第三方支付的风险溯源与法律应对
2023-11-04闫夏秋
闫夏秋
(河海大学法学院,江苏南京 211100)
互联网金融推动金融市场发展,已经成为新的经济增长点。支付体系是金融制度的基础。[1]伴随着互联网金融的快速发展,第三方支付成为日常生活中非常重要的支付模式,催生了扫码支付、人脸支付等新型支付方式,改变了传统使用纸币的支付方式[2]。艾瑞咨询(iResearch)数据显示,第三方支付的交易规模从2016年的78.7万亿元迅速增长到2020年的271万亿元。[3]第三方支付成为互联网金融中最具竞争力的行业,对传统金融特别是银行业造成了巨大冲击。但与传统金融相比,第三方支付在市场和监管方面面临更多潜在风险,必须高度重视。
一、第三方支付市场相关问题与风险
第三方支付是互联网金融的重要领地,以市场作为配置资源的有效方式。市场机制以“无形之手”分配和利用第三方支付市场资源,发挥支配性作用。但市场机制存在固有缺陷,容易导致非效率,甚至引发系统性金融风险。
(一)市场垄断与不完全竞争风险
第三方支付行业高度集中,呈现垄断态势。艾瑞咨询数据显示,2020年第二季度,第三方移动支付的交易份额未能出现改善,支付宝与财付通依然保持垄断地位,两者合计占比为82.90%(其中支付宝占49.16%,财付通占33.74%)。[4]处于市场支配地位的第三方支付机构存在垄断行为,其垄断行为已产生多种垄断效应。一是第三方支付机构实施捆绑搭售等滥用市场支配地位的行为,如支付宝中的余额宝与天弘基金、华安日日新货币基金捆绑使用,限制消费者选择的权利和其他货币基金竞争的机会,挑战银行的支付主导地位[5]。二是为获得规模效应,部分第三方支付机构以企业合并的方式进入支付市场,如京东商城收购网银在线,导致第三方支付行业市场集中度进一步增加。三是第三方支付市场高额的准入门槛和前期巨额的广告推广费用形成了强大的资金壁垒,阻碍其他经营者进入。四是第三方支付市场高度垄断,各支付机构的用户服务协议雷同。第三方支付市场的垄断行为会加剧数据主体的信息弱势地位。对消费者而言,不同意支付机构的格式条款意味着退出第三方支付市场,面临很多消费上的不便。对商家而言,不同意支付平台和电子商务平台的用户服务协议意味着丧失第三方支付市场巨大的顾客流量,甚至退出电子商务市场。
(二)第三方支付负外部性与数据安全风险
外部性有正负之分。高效便捷的支付系统对资金清算结算、货币政策实施与实体经济发展具有积极影响,这是第三方支付正外部性的表现。第三方支付市场也会出现社会成本大于个体成本、个体收益大于社会收益的情形,这是其负外部性的表现。商业性和营利性是第三方支付机构的特性,它们主要关注产品创新与利益获取,容易忽视内部风险控制与社会公共利益维护。第三方支付机构数据安全能产生溢出效应,对金融行业稳定性具有重要影响。第三方支付机构数据风险引发的安全性危机会给国家安全带来隐患。第三方支付机构依靠互联网技术处理相关数据,具有操作风险和技术依赖风险。任何一个网络节点出现故障都可能引发整个支付行业的运行问题,影响金融网络安全。系统崩溃会导致大量交易支付无法完成,进而引发经济活动瘫痪;系统漏洞会导致消费者信息泄露,影响第三方支付市场良性运转,进而引发信用危机[6]。
(三)第三方支付机构营利性与过度趋利风险
一方面,第三方支付机构提供支付服务的目的是获取收益,其支付服务具有天然的私人产品属性;另一方面,第三方支付机构提供的产品(货币支付服务)具有非排他性和非竞争性,属于公共产品,同时第三方支付系统作为承担通道功能的金融基础设施的核心,也具有公共性和普惠性。可见,第三方支付机构提供的支付服务兼具私人产品和公共产品的双重属性。但从第三方支付服务提供机构的性质看,第三方支付服务在本质上仍然是私人产品。第三方支付机构具有营利性、商业性,其设计产品是为了获取商业利益。即使第三方支付机构提供的服务暂时是免费的,其获取的身份信息、位置信息、消费信息、资产状况等消费者数据,以及出货信息、资金流量、浏览记录等商家数据,也可为支付机构带来巨大收益。因此,私人属性和营利性是第三方支付机构和第三方支付服务最根本的特性。但支付系统事关社会支付安全,应该具有公共属性和非营利性。第三方支付机构的私人属性与第三方支付系统的公共属性并不完全匹配,这意味着第三方支付机构的价值取向与国家的政策方向难以完全一致,而单纯的市场机制是趋利的,无法调和与化解两者间的矛盾,在促使第三方支付机构发挥公共属性方面捉襟见肘。
(四)信息不对称与数据侵权风险
