全国首份第三方支付机构复工指引来了无处不在的第三方电子支付,法律风险知多少?(图1)

全国首份第三方支付机构复工指引来了无处不在的第三方电子支付,法律风险知多少?(图2)第三方电子支付已经成为电子商务资金流动的重要渠道,但无论支付机构还是支付介质都无法容于传统的法律框架,各方当事人在实践中均面临着一系列的法律风险。以下简要分析第三方支付机构面临的沉淀资金的风险、支付瑕疵的风险、未经授权支付的风险、基础交易的抗辩延伸风险等民事法律风险第三方电子支付的概念与模式

第三方电子支付,指非银行机构利用其经营的系统平台,向电子商务交易当事人提供小额电子资金划拨服务,用以满足其收款和付款需要的新型支付模式。第三方电子支付中的支付机构具有独立于交易当事人和银行以外的中介地位。国外也将第三方电子支付称为“个人对个人的支付”(person-to-person payment或peer-to-peer payment),即经过银行以外的支付中介(payment intermadiary)来完成小型商户与消费者之间的资金划拨。


辖内各法人非银行支付机构、外地支付机构在京分公司:
为深入贯彻落实习近平总书记关于坚决打赢疫情防控阻击战的重要指示精神,全面落实党中央、国务院和市委、市政府关于疫情防控的决策部署,在继续做好科学防控的同时,合理配置资源,稳步有序恢复正常经济活动,引导全市非银行支付机构(下称支付机构)安全有序复工复产,现就有关事项通知如下:
一、加强领导,压实责任,统筹抓好疫情防控和复工复产
(一)建立疫情防控指挥工作小组,统筹制定分类逐步复工复产方案,加快完善、落实相关工作机制。将企业防疫与复工复产工作同部署、同推进、同落实,强化责任,密切协调,加强企业统一调度和指导,推动复工复产工作有序开展。
(二)明确单位防控责任。各支付机构主要负责人是疫情防控第一责任人,要建立公司内部疫情防控组织体系,明确疫情防控应急措施和处置流程,把防控责任落实到部门和个人。
(三)合理组织,稳妥推进,分批有序返程返岗。遵循错峰原则安排员工返程,避免人群集中性大规模流动,降低疫情扩散风险。
(四)确保核心支付系统运行,落实稳金融工作要求。疫情防控期间,不得因复工率不足影响支付系统正常运行,必须做到支付业务不断、支付服务稳妥有序,以实际行动支援北京市疫情防控和企业复工复产工作。
二、做好异常情况应急处置工作
(五)制定疫情防控应急预案。明确突发事件和支付结算服务保障的应急处理流程。发生异常情况,做到科学、规范、及时、有序平稳处置,同时第一时间向疾控和主管部门报告。
(六)做好发现可疑情况的应对处置。设立隔离观察区域。当员工出现可疑症状时,及时到该区域进行暂时隔离,并及时到发热门诊就诊。严禁无关人员进入,同时在专业人员指导下对其活动场所及使用物品进行消毒。配合有关方面做好密切接触者防控措施。疫情播散的单位,要实施内防蔓延、外防输出的防控策略,根据疫情严重程度,暂时关闭工作场所,待疫情得到控制后再恢复生产。
三、加强员工健康监测与个人防护
(七)做好员工健康管理。各支付机构要切实掌握员工流动情况,严格遵循北京市防控疫情相关工作要求,做好返程员工居家或集中隔离医学观察。对处在隔离期间和入住集体宿舍的员工,应每日进行2次体温检测。
(八)实行健康状况统计与报告。各支付机构要逐日摸排、统计全体员工健康状况,设立可疑症状报告***。各机构应每天汇总员工健康状况,向属地疾控部门报告,发现员工出现发热、呼吸道症状时,要及时、如实上报异常情况并采取相应的防控措施。
(九)强化疫情防控宣传教育。采用多种形式加强复工复产后疫情防治知识科普宣传,使员工充分了解防治知识、增强防护意识、掌握防护要点、积极配合防控工作。
(十)严格员工个人防护要求。各支付机构要督促员工佩戴口罩,与顾客有现金、单据等物品交接环节的营业柜台人员应佩戴一次性手套,可根据疫情的情况适当增配防护镜。
(十一)加强员工个人防护意识。倡导员工减少不必要外出,避免去人群聚集尤其是空气流动性差的场所。在人员密集场所应按照《不同人群预防新型冠状病毒感染口罩选择和使用技术指引》要求,正确佩戴防护用品。勤洗手、常通风,打喷嚏或咳嗽时进行必要遮挡。倡导合理饮食、适量运动、规律作息的健康生活方式。
