,与国外企业合资或合作开展相关业务等形式。在与国外企业的合作过程中可能出现部分业务外包的情况,也有可能超出核准业务的范围,甚至可能涉嫌转让或出借《支付业务许可证》。在境外本土支付业务中,此类情况主要受所在国法律规制,但是对于跨境支付业务,由于支付平台、用户都是中国的法人或公民,根据属人主义原则,上述行为受到我国法律约束。而根据支付服务管理办法第四十三条,两类行为情节严重的,中国人民银行将注销其《支付业务许可证》。国内首例被注销支付牌照的浙江易士就被指存在“超范围经营支付业务等重大违规行为”。截至今年1月,央行已经分5次陆续注销了28家支付机构的支付牌照。
外汇管理要求
《支付机构跨境外汇支付业务试点指导意见》第八条规定支付机构不得为以下交易活动提供跨境外汇支付服务:不符合国家进出口管理规定的货物、服务贸易;不具有市场普遍认可对价的商品交易,以及定价机制不清晰、存在风险隐患的无形商品交易;可能危害国家、社会安全,损害社会公共利益的项目或经营活动;法律法规及人民银行、外汇局规章制度明确禁止的项目。该条规定一共限制了四类交易活动,其中第二类交易的规定相对模糊,相应的法律风险值得关注。电子商务领域创新活跃,互联网支付平台结算的商品和服务可能未必存在市场普遍认可的交易对价,新业务、新领域的无形商品也很可能缺少清晰的定价机制。支付平台在为此类商品或服务交易提供结算服务时要特别注意其中的法律风险。
个人信息和重要数据存储要求
《网络安全法》第三十七条规定关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门与国务院有关部门制定的办法进行安全评估。由于我国互联网金融快速发展,支付平台的影响力和重要程度日益加深,支付平台应当被视作关键信息基础设施,因此必须遵守相关信息存储要求。在境外支付场景中,尽管支付平台的一部分服务行为发生在境外,但其境内相关部门和软硬件也在提供运营支持,因此支付平台为消费者提供境外支付服务仍应被视作在境内运营。但同时相关交易数据很可能被一些国外政府要求向其提供或存储在境外。支付平台应高度重视向境外提供其收集和产生的个人信息和重要数据时,相关操作的合规性。
支付平台拓展业务,特别是从事本地支付业务的过程中,难免涉及本地公民个人信息等数据问题,目前,虽然国际上对数据权属尚无定论,但是以欧盟、美国为代表的许多国家采取了保守型做法。其中最鲜明的问题具体如下:
数据存储、安全问题备受重视
一是本国化储存问题。严格限制本国公民的数据存储地点,要求相关业务运营者在本国境内开展业务时产生和收集的数据应当在其本国境内存储。据相关专家的统计,目前大约有二十多个国家对数据的本国化存储作出规定,其中,俄罗斯、澳大利亚等国通过立法的形式对数据的流动进行了动态调整和控制。
二是数据安全问题。随着数据资源化的趋势,越来越多的国家开始重视用户与网络服务提供商之间的数据安全问题。保守派在该领域主要体现在国家对收集、使用用户数据,用户的控制权保障和信息透明性等多方面具有严格要求,发展让位于安全。其中以欧盟立法最为严格,其近期生效的《通用数据保护条例》(General Data Protection Regulation,以下簡称“GDPR”)被认为是最严格的数据隐私保护法律。一方面,该条例要求其管辖范围内的相关公司披露其收集、存储和处理用户数据的方式,并赋予欧盟用户从任何公司获得其个人数据的副本、要求该公司删除个人数据的权利。另一方面,其管辖范围除了传统的“属地管辖原则外”,还采取了严格的“属人管辖原则”。根据其第一章第三条规定,本条例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。也就是意味着,即使支付平台在欧盟境内没有设立机构、未开展本土支付业务,但其在提供跨境支付业务服务的过程中收集或处理欧盟公民数据,也应当适用该条例,将数据储存在欧洲。而不遵守GDPR的企业可能需要面临着2000万美元或4%年营业额的罚款。