互联网金融是市场主体进行监管套利的自发选择。与传统产业相比,第三方支付市场拥有互联网和大数据优势,其信息收集相对充分和准确。随着第三方支付机构的出现,消费者和商家(收款人)的双方关系演变为消费者、商家、支付机构的三方关系,这有助于缓解消费者与商家之间的信息不对称问题,却会新增消费者与第三方支付机构之间的信息不对称问题。在第三方支付市场中,第三方支付机构为收款人和付款人提供支付中介服务,付款人(多为小额支付的消费者)与第三方支付机构之间存在严重的信息不对称问题。[7]其一,第三方支付机构能够通过提供优质服务获取消费者的身份信息、账户信息、支付数据,而消费者却很难获得第三方支付机构的责任分担、手续费等相关信息,处于信息弱势地位。特别是随着生物识别技术的引入,数据安全问题进一步扩大。[8]其二,第三方支付机构享有规则制定权,是规则的制定者、评判者和执行者[9],处于信息强势地位。其三,第三方支付用户服务协议制定修改以及隐私政策发布的方式会加剧信息不对称状况。第三方支付机构在协议更改后,仅通过APP 通知推送、官方网站发布等方式进行公告,同时规定消费者只要在政策更新后继续使用相关服务,即代表自愿接受新政策的约束。[10]在这样的公告方式下,消费者既无法及时获知和了解与自身利益相关的用户服务协议条款及修订内容,也无法充分表达自己的意思,其通过客服、官方热线、电子邮箱等途径向第三方支付机构反馈的意见或投诉很难获得支持。
消费者不仅处于信息弱势地位,还时刻面临信息安全问题。第三方支付的广泛性和普适性可为消费者带来诸多便利,但其在市场机制作用下存在明显的安全隐患。其一,第三方支付机构会在消费者选用支付服务时要求其提供大量的个人数据,存在过度收集信息的现象,这不仅会增加消费者使用第三方支付服务的时间成本,而且会加大第三方支付机构信息泄露对消费者的损害。第三方支付机构在消费者使用服务和进行交易的过程中,会获得大量关于消费者身份、交易、位置、偏好、还款能力等的个人数据,且只要法律制度未明令禁止,就不会主动予以删除。这使得消费者即使不再使用第三方支付服务,也时刻面临信息泄露的风险,消费者个人数据安全受到极大威胁。第三方支付机构售卖、泄露或被黑客盗取个人数据的情况时有发生,会严重影响支付市场信用、消费者隐私和国家数据安全。如滴滴公司就曾违规收集用户手机相册、乘客人脸识别数据、司机数据等,并因此于2022 年7 月21 日被国家互联网信息办公室处以80.26亿元的罚款[11-12]。其二,第三方支付机构对消费者个人数据的掌握程度甚至远远超过公安、银行、电信通信等传统数据收集系统,消费者在第三方支付机构面前几近透明,这些信息使以用户需求为目标的精准甄别成为可能,会让消费者丧失自由选择的权利。其三,第三方支付小额便捷、不受时间空间限制的特点,可为借助商户POS 机、虚拟产品等套现提供便利,使第三方支付机构能够利用在线服务的虚拟性隐蔽性特点提供洗钱途径,导致第三方支付市场资源配置效果受到削弱。第三方支付机构信息泄露现象频发,既危及消费者个人数据安全,也危及国家信息安全,亟待规范。
二、第三方支付监管相关问题与风险
第三方支付市场在形成之初,自身资源配置机制与自律机制尚未形成,需要政府通过准入、许可、整顿、惩戒直至吊销营业执照等方式进行强管控型监管。强管控型监管尽管可以在初始阶段规范第三方支付市场的发展,但其以政府监管替代市场机制,容易忽视真正的市场需求,难以当好市场的“守门人”[13]。而且这种强管控型监管容易导致监管过度,使第三方支付市场产生路径依赖,使市场资源配置能力持续弱化。
(一)准入门槛高与市场高度集中风险
充分的市场竞争有助于提高经济效率,保护消费者权益,高度垄断的市场结构会诱发系统性风险,损害消费者权益。我国第三方支付市场准入条件严苛,容易产生市场高度集中的风险,不利于市场竞争。其一,我国对第三方支付准入资本要求较高。根据2010 年中国人民银行发布的《非金融机构支付服务管理办法》(以下简称《管理办法》),计划从事第三方支付业务的机构应向中国人民银行申请颁发支付业务许可证(现已停止发放)。申请支付业务许可证需满足该办法关于准入资本的规定:拟在全国范围内从事支付业务的申请人,其注册资本最低限额为1 亿元人民币;拟在省(自治区、直辖市)范围内从事支付业务的申请人,其注册资本最低限额为3千万元人民币。较高的准入条件会助长第三方支付市场的规模效应和垄断优势。而根据欧盟2009 年发布的《电子货币指令》(Electronic Money Directive)规定,电子支付机构的准入资本金为35 万欧元。美国《统一货币服务示范法》(The Uniform Money Services Act)建议,第三方支付机构的市场准入许可资本金为2.5 万美元,保证金为5 万美元,每增加1 个营业点增加1万美元,合计不超过25 万美元。对比来看,我国第三方支付准入门槛较高,这在法律制度上对市场主体构成了进入壁垒,会影响支付市场竞争。其二,2015 年12 月以来,中国人民银行没有发放新的支付牌照,支付市场进入之门关闭。这意味着,即使第三方支付机构符合《管理办法》规定的申请支付业务许可证的标准,也无法取得支付牌照。
(二)退出机制僵化与监管缺失风险