四、依法科学,做好办公、经营场所疫情严防严控
(十二)加强人员出入登记管理。各支付机构要指派专人对进出单位的所有通道进行严格管理。每个入口需配备人员轮流值守,值守人员需参加岗前培训,值守时必须佩戴口罩、做好自我防护。每个入口要配备测温工具,由值守人员对所有进入楼宇工作人员的体温进行测量。凡体温超过37.3 ℃的员工,一律不得进入办公区域。要尽量减少非本单位人员进入,确因工作需要的,应检测体温,并登记来源地、工作单位、接触疫情发生地区人员等情况,符合要求方可进入。
(十三)保持办公场所环境卫生、空气流通。各支付机构应确保办公场所洗手设施运行正常。在问询台、服务台等处配备洗手消毒剂。在条件允许情况下首选自然通风。如使用空调,应当确保供风安全充足,所有排风直接排到室外,不使用空调时应当关闭回风通道。中央空调应每周对空调通风系统进行消毒。
(十四)严格重点区域防疫消毒工作。在公共区域设置口罩专用回收箱,加强垃圾箱清洁,定期进行消毒处理。加强垃圾分类管理,及时收集并清运。食堂、电梯、卫生间、洗手池、通勤工具等公共区域及相关物品,应由专人负责定期消毒。电梯按钮、门把手等频繁接触部位应适当增加消毒次数。
(十五)减少员工聚餐、集会等集体活动。适当延长食堂供餐时间,实行错峰就餐,有条件时使用餐盒、分散用餐。减少召开会议,提倡召开视频或***会议。必要会议应缩短时间、控制规模,保持空气畅通。员工集体宿舍原则上每间不超过6人,人均不少于2.5平方米。根据实际情况可采取错时上下班、弹性工作制或居家办公方式。
(十六)做好经营场所的客户防护工作。客户进入营业场所必须佩戴口罩,拒不佩戴口罩者,应拒绝其进入。提倡采取客户分流措施。对实体网点业务较多的支付机构(如从事预付卡业务的支付机构等),应做好网点客户的分流与疏导工作。营业网点需临时停业或调整营业时间,应利用线上线下多渠道对外通告,做好解释说明,提供线上服务替代方案。
五、充分利用互联网技术,推广电子支付服务使用
(十七)积极推广线上业务,优化和丰富“非接触式服务”渠道和场景。鼓励支付机构强化***APP、小程序等服务管理和保障,吸引客户使用电子渠道办理支付结算业务,减少人员近距离接触的机会。
(十八)疫情防控期间,充分利用技术手段对商户开展远程巡检、线上有效管理,强化交易监测,及时排查风险隐患和不实交易。鼓励采取远程视频、***等方式办理商户准入审核和日常巡检,着力通过非现场监测手段强化风险防控,稳妥合规开展支付结算业务。
(十九)疫情防控期间,鼓励采取互联网、客服***等非接触形式,合理有序接待群众投诉、来访,切实保障金融消费者合法权益。
(二十)疫情防控期间,暂缓人脸识别支付商户拓展,做好存量人脸识别支付商户的疫情防控宣传,强化人脸识别支付客户的风险提示工作。
六、强化担当精神,充分履行企业社会责任
(二十一)主动利用营业资源,通过视频滚动播放或张贴宣传材料等,加强疫情防控知识宣传。积极配合所在乡镇街道、社区开展的网格化管理与联防联控,助力疫情防控阻击工作。
(二十二)加强疫情有关电信网络诈骗的防控宣传力度。防范利用推销药品与防疫物资、代订车票旅店、献爱心募捐等多种形式手段诈骗的违法犯罪活动,并做好金融消费者的宣传与风险提示预警。
(二十三)以务实举措支援疫情防控工作。鼓励通过对特定领域或区域特约商户实行支付服务手续费优惠、开通疫情相关支付绿色通道等多种形式投入疫情防控阻击战。优先处理与防控疫情有关的资金汇划业务,在合规的前提下尽可能简化流程,确保疫情防控款项和各类社会捐赠款项第一时间到达指定账户,以实际行动践行“支付为民”。
复工就是稳就业,复产就是稳经济。有序推动复工复产是当前统筹做好疫情防控和经济社会发展工作的紧迫任务,也是把疫情影响降到最低的重要着力点。各支付机构务必认真贯彻落实习近平总书记重要指示和党中央、北京市决策部署,发挥各方面积极性、主动性、创造性,做到抗击疫情和经济发展两手抓、两不误。切实做好群防群控,推动安全有序复工复产。
第三方支付交流群已开通,非持牌支付机构成员勿扰,入群请添***:guangrongtianxia  备注公司名称+姓名+职务。