虚假信息、违规行为损害行业发展
过分强调效率可能会使支付平台的风险转向刑事等强制性风险。第三方支付作为一种新兴业态,相关行业法律和规范尚不成熟,甚至在很多目标国家暂无此类法律法规。在此种背景下,时间和效率决定了支付平台是否能实现利益最大化。为保障效率,支付平台往往会采取“先推广后完善”的经营策略,导致先推广的支付系统存在一定的盲区,容易制造虚假身份和虚假交易等虚假信息。有专家指出,缺乏监管时,通过第三方支付平台进行的非交易性支付,以及具备监管时,通过第三方支付平台进行的虚假交易支付,都可能造成非法套现和洗钱。虽然目标国家的第三方支付相关法律可能不成熟,但是非法套现、洗钱等金融安全问题是每个政府都极为重视的,虚假信息的滥用可能会导致其他强制性法律风险的提高,反而会对行业发展造成损害。
虽然支付平台积极采取合规方式拓展业务,但是商家的违规行为可能会使支付平台的努力付之东流。2018年5月28日,越南以“非法支付结算”为理由出台了对支付宝和微信支付的禁令。而在2017年,支付宝和微信通过努力刚刚与越南中介支付机构VIMO达成合作。而此次被禁的原因是许多中国店主在越南经营时,未使用Vimo,而是直接使用国内的POS机或二维码进行收付款,从而使得资金结算脱离越南的监管机关监管,造成其税收和外汇损失。
因地制宜 加强合规性建设
主动适应监管强度的增加
国内监管部门对于支付平台的监管日趋加强,对于支付平台的资金管理、支付额度、支付方式等等规范日渐增多。网络安全层面,国家对关键信息基础设施和个人信息、重要数据的保护越发重视,下一步对于支付平台的境外经营行为的规范相信也会逐步纳入到监管机构的议事日程。支付平台弱监管的时代已经过去,企业必须主动适应监管规则和力度的变化,在业务创新和发展的同时,也要高度重视金融安全和信息安全,对于境外经营行为,这两个问题更加重要。
重视区域性差异
无论在哪个国家,合规都是公司业务发展基本要求。但是由于文化背景和国情的影响,不同的国家和地区的合规范围和宽松程度是不同的。针对东南亚国家等发展中国家来说,政府积极的监管态度使合规工作更加关注准入、合同等基本要求。我国支付平台境外业务的拓展,不但带动了发展中国家当地电商及互联网经济的发展,而且降低了当地用户获得金融服务的门槛,受到了广泛认可。而欧美等发达国家对于新兴的互联网金融业务,特别是我国支付平台境外拓展业务的态度则谨慎得多。蚂蚁金服收购美国速汇金(MoneyGram)失败的案例就是这一态度的典型。因此,支付平台在拓展境外业务时应注重因地制宜,而不能“照搬照抄”业务模式和发展理念。在寻求发展的国家,可以采取与本土公司合作的方式,让本土公司来主导或协助合规工作。这种模式能够极大地减少支付平台的成本,规避合同、准入等部分合规风险。而针对保守型的国家,应特别重视隐私、反腐败等方面的合规,尽可能地在业务拓展之初即“打好地基”。
灵活维权 不惧诉讼仲裁
发生争议或纠纷,要以灵活的方式维护合法权益。诉讼跨境维权具有费用高、时间长、保密性低和法律不熟悉等特点,这严重影响业务开拓的进程。因此,对于商业争议或纠纷选择商业谈判和调解等灵活方式解决,具有更高效率和更好的可操作性,但要警惕商业贿赂问题。鼓励以灵活的方式维权并不意味着要放弃或者避免以诉讼的方式维护合法权益,必要时以诉讼或仲裁程序维权更为适宜。
总之,支付平台在境外业务拓展的前景广阔,但须高度重视国内和所在国的法律合规要求,严格遵守支付结算、外汇管制、网络安全等方面的规定,保障用户信息和重要数据安全,做好与监管机构的沟通工作,使境外业务平稳安全有序开展。