对于第三方支付,我国尚未形成有序常态的退出机制,容易导致监管缺失。其一,我国第三方支付牌照周期长,退出频率低。欧盟电子支付机构牌照的有效期为2年,美国第三方支付牌照的有效期为1 年,而我国第三方支付牌照的有效期为5年。我国第三方支付牌照获取门槛高,但有效期长,这样的制度设计有助于减少监管机关审核成本,但缺点也很明显:一是会增加第三方支付机构进入的难度,降低第三方支付市场的流动性和灵活性;二是会降低监管机关对第三方机构真实资质掌握的及时性,不利于市场机制优胜劣汰作用的发挥,容易产生道德风险。其二,中国人民银行尚未形成一套有序常态的牌照审查和退出制度,对支付牌照的审核主要局限于续展时的审查。我国支付牌照的有效期为5年,需要在有效期届满前6 个月内申请续期。监管机关主要在续展过程中审核第三方支付机构运营状态和控制退出机构数量,容易放松对第三方支付机构的日常监管,难以及时掌握第三方支付机构的运行动态。在移动支付网查询非银行支付机构支付业务许可证数据①后发现,自2011 年5 月至今,中国人民银行共颁发了9 批共计271 张支付牌照,因存在不予续展情形而被注销或中止审查的支付牌照有83 张,目前尚有支付牌照188 张。第三方支付牌照的注销主要集中于续展申请期间,与存在不予续展②的情形有关,在中国人民银行的日常监管中未曾出现过注销牌照的情况。
(三)监管标准严苛与流动性不足风险
2015 年12 月中国人民银行发布的《非银行支付机构网络支付业务管理办法》(2016年7月施行)(以下简称《网络支付管理办法》)第八条和第九条规定,第三方支付机构不得为金融机构,以及从事信贷、融资、理财、担保、信托、货币兑换等金融业务的其他机构开立支付账户。该办法禁止第三方支付机构从事保险、信贷、理财等金融业务,并将之限定于零售支付服务业务,却按照金融机构的准入门槛和监管标准来管理,显然不甚合理。第三方支付机构的客户备付金集中存管比例由2017年的20%提高到2019 年的100%。且我国禁止第三方支付机构挪用备付金,以及利用备付金投资获取收益,这直接导致第三方支付机构的盈利点骤然减少。从第三方支付机构的盈利模式看,备付金利息是其原有的利润来源,取消备付金利息不仅会减少其获利渠道,而且会促使其将增加的运营成本附加到消费者身上,导致消费者福利减少。中国人民银行的备付金措施旨在引导第三方支付机构回归支付业务本源,而不是依靠利差获利,但第三方支付机构本就是营利性机构,将备付金存放到安全稳定的银行或货币基金获取收益,不仅不会影响其提供支付服务,反而会增加其提升服务质量的动力。比如,欧盟允许电子支付机构将备付金投资于银行储蓄、货币基金等低风险高流动性领域,并未影响支付机构提供支付服务。
(四)消费者权益保护薄弱与财产损失风险
强管控监管的一个重要特征就是对金融安全的维护优先于对消费者权益的保护。2019 年起《中华人民共和国电子商务法》(以下简称《电子商务法》)正式实施,其第五十七条首次引入“未经授权的支付”概念,并对未经授权支付,以及发现未经授权支付指令或收到用户支付指令未经授权的通知却未及时采取适当措施情况下用户与支付机构间损害赔偿责任的分配进行规定。但《电子商务法》施行后,司法实践中关于未经授权移动支付的民事案件并未直接引用该条款[14],而是根据用户与支付平台或银行签订的格式合同适用《中华人民共和国民法典》(以下简称《民法典》)第七条、第五百零九条以及第五百七十七条的规定,遵照诚实信用原则与合同严守原则来认定支付平台等是否应承担违约责任,或者根据《民法典》第一千一百九十四至第一千一百九十七条关于网络侵权的规定来判定支付平台是否构成侵权。可见,对于未经授权的支付,司法实践仍然按照合同约定确定,即对于既非消费者个人原因,也非银行或第三方支付机构原因导致的消费者损失,如未经授权的支付、盗刷行为等,由支付机构和消费者通过协议自行约定责任分担规则,但支付机构普遍会通过制定用户服务协议将自身责任转嫁给消费者[15]。比如,微信支付用户服务协议③规定了消费者承担责任的诸多情形[16],并以此作为机构的免责条款。有的用户服务协议看似双方当事人达成的合意,实则蕴含对消费者权益的侵害。我国相关立法对第三方支付机构的经营者属性重视程度不高,《电子商务法》关于消费者保护的法律规范操作性不强。中国人民银行发布的《网络支付管理办法》第十九条提出了建立健全风险准备金制度、交易赔付制度、及时先行全额赔付制度等一系列有利于保障消费者合法权益的规定,但这些规定仅停留于倡议层面,尚未在实践中得到落实。注重金融安全有助于减少纠纷,却容易导致对消费者倾斜性保护的忽视。
三、第三方支付双重风险的根源与化解思路
(一)双重风险的根源:第三方支付私人与公共双重属性的失衡
第三方支付面临市场与监管双重风险,存在收益降低、垄断积聚等发展瓶颈。第三方支付是互联网与支付业务跨界融合的产物。第三方支付机构作为市场主体,拥有独立资产与运行模式,是营利性企业,但其提供的第三方支付服务属于公共产品,这使其兼具私人和公共双重属性[17]。在以金融安全为先的强管控型金融监管机制下,第三方支付私人与公共双重属性的失衡成为导致第三方支付双重风险的根源。