了解全球最新支付要闻

长按下方图片点“识别图中二维码”关注我们

中国人民银行自2010年9月1日起施行《非金融机构支付服务管理办法》,将第三方支付纳入法律监管的范畴。根据《非金融机构支付服务管理办法》第2条的规定,非金融机构支付服务是指“非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务:(1)网络支付;(2)预付卡的发行与受理;(3)银行卡收单;(4)中国人民银行确定的其他支付服务”。

可见,广义的第三方电子支付包括网络支付、预付卡的发行与受理、银行卡收单及中国人民银行确定的其他支付服务。网络支付,是指依托公共网络或专用网络在收付款人之间转移货币资金的行为,包括货币汇兑、互联网支付、移动***支付、固定***支付、数字电视支付等。其中,互联网支付是以互联网为基础、第三方电子支付机构通过提供银行支付结算系统接口和通道或虚拟账户来实现资金划拨的支付服务;移动***支付是以移动通信网络为基础、用户可利用智能***等移动设备终端以无线或非接触方式来完成支付交易的支付服务,包括近场支付和远程支付。

全国首份第三方支付机构复工指引来了无处不在的第三方电子支付,法律风险知多少?(图3)

全国首份第三方支付机构复工指引来了无处不在的第三方电子支付,法律风险知多少?(图4)

近场支付是指消费者在实体商店购买商品或服务时,通过***等移动终端现场向商户付款的支付方式。远程支付是指使用智能***等移动终端设备,通过无线网络发送支付指令完成支付交易的支付方式。预付卡,是指以营利为目的发行的、在发行机构之外购买商品或服务的预付价值,包括采取磁条、芯片等技术以卡片、密码等形式发行的预付卡。银行卡收单,是指通过销售点(POS)终端等为银行卡特约商户代收货币资金的行为。狭义的第三方电子支付指网络支付,本书仅分析狭义的第三方电子支付的法律风险。

《互联网金融指导意见》要求:“银行业金融机构和第三方支付机构从事互联网支付,应遵守现行法律法规和监管规定。第三方支付机构与其他机构开展合作的,应清晰界定各方的权利义务关系,建立有效的风险隔离机制和客户权益保障机制。要向客户充分披露服务信息,清晰地提示业务风险,不得夸大支付服务中介的性质和职能。”2015年12月28日,中国人民银行发布了《非银行支付机构网络支付业务管理办法》(以下简称《网络支付业务管理办法》),该办法仅用于规范依《非金融机构支付服务管理办法》取得《支付业务许可证》,获准办理互联网支付、移动***支付等网络支付业务的非银行支付机构,未取得《支付业务许可证》或者《支付业务许可证》的业务类型不属于互联网支付、移动***支付等网络支付业务的,不受《网络支付业务管理办法》调整。《网络支付业务管理办法》进一步明确了非银行支付机构服务于电子商务和为社会提供小额、快捷、便民小微支付服务的定位,同时加强了对非银行支付机构的监管,包括支付账户实名制、个人支付账户的分类监管等,《网络支付业务管理办法》将于2016年7月1日起实施,第三方支付机构必须依据该办法进行合规性检查,以适应中国人民银行的新规则。