1.第三方支付机构营利性与金融产品安全性的失衡
第三方支付双重风险产生的根源在于,第三方支付系统作为金融基础设施的公共性与第三方支付机构作为营利性企业的趋利性之间的矛盾。从营利性企业角度看,第三方支付机构拥有自己的股东和管理部门,是市场上的“理性人”,以趋利性为本质特征,需要创造更多利润。第三方支付机构无论是获取消费者信息,还是扩大经营规模、搭售金融产品等,均与盈利目的有关。第三方支付机构的业务行为、管理行为、产品研发行为,均具有趋利性。第三方支付机构作为市场主体,自主经营,自负盈亏,所提供的产品和服务均是基于消费者需求的市场选择。而第三方支付系统的漏洞修复和风险防控需要大量成本,出于成本和收益方面的考虑,支付机构对系统安全管理与维护缺乏积极性。
金融安全理论认为,对第三方支付的政府干预应以社会公共利益为主要目标。支付业务事关信用安全和隐私安全,监管机关不得不从金融安全角度进行监管资源配置。第三方支付机构有能力降低收款方和付款方的信用风险,但会借此收集大量的用户个人数据。第三方支付存在技术风险和操作风险,可能会泄漏用户信息,从算法上歧视用户,甚至侵犯用户隐私。监管机关更关注第三方支付系统的公共性和第三方支付市场的安全性,并因此针对第三方支付市场设置了较高的准入门槛和稳健的备付金管理制度。对第三方支付机构而言,这可在一定程度上帮助其提高资金实力,减少可能遇到的风险,但会加大其市场进入难度与经营成本,降低其进入市场的动力。第三方支付兼具私人和公共双重属性,这种特殊性与社会公共利益强调的安全性存在内生性冲突。
2.消费者权益与第三方支付机构利益的失衡
在第三方支付关系中,第三方支付机构利用优势地位侵害消费者权益,导致消费者权益难以得到充分保障。首先,在数据权益方面,未能明确界分消费者数据权利与第三方支付机构数据产权。消费者个人数据包括身份数据、消费数据、金融数据、家庭数据,具有一定的私人性,需要第三方支付机构予以保护。第三方支付机构作为危险的发起者和获利者,应对消费者数据承担安全保障义务。[18]《民法典》人格权编第一千零三十四条更是对个人信息权进行了确立。数字经济的发展使个人数据不再仅仅具有数据权利人的个人属性,亦出现了新的数据权益。第三方支付机构在收集、分析、整合数据以及构建数据集的过程中,切实付出了技术成本、时间成本和人力成本,应该享有一定的数据权益。但如果第三方支付机构在未获得消费者明确授权的情况下即将数据集出售、转让或供其他关联公司使用,会极大地损害消费者的数据权益。
其次,在规则制定方面,消费者权益难以得到保障。与第三方支付机构相比,消费者明显处于弱势地位。第三方支付机构通过合同或其他方式获得消费者授权并掌握消费者数据,进而通过数据分析与整合来为消费者提供更加精准和匹配的服务。第三方支付机构与消费者通过点击达成用户服务协议,表面上看是双方意思自治的表现,是市场主体之间的交易行为,实则是支付机构利用格式合同损害用户特别是消费者表达真实意思的权利,使消费者的知情权、决定权流于形式[19]。第三方支付机构可能会通过与消费者签订不合理的格式合同利用或出卖其掌握的消费者数据以换取金钱或其他资源,损害消费者合法权益。特别是第三方支付机构与商家签订的“二选一”协议,既会排除商家到其他平台参与竞争的机会,又会使消费者丧失自主选择的权利。在实践中,监管机关主要关注系统崩溃、信息泄露、机构退市等容易导致市场恐慌的问题,不够重视第三方支付机构与消费者之间用户服务协议的公平性。可见,单纯以私法的契约严守原则认定消费者与第三方支付机构之间的责任分担,容易导致消费者权益受损的情形。
3.私法保护与公法规制的失衡
私法与公法在价值取向上存在区别,私法注重赋权和权利保护,公法注重规制和风险防控。私法侧重保护市场主体的权益,致力于减少政府对市场主体的干预;公法侧重维护社会公共秩序和金融安全,而这会导致政府对市场主体干预程度和范围的增加。第三方支付具有私人与公共双重属性,面临私法赋权和公法规制的双重法域,在目前我国法律体系尚未实现协调统一的背景下存在冲突与失衡。这主要表现在两个方面:一是消费者私法保护与第三方支付机构公法规制的失衡。在私法视角下,第三方支付机构与消费者是平等的民事主体,平等民事主体达成的合意对双方当事人均有约束力,这也是第三方支付机构与消费者之间用户服务协议和隐私条款能够产生效力的原因。在公法视角下,第三方支付机构除具有市场主体地位外,还具有经营者身份和相对于消费者的强势地位。消费者与经营者之间地位的平等性需要倾斜性制度配置的保证。《民法典》《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)《电子商务法》《网络支付管理办法》等法律规范在价值取向上存在矛盾,对于第三方支付机构与消费者之间用户服务协议的效力,私法与公法未能协调一致。二是第三方支付机构私法保护与支付市场公法规制的失衡。支付机构作为独立的市场主体,拥有自己的管理部门和明确的经营方案,其目的是为投资人赚取利润。私法强调市场主体的意思自治,保护支付机构所拥有的资产、消费者数据、经营方式等,以促进市场机制在资源配置中作用的发挥。而我国经济特别是数字经济发展整体规划与目标的实现,需要第三方支付机构的配合,因此公法会在一定程度上抑制支付机构的意思自治,对支付机构的市场准入和经营行为进行规制。
(二)双重风险的化解:提升第三方支付法律规制的平衡性
政府对经济行为的干预需要考虑成本和收益问题。如果政府干预不能促进资源配置效率的提高,那么这种干预就是不必要的,应予以减免[20]。为以最小化的干预成本获取最大化的收益,可通过加强消费者权益保护来平衡第三方支付行业发展与社会公共利益维护的关系。第三方支付法律制度向消费者倾斜,不仅不会损害第三方支付机构的利益,不会增加政府监管成本,反而会倒逼第三方支付机构提升支付服务质量,修补支付程序漏洞,提供更优质、更有吸引力的支付服务,促进社会公共利益的最大化[21]。
1.正确认识金融安全与金融创新的辩证关系
第三方支付是互联网金融的重要组成部分,是电子商务迅速发展的基础和支撑。在互联网金融发展进程中,第三方支付的产生具有必然性,应予以保护。金融安全是金融监管的重中之重。在金融创新的大背景下,金融资源和金融数据快速流通,互联网金融、货币市场、资本市场等金融市场的关联性增强,金融风险交叉感染的可能性增大,系统性风险防控难度随之增加。
首先,完善第三方支付法律制度需要正确认识金融安全与金融创新的辩证关系。[22]金融创新要以不损害消费者权益为前提,健全消费者信息保护制度有利于金融创新。根据《中华人民共和国网络安全法》(以下简称《网络安全法》)第七十六条第(五)项,应以能否识别自然人个人身份为标准,对个人信息进行界定。以数据是否具有可识别性为标准,可将个人数据区分为原始数据和衍生数据两类。第三方支付机构在收集、存储、分析、使用个人数据时,要区别对待原始数据和衍生数据,对具有可识别性的原始数据给予特殊保护。在大数据时代,个人数据被收集、储存、转让是必然的,第三方支付机构对个人数据的利用也符合社会发展趋势。构建数据产权制度需要明确:界定数据权益的目的在于利用,而不仅仅在于确定权利归属[23]。在个人数据保护与支付机构数据利用之间,个人数据受法律④保护,但个人数据的自主利益应属于防御性或消极性利益。[24]对于非个人数据,因其属于匿名化的衍生数据,可赋予第三方支付机构比较大的处分权,无须再次获取个人同意[25]。
其次,完善第三方支付法律制度需要明确金融系统性风险防范与金融创新的辩证关系。在市场经济中市场主体的经济行为受法律保护,“法无禁止即可为”。金融创新是一把双刃剑,其与金融系统性风险防范的辩证关系表现在两个方面:一方面,金融创新有助于金融模式的转变、金融效率的提升以及金融业务的交叉融合,而这会增加系统性风险和产生连锁反应;另一方面,限制金融创新有助于降低系统性风险,但会影响金融市场资源配置效率,导致经济停滞不前,影响社会福祉。平衡金融创新与金融系统性风险防范的关键在于,以金融创新带动监管创新,提升系统性风险防范效果,使金融创新与金融系统性风险防范相互支持,协同共进。互联网金融的飞速发展符合大数据时代的需要,全面限制互联网金融显然不利于经济社会发展。在互联网金融风险叠加的背景下,可采取一个折中的办法,以相对安全作为互联网金融监管的目标[26]。在相对安全的金融监管目标下,监管机关应降低准入标准,引入功能监管和行为监管,对第三方支付创新行为的风险进行实时评估和监测。
2.促进社会公共利益与第三方支付机构利益的趋同
既注重私权保护又注重社会公共利益维护的中国特色法律体系需要以自然属性为基础的私法和以社会属性为基础的社会法[27]。平衡社会公共利益和第三方支付机构利益,需要在公私法兼备的基础上实现集体非理性与个体理性的趋同。第三方支付系统公共性与第三方支付机构趋利性的矛盾涉及三个层面的利益:社会公共利益、第三方支付机构利益与消费者权益。
第一,社会公共利益与第三方支付机构利益。支付体系作为金融制度的基础,其安全性和稳定性是市场交易的关键影响因素。第三方支付机构作为市场主体,既有自由经营、自主管理的权利,也有维护经济秩序稳定和社会安全的义务。社会公共利益注重金融安全和社会稳定,要求以安全稳定为前提推动金融发展,优化资源配置。第三方支付机构的兴起促进了互联网金融与金融市场、货币市场、电子商务市场的融合,增大了风险交叉感染的可能性。从个体理性与集体理性的关系看,个体理性在某些情况下会导致集体非理性。在支付行业,每家第三方支付机构都是独立的市场主体,力求生产能获取更多收益的产品,希望自身经营行为、管理行为、产品研发行为向金融行业靠拢(如搭售货币基金投资等)。如果所有第三方支付机构都以盈利为首要目标并致力于向金融业务转型(个体理性),就会导致整个支付行业的集体非理性。而出于社会公共利益和风险方面的考量,为确保第三方支付行业稳定发展,需要第三方支付机构坚守支付业务普惠本质,不参与金融业务。因此,有必要对第三方支付机构利益与社会公共利益进行平衡与协调。