从国内和国外的实践来看,第三方电子支付有两种模式:支付通道模式与虚拟账户模式。在支付通道模式中,第三方支付机构并不直接从事支付结算业务,而是作为客户和银行的中介,为客户提供银行的网关,客户以第三方支付平台为“通道”进入网上银行,然后发出支付指令,对其网上银行账户的资金进行划拨,资金从付款人银行账户划拨至收款人银行账户。第三方支付机构没有加入付款人与收款人间的支付法律关系。在虚拟账户模式中,用户在支付平台设立虚拟账户,并可对账户进行充值、收款和付款。《网络支付业务管理办法》将虚拟账户模式下客户在第三方支付机构开立的虚拟账户称为支付账户。

部分内容来自互联网,如有侵权请及时联系我们。原创稿件未经授权不得转载,否则将追究法律责任。在获得授权转载后,须在文章标题后注明文章来源:支付界(ID:payworld)
投稿/爆料/合作 请***:guangrongtianxia

《非银行支付机构网络支付业务管理办法》第3条规定:“本办法所称支付账户,是指获得互联网支付业务许可的支付机构,根据客户的真实意愿为其开立的,用于记录预付交易资金余额、客户凭以发起支付指令、反映交易明细信息的电子簿记。”支付账户不得透支,不得出借、出租、出售,不得利用支付账户从事或者协助他人从事非法活动。通过支付账户,支付平台可以参与到客户的交易中,客户通过虚拟账户来提高支付的安全程度。

支付宝、财付通都是虚拟账户模式的典型代表。根据第三方支付机构介入支付程度的不同,虚拟账户模式又可分为无担保的虚拟账户第三方支付和有担保的虚拟账户第三方支付。在无担保的虚拟账户第三方支付中,资金直接从付款人的虚拟账户划至收款人的虚拟账户;在有担保的虚拟账户第三方支付中,资金在从付款人虚拟账户到收款人虚拟账户的流动过程中,要经过第三方支付平台的虚拟账户进行中转。只有当付款人确认收货或者确认收货的期限届满时,第三方支付机构才将资金划入收款人的虚拟账户。因此,在有担保的虚拟账户第三方支付中,第三方支付机构对基础交易的收款人具有一定的担保功能。

《网络支付业务管理办法》指出,支付机构违反反洗钱和反恐怖融资规定的,依据国家有关法律法规进行处理。

《非银行支付机构网络支付业务管理办法》第43条。同时,“非法从事资金支付结算业务”是我国《刑法》第225条规定的非法经营罪的实行行为之一。因此,第三方支付机构的行为也面临构成洗钱罪、非法经营罪的风险。以下简要分析第三方支付机构面临的沉淀资金的风险、支付瑕疵的风险、未经授权支付的风险、基础交易的抗辩延伸风险等民事法律风险

第三方电子支付的主要法律风险沉淀资金的风险

在支付通道模式的第三方支付中,资金从付款人银行账户进入收款人银行账户,因而此种模式不涉及资金在第三方支付平台上沉淀。但在虚拟账户模式的第三方支付中,客户向其虚拟账户充值的资金,以及在“担保交易”

在支付平台的“担保交易”中,在买方确认收货前或确认收货期限届满前这一期间内,买方的价款存放在第三方支付机构虚拟账户中。中买方支付到第三方支付机构虚拟账户中的资金,均属于沉淀资金。2013年6月7日,中国人民银行公布了《支付机构客户备付金存管办法》。《支付机构客户备付金存管办法》第3条第2款规定:“本办法所称客户备付金,是指支付机构为办理客户委托的支付业务而实际收到的预收待付货币资金。”因此,第三方支付机构客户虚拟账户中沉淀资金属于客户备付金。《非金融机构支付服务管理办法》第24条规定,支付机构接受的客户备付金不属于支付机构的自有财产,禁止支付机构以任何形式挪用客户备付金。第26条要求,支付机构接受客户备付金的,应当在商业银行开立备付金专用存款账户存放备付金。因此,当客户从银行账户划拨一定资金到其在第三方支付平台上开立的虚拟账户时,资金从客户的银行账户转入第三方支付机构在托管银行开立的备付金专用账户中。在虚拟账户模式的第三方支付中,客户在备付金专用账户的沉淀资金及利息均存在法律风险。

除法律风险外,客户的沉淀资金还存在以下操作风险:(1)安全性风险。如果第三方支付机构对客户的虚拟账户的访问控制或身份认证的安全保护措施不完善,则黑客有可能通过互联网窃取客户的账户密码,进而盗用客户在虚拟账户的资金。黑客侵袭计算机系统,有时也会影响客户对虚拟账户资金的使用。(2)系统设计、运行和维护的风险。如果第三方支付机构系统设计上存在缺陷或维护上落后,有可能造成数据的丢失,进而使客户的沉淀资金面临损失的风险。(3)内部员工的操作风险。第三方支付机构及其工作人员擅自挪用客户沉淀资金,购买高风险的理财产品,使客户的沉淀资金面临损失的风险。(4)客户误操作风险。客户有意或无意的误操作,也会使客户的沉淀资金面临损失的风险。为防范操作风险,保障客户信息安全和资金安全,《非银行支付机构网络支付业务管理办法》要求第三方支付机构从以下几个方面加强对支付账户的管理:(1)实行支付账户实名制。(2)禁止支付机构经营或者变相经营证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。(3)根据支付机构验证个人客户身份信息的方式和渠道对个人开立的支付账户进行分类。身份验证强度越高,则支付账户的级别越高,支付账户的余额付款交易年累计限额也就越高。(4)要求支付机构根据交易验证方式的安全级别,对个人客户单日使用支付账户余额付款的交易进行限额管理。参见《非银行支付机构网络支付业务管理办法》第6、9、11、24条。

备付金是客户在第三方支付账户余额,在客户提现之前,备付金是“沉淀”于第三方电子支付机构的资金。中国人民银行认为,支付账户余额的本质是预付价值,类似于预付费卡中的余额,该余额资金虽然所有权归属于客户,却未以客户本人名义存放在银行,而是支付机构以其自身名义存放在银行,并实际由支付机构支配与控制。同时,该余额仅代表支付机构的企业信用,法律保障机制上远低于《中国人民银行法》、《商业银行法》保障下的央行货币与商业银行货币,也不受存款保险条例保护。

一旦第三方支付机构出现经营风险或信用风险,将可能导致支付账户余额无法使用,不能回提为银行存款。因此,客户面临第三方支付机构出现经营风险或信用风险时损失其沉淀资金的风险。

沉淀资金还存在该类资金的收益分配问题。对于客户备付金的利息归属问题,存在较大分歧。2011年11月4日,中国人民银行公布的《支付机构客户备付金存管暂行办法(征求意见稿)》第35条第1款规定:“支付机构可将计提风险准备金后的备付金银行账户利息余额划转至其自有资金账户。”该条试图将除计提风险准备金之外的备付金利息归第三方支付机构所有。但是,最后公布的《支付机构客户备付金存管办法》回避了这一备付金规定中应当明确的重要问题。第29条确立了从客户备付金利息收入中动态计提风险准备金的机制,风险准备金按所有备付金银行账户利息总额的10%计提,支付机构增加开立备付金收付款账户的合作银行的,计提比例动态提高。同时第16条允许支付机构将客户备付金划转到支付机构在同一银行开立的账户进行最长期限为12个月的非活期存款,非活期存款转为活期存款的,应退回至原转存的备付金账户。《支付机构客户备付金存管办法》回应了支付机构关于增加资金收益的诉求,但是仍没有明确备付金产生的收益的归属。中国人民银行没有回应备付金收益的归属问题,可能存在两方面的原因:第一,备付金的利息归属涉及第三方支付机构与广大客户的利益,在前期征求意见及专家论证过程中,各方意见分歧明显。一种意见认为,如果向客户返还利息,支付机构有吸收存款嫌疑,也存在操作难度,同时支付机构业务发展也需要支持,建议明确备付金利息归属支付机构。另一种意见认为,客户备付金的权属为客户,而非支付机构,为此产生的利息应归客户。