第二,第三方支付机构利益与消费者权益。第三方支付机构为消费者提供支付服务并获取消费者个人数据,消费者享受第三方支付服务并提供个人数据。消费者对自己的个人数据拥有数据权益,并将之授权给第三方支付机构使用。对于所收集的消费者个人数据,第三方支付机构可以在去识别化的基础上将之加工成新的数据集。但对于加工得到的数据集,第三方支付机构能否获得数据产权?对此,还存在争议。若能够获得新的数据产权,第三方支付机构将有权通过数据交易与流通获取更多收益,但这必然会促使其在用户服务协议中增添更多不必要不合理的强制性条款,以取得消费者同意授权,进而获得更多数据授权。若不能获得新的数据产权,第三方支付机构将很难建立新的利益增长点,从而无法持续提供新颖便捷但高成本的服务。在数据利用领域,第三方支付机构利益与消费者权益存在此消彼长的关系,消费者个人数据保护程度越高,第三方支付机构的数据权益越低;消费者个人数据保护程度越低,第三方支付机构的数据权益越高。因此,在缓解第三方支付机构利益与消费者权益冲突的过程中,如何建构既能保护消费者数据权益,又能维护第三方支付机构数据产权的法律制度尤为重要。
四、第三方支付法律制度的均衡性调适
2020 年3 月通过的《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》提出多项举措,以促进市场对资源配置决定性作用的发挥。为充分发挥市场对资源配置的决定性作用,需要处理好政府与市场的关系,减少政府对微观经济行为的不必要干预,实现“放活”与“管好”有机结合。市场要通过建立信息保护和激励机制提高企业自身管理能力和风险抵抗能力,政府要通过完善准入、退出、行为约束、信息共享、激励等方面措施干预市场,如此才能以最小的干预成本取得最大的干预收益。[28]在第三方支付领域,为处理好政府与市场的关系,应从监管规则出发配置更加科学合理的法律制度。
(一)建立以消费者权益保护为基点的公私法协调机制
2008年全球金融危机的爆发使英国经济学家泰勒(Taylor)[29]的双峰理论受到前所未有的关注。审慎监管和消费者保护成为全球金融监管的重点方向。随着金融监管理念从经营者主权向消费者主权过渡[30],关于第三方支付的法律监管也需要重视消费者权益保护。消费者权益保护是协调第三方支付多方利益的关键。
从私法视角看,第三方支付机构与消费者之间的用户服务协议属于平等主体之间的合意,应适用《民法典》等民事法律法规。从经济法视角看,第三方支付机构与消费者之间的用户服务协议是经营者与消费者之间的协议,既可适用《民法典》,也可适用《中华人民共和国消费者权益保护法》《电子商务法》《个人信息保护法》等特别法。如果《民法典》与消费者权益保护特别法存在冲突,则以特别法优先于普通法为原则,适用特别法。在支付领域,从性质上看,支付机构与消费者之间的用户服务协议也是经营者与消费者之间的协议。对于地位不平等的双方主体间的协议,私法体系的规制应退居后位,优先适用倾斜保护消费者权益的法律法规。《电子商务法》第五十七条规定,对于未经授权支付造成的损失,由经营者承担无过错责任,除非可以证明消费者存在过错。这是为保护消费者而进行的倾斜性责任分配,其适用应优先于《民法典》的合同编和侵权责任编,以更好地实现《网络支付管理办法》第十九条规定的先行全额赔付制度[31]。
在平衡消费者权益与第三方支付机构利益时,需要考虑第三方支付机构与消费者之间的关系。这是因为,相比于作为经营者的第三方支付机构,消费者处于弱势地位,应对其予以倾斜性保护。第三方支付机构制定的用户服务协议约定,基于用户个人原因的未经授权支付导致的损失由用户承担,其理由是用户系防止设备丢失和控制损失风险的最佳人选。在双方签订的用户服务电子协议中,消费者属于信息弱势者,缺乏规则制定权。因此,应加强消费者权益保护,降低消费者使用第三方支付服务的成本,如按最低限度原则采集消费者信息,使消费者仅提供最少的信息即可获得使用第三方支付服务的机会。为防止未经授权的支付出现,作为经营者的第三方支付机构,一方面要加强系统设置,如采用多重验证方式;另一方面要与消费者加强合作,促使消费者履行设备丢失后的告知义务,以便在第一时间冻结账户。在责任分担方面,可借鉴美国《电子资金划拨法》(Electronec Funds Transters Act)和《E条例》(Federal Reserve's Regulation E)⑤的规定,以消费者通知第三方支付机构的时间为依据,确定消费者与第三方支付机构之间的民事责任分配。
(二)实现监管科技与传统机构监管的有机融合