第二,如果明确备付金利息归属于第三方支付机构与我国民法相悖,造成下位法与上位法的冲突。因为若认定备付金的所有权属于虚拟账户持有人,第三方支付机构仅为备付金的保管人,那么根据我国民法的所有物与孳生物关系的原理,孳息应当属于虚拟账户持有人。

我国《合同法》第377条也规定:“保管期间届满或者寄存人提前领取保管物的,保管人应当将原物及其孳息归还寄存人。”

在实践中,第三方支付机构通常与客户达成协议来解决利息的归属问题。第三方电子支付客户对备付金孳息的返还请求权往往被格式合同所排除。例如,支付宝《支付服务协议》规定:“您对所有代收代付款项(含被止付或受限制的款项)产生的任何收益(包括但不限于孳息)不享有任何权利。本公司就所有代收、代付款项产生的任何收益(包括但不限于孳息)享有所有权。”支付宝通过《支付服务协议》排除了客户对于沉淀资金利息的所有权。但是,《网络支付业务管理办法》第7条要求支付机构在服务协议中明确“支付账户所记录的资金余额不同于客户本人的银行存款,不受《存款保险条例》保护,其实质为客户委托支付机构保管的、所有权归属于客户的预付价值。该预付价值对应的货币资金虽然属于客户,但不以客户本人名义存放在银行,而是以支付机构名义存放在银行,并且由支付机构向银行发起资金调拨指令”。

根据以上分析,在第三方电子支付中,《网络支付业务管理办法》既然明确了支付账户所记录的资金余额所对应的沉淀资金属于客户,客户与第三方支付机构的关系为保管合同,则第三方支付机构拟定的《支付服务协议》与《网络支付业务管理办法》就存在一定矛盾,第三方支付机构面临格式合同无效及丧失沉淀资金所产生的收益的风险;客户如果预先在第三方支付平台的虚拟账户中留存资金,则面临货币贬值及丧失沉淀资金所产生的收益的风险。

支付瑕疵的风险

支付瑕疵,指第三方支付机构对于客户所发出的支付指令的执行存在瑕疵,包括不执行、不适当执行以及执行失败。

支付瑕疵造成损失时,就存在在第三方支付机构与客户间分担损失的问题,亦即支付瑕疵发生时,第三方支付机构与客户均面临承担由此所产生的损失的风险。产生支付瑕疵的原因有如下几种:(1)支付机构及其内部工作人员过错而造成支付中断或迟延;(2)支付机构必要的系统停机维护造成支付服务终止;(3)第三方原因而造成支付服务中断或迟延;(4)不可抗力因素造成的业务中断或迟延。当发生支付瑕疵涉及赔偿时,有两个层面的赔偿:一是支付服务的直接损失;二是支付瑕疵所带来的间接损失。

有关支付瑕疵,第三方支付机构往往单方拟定了格式合同予以调整。第三方支付机构凭借其优势地位,一般会在合同中规避或减轻自己在支付瑕疵方面所承担的责任,根据《支付宝服务协议》,支付宝对于支付瑕疵的免责有以下几方面:(1)支付宝公司不保证其支付服务不受干扰、及时提供以及免于出错。

参见《支付宝服务协议》第9条:“(四)本公司不对交易标的及本服务提供任何形式的保证,包括但不限于以下事项:1.本服务符合您的需求。2.本服务不受干扰、及时提供或免于出错。3.您经由本服务购买或取得之任何产品、服务、资讯或其他资料符合您的期望。”为客户提供及时支付与免于支付出错是第三方支付机构的主要义务。此类支付服务保证的免除,意味着支付宝的不适当支付、迟延支付等均不构成违约。(2)系统无法正常运作,导致客户无法使用各项支付服务时,支付宝公司不承担损害赔偿责任。

参见《支付宝服务协议》第8条:“本公司系统因下列状况无法正常运作,使您无法使用各项服务时,本公司不承担损害赔偿责任,该状况包括但不限于:(一)本公司在本网站公告之系统停机维护期间。(二)电信设备出现故障不能进行数据传输的。(三)因台风、地震、海啸、洪水、停电、战争、恐怖袭击等不可抗力之因素,造成本公司系统障碍不能执行业务的。(四)由于黑客攻击、电信部门技术调整或故障、网站升级、银行方面的问题等原因而造成的服务中断或者延迟。”(3)从赔偿范围来看,支付宝公司不对任何间接的、惩罚性的、特殊的、派生的损失(包括业务损失、收益损失、利润损失、商誉损失、使用数据或其他经济利益的损失)负责。(4)支付宝公司的违约赔偿责任总额不超过向客户收取的当次服务费用总额。由于目前支付宝公司对普通消费者提供的支付服务为免费服务,因此支付宝公司不存在对客户的赔偿问题。

支付宝公司的上述支付瑕疵风险分配条款在第三方电子支付行业中颇具代表性,其实质是将绝大部分支付差错的风险转嫁于客户。

第三方支付机构上述支付瑕疵风险分配条款使第三方支付的客户面临损失所有支付资金而得不到任何赔偿的巨大风险。

《网络支付业务管理办法》第27条规定:“支付机构应当采取有效措施,确保客户在执行支付指令前可对收付款客户名称和账号、交易金额等交易信息进行确认,并在支付指令完成后及时将结果通知客户。因交易超时、无响应或者系统故障导致支付指令无法正常处理的,支付机构应当及时提示客户;因客户原因造成支付指令未执行、未适当执行、延迟执行的,支付机构应当主动通知客户更改或者协助客户采取补救措施。”第19条规定:“支付机构应当建立健全风险准备金制度和交易赔付制度,并对不能有效证明因客户原因导致的资金损失及时先行全额赔付,保障客户合法权益。”据此,即使因客户原因造成的支付瑕疵,支付机构也应当主动通知客户更改或者协助客户采取补救措施。而对于没有证据证明因客户原因导致的资金损失,支付机构有义务及时先行全额赔付。在《网络支付业务管理办法》实施以后,第三方支付机构的某些格式支付瑕疵风险分配条款面临因违反法律的强制性规定而无效的风险。

未经授权支付的风险

未经授权的支付,指第三方支付机构对支付指令的识别存在瑕疵,导致客户以外的人未经客户授权发出的支付指令未能被第三方支付机构识别出的支付。未经授权的电子支付,就是他人在第三方电子支付中冒充客户发出支付指令的支付。第三方支付机构作为提供网络支付服务的专业机构,未经授权的支付是其所面临的最大风险。第三方支付机构往往利用其优势地位,通过格式合同将冒用风险转嫁于客户,客户有时也谎称被他人冒用而主张由第三方支付机构承担责任。因此,应寻找一个平衡点,在支付机构、付款人和收款人之间适当分配未经授权的支付的风险。

美国和我国台湾地区规定了以下三种冒用风险分配方式:(1)当持卡人客户(持卡人)有欺诈或者重大过失时,由客户(持卡人)承担全部冒用风险;(2)当存在可归责于客户(持卡人)法定过失事由时,冒用风险自客户(持卡人)办理挂失停用手续时起由发卡行负担;(3)在其他情形下,若银行没有违反善良管理人之注意义务,则冒用风险自客户(持卡人)办理挂失停用手续之前24小时起由发卡行负担。这种规定不仅能有效防止持卡人欺诈或其他严重违反信用卡使用要求的行为,并促使持卡人尽快挂失以及履行各种有关的协助义务,而且能使发卡行尽善良管理人之注意义务,尽量减少冒用的发生。