与传统支付机构相比,第三方支付机构尽管在风控流程、流程设计与应用方面有所不同,但在身份核验、征信授信、内控流程以及反欺诈、反洗钱等方面具有相同的风险特征和风控需求。与资本市场的“脱媒”类似,第三方支付是金融的第二次“脱媒”,是在摆脱传统金融媒介。[32]第三方支付具有小额、及时、覆盖面广的特点。凭借强大的信息吸纳整合能力与数据处理能力,第三方支付成为新的信息媒介。作为网络平台,第三方支付拥有庞大的数据库和先进的金融科技,具有跨地区、跨业务特征,不适合采用传统模式进行监管。以传统的机构监管模式管理第三方支付市场是监管惰性和监管路径依赖的表现。目前的监管措施,如较高的准入门槛和僵化的禁止备付金盈利等手段,具有明显的机构监管特征。为适应新的监管形势,应引入新的监管科技,改进监管模式。
推动传统机构监管模式转型的关键在于监管创新[33]。监管科技对监管创新具有重要影响。其一,监管科技有助于解决多方间的信息不对称问题。[34]大数据、云计算、区块链、人工智能等技术在金融监管领域的应用,能够解决监管机关、第三方支付机构以及作为支付服务对象的商家和消费者等市场主体之间的信息不对称问题,提升金融监测预警和金融安全保障的有效性。比如,深圳市人民政府金融工作办公室开发建设的深圳市金融风险监测预警平台、地方金融监管信息系统,及其与腾讯公司联合建立的灵鲲金融安全大数据平台,可实现对新型金融业态的穿透式非现场监管。[35]监管机关可以通过合理利用第三方支付机构掌握的金融数据,更加有效地监测金融行业运行动态,防范金融风险。其二,监管科技有助于对第三方支付机构进行信用评级和分类监管。行业协会在行业数据共享、信息披露、社会评价体系建设方面具有特殊优势。借助大数据和云计算技术,第三方支付行业协会可充分发挥自律规范作用,有序推动资信评级与社会评价体系建设,实现分级分类监管,降低监管成本和摩擦成本,促进第三方支付负外部性的内部化,推动第三方支付行业良性发展。其三,监管科技有助于联动监管的实现。第三方支付具有很强的跨地域性,采用传统手段监管,容易产生重复监管和监管漏洞。而监管科技有助于平衡金融创新与机构监管的要求,实现横向合作监管。[36]其四,监管科技可以通过技术监控预防技术垄断、数据垄断。监管科技能够有效防止第三方支付机构打造技术壁垒或实施数据歧视、数据排他等新型垄断行为。根植于金融科技的第三方支付需要更合理更有科技含量的监管模式,监管机关要积极利用监管科技改造传统监管手段和模式,在风险预警、联合监管、信用评级等方面实现数字化转型。
(三)将重要第三方支付机构纳入关键信息基础设施保护范围
作为互联网金融的一种形态,第三方支付在本质上仍然是金融[37],属于金融行业领域。2017年6 月1 日起施行的《网络安全法》界定了需要重点保护的关键信息基础设施的范围,并对其运行安全进行了专门规范。2017 年7 月国家互联网信息办公室公布的《关键信息基础设施安全保护条例(征求意见稿)》第十八条,将金融等行业领域的单位以及提供大型公共信息网络服务的单位认定为关键信息基础设施。第三方支付机构拥有大量的用户身份、消费、资信、资金、位置等方面数据,以及基于此形成的巨大数据源,对社会公共信用体系和金融数字化监管体系建设具有重要影响。为缓解第三方支付公共性与趋利性之间的矛盾,可将支付宝、财付通等重要第三方支付机构认定为关键信息基础设施,通过采取更有针对性的特殊监管措施,促使其增强信息防护能力,在一定程度上缓解第三方支付海量数据带来的国家信息安全问题[38]。
对于被认定为关键信息基础设施的重要第三方支付机构,可采取行政命令性规制、激励性规制、自愿性规制等政府规制方式,但应以激励性规制和自愿性规制为主。根据科斯[39]的交易成本理论,行政命令性规制可以通过行政决定影响生产要素配置,解决市场和企业难以解决的问题,但这种规制的政府执行成本和企业遵循成本均比较高,且容易抑制市场创新,很难取得比市场和企业规制更好的解决效果,不宜被作为政府规制的主要方式。激励性规制是指第三方支付机构根据政府的规制主动进行整改,在规制理念由结构主义向行为主义转变的大背景下,应被作为政府规制的主要方式[40]。自愿性规制是指第三方支付机构在较低的政府干预水平下自愿实现承诺、协议或政府倡议的内容,也应被作为政府规制的主要方式。在未经授权的支付中,消费者会面临财产等方面损失,如果第三方支付机构能够主动承担一定比例的损失或者为未经授权支付带来的损失购买保险,就可以在更大程度上保障消费者资金财产安全,同时降低政府和司法资源介入的成本。
(四)健全第三方支付准入退出动态调节机制
金融深化的目的在于,充分发挥市场机制在资源配置中的作用。对健康的市场而言,其准入退出制度的设计应有助于市场机制作用的发挥。在金融深化过程中,第三方支付机构扮演着非常重要的角色,发挥着非常重要的作用。一方面,第三方支付机构能够充当买卖双方的信用中介,缓解电子商务中的信息不对称问题和逆向选择问题,推动网络购物市场的发展,提高金融体系健全度。基于这样的身份,第三方支付机构能够收集大量的交易信息和资金流动信息,掌握用户大量的消费需求、资信状况、地理位置、偿付能力等方面数据,并基于此构建更加准确科学的信用评价体系。另一方面,在金融深化进程中,与传统银行相比,第三方支付的资金和时间成本更低,且有助于改善电子商务中的信用问题,能够打破传统银行垄断局面,形成新的支付规则,带动银行体系进行金融和业务创新,推动利率市场化,促成良性金融循环。第三方支付机构及其互联网货币基金产品对银行储蓄存款极具吸引力,会导致银行存款的大量流失和吸纳成本的大幅增加,进而倒逼银行进行改革创新,通过提高存款利率、提升服务质量、提高运营效率来保持市场竞争力与占有率。
但与此同时,第三方支付可利用长尾市场打造范围经济,带来新的垄断。如前所述,在第三方移动支付市场中,支付宝和财付通处于绝对垄断地位,其他支付机构市场份额很小,竞争环境缺乏。因此,为促进市场竞争,维护消费者权益和社会公共利益,应构建动态的第三方支付准入退出调节机制,允许和鼓励其他第三方支付机构进入市场。首先,应建立公平有效的竞争机制,这是包括第三方支付在内的互联网金融持续生存的基本法则。其次,应平衡好垄断与竞争的关系。互联网金融具有一定的网络特性,在产品推广、用户吸引、平台维护等方面具有较高的准入门槛,可以被定义为自然垄断,即天然允许一定程度垄断状态的存在[41]。但考虑到第三方支付系统作为金融基础设施的公共性,及其跨地域性和用户广泛性等特征,其市场垄断会带来比较大的系统性风险。因此,为保障消费者合法权益,降低市场风险,可借鉴存款保险相关制度来设计第三方支付准入退出动态调节机制。
五、结语
目前,我国第三方支付面临市场与监管双重风险。在以金融安全为先的强管控型金融监管机制下,第三方支付公共与私人双重属性的失衡成为导致第三方支付双重风险的根源,亟待通过健全相关法律制度来予以调和与化解。在第三方支付相关法律制度修正完善过程中,应正确认识金融安全与金融创新的辩证关系,以平衡法益为出发点,促进社会公共利益与第三方支付机构利益的趋同。其一,要构建以消费者权益保护为基点的公私法协调机制,以消费者权益作为第三方支付机构利益和社会公共利益的连接点,平衡社会公共利益、第三方支付机构利益、消费者权益三者之间的关系;其二,要促进监管科技与传统机构监管的有机融合,构建包容审慎的第三方支付监管体系;其三,要将可能带来系统性风险的重要第三方支付机构认定为关键信息基础设施,进行更有针对性的规制,弥补第三方支付公共属性方面法律规制的缺失,有效实现风险预警;其四,要构建完善的第三方支付准入退出动态调节机制,为第三方支付机构有序进出创造宽松而谨慎的制度空间。
注释:
①移动支付网非银行支付机构支付业务许可证数据查询网址为https://www.mpaypass.com.cn/pay/?keyword=&pici=&szd=&ywlx=&zhuangtai=0&ywfw=。
②不予续展的依据为《中国人民银行关于〈支付业务许可证〉续展工作的通知》(银发〔2015〕358 号)第六条,2010年9月起施行的《非金融支付机构服务管理办法》第四十三条至第四十七条,2015 年12 月中国人民银行发布的《网络支付管理办法》第四十二条关于注销支付业务许可证、终止支付业务情形的规定。
③如《微信支付用户服务协议》第2.3款规定:“发生下列任一情形时,你应及时联系本公司的客服部门,以减少可能发生的损失:……(4)第三人冒用或盗用你的身份信息或账户信息的;(5)其他任何未经你本人合法授权,却在使用你的微信号、本服务或你的银行账户的。若你未及时通知本公司,你应自行承担因此遭受的损失,但本公司存在故意或重大损失的除外。”
④相关法律规定包括《民法典》第一百一十一条、第一千零三十四条、第一千零三十五条,《网络安全法》第二十二条第三款、第四十一条至第四十三条,《征信业管理条例》第十七条,《电信和互联网用户个人信息保护规定》第五条、第八条、第九条、第十条等。
⑤美国《电子资金划拨法》(Electronec Funds Transters Act)和《E 条例》(Federal Reserve's Regulation E)以消费者通知支付机构的时间为依据,确定消费者与支付机构之间的民事责任分配(有三个梯度)。第一,消费者承担责任为50 美元与未经授权电子资金划拨实际损失二者中较小金额。该责任在两种情形中得以适用:一是消费者在未经授权电子资金划拨发生或可能发生后2 日内,以合理方式通知支付机构;二是消费者在支付机构发出定期报表后60日内,将表中载明的未经授权电子资金划拨事项通知支付机构。第二,若消费者在未经授权电子资金划拨发生2日后至60日内通知支付机构,则消费者承担责任为500 美元与实际损失二者中较小金额。第三,若消费者在未经授权电子资金划拨发生60 日后仍未通知支付机构,则自行承担全部责任。欧盟亦在《欧盟支付服务法令Ⅱ》(Payment Service Directive II,PSD2)中进行了类似规定:支付设备被盗刷的,付款人最高承担50 欧元的损失。