《支付宝服务协议》在我国第三方电子支付行业中具有典型意义。《支付宝服务协议》第3条第2项就未经授权支付的风险分担作有如下规定:(1)客户要对使用其账户及密码进行的一切操作负完全的责任;(2)支付宝公司通过用户的账户名和密码或者客户使用的其他产品或设备识别客户的指示;(3)客户应当妥善保管其账户名和密码及身份信息,妥善保管处于客户掌控下的用于识别客户指示的产品或设备;(4)对于因密码泄露、身份信息泄露、处于客户掌控下的用于识别客户指示的产品或设备遗失所致的损失,由客户自行承担;(5)客户发现有冒用情形时,应立即以有效方式通知支付宝公司,要求公司暂停相关服务;(6)支付宝公司对用户暂停相关服务的请求采取行动需要合理期限,在此之前,支付宝公司对已执行的指令及(或)所导致的客户的损失不承担任何责任。

在第三方电子支付中,通常以账户名和密码等作为识别支付指令的措施。据此,凡是通过了识别措施,的支付指令都视为得到客户授权的支付指令,对于因密码泄露、身份信息泄露、处于客户掌控下的用于识别客户指令的产品或设备遗失所导致客户以外的发动的支付,均视为客户的支付,由客户承担所造成损失的风险。支付机构接到客户暂停相关服务的请求的通知后,须经过“合理期限”才承担暂停相关支付的义务。在此之前,未经授权支付的风险仍由客户承担。不仅客户发出暂停支付的通知之前的所有未经授权支付风险由客户承担,而且在客户发出暂停支付的通知之后的“合理期限”内,未经授权支付的风险也由客户承担。对比国外和我国台湾地区的相关规则,《支付宝服务协议》的确使客户承担了过大法律风险。

关于未经授权支付损失的分担,《网络支付业务管理办法》做出了有利于客户的规定,主要体现在以下几个方面:

第一,支付机构和商业银行合作为客户提供快捷支付

快捷支付是支付机构和银行通过协议与客户约定,由支付机构代其向银行发送支付指令,直接扣划客户绑定的银行账户资金的支付方式。业务时,须同时满足以下条件:其一,支付机构和银行均应取得客户的授权;其二,银行应采用事先与客户约定交易验证方式对支付指令进行验证,支付机构一般不得代替银行进行交易验证;其三,银行应设立与客户风险承受能力相匹配的单笔和单日累计交易限额,并在扣款适用范围和交易限额内进行扣款。如果没有满足这三个条件,造成的资金损失的风险由银行或支付机构承担。即使满足了这三个条件,对未经授权的支付,银行仍应承担支付资金损失的先行赔付责任。

参见《非银行支付机构网络支付业务管理办法》第10条。

第二,支付机构应当建立健全风险准备金制度和交易赔付制度,并对不能有效证明因客户原因导致的资金损失及时先行全额赔付。

参见《非银行支付机构网络支付业务管理办法》第19条。其中,何为“客户原因”并不十分明确。由于支付机构对客户身份的验证是采用客户本人知悉的密码、数字签名、客户本人的生理特征等单一或多种要素进行验证,以上要素具有唯一性和秘密性。假设未经客户授权的第三人通过某种方式获得客户的验证要素并通过支付机构的安全认证划拨了客户的支付账户的资金,如果从身份验证方式的唯一性和秘密性的角度来看,应认为客户保管不当,属于因“客户原因”导致的资金损失。但是,即使客户完全依照支付机构的要求使用支付账户,未经授权支付损失仍有可能发生,因为第三方支付是在开放的互联网环境下进行的,从此角度来看,不能因验证方式的唯一性和秘密性就推定为“因客户的原因”。因此,“客户原因”是从客户的主观方面判断,如故意、重大过失、轻过失,还是从客观上看第三人是通过支付机构还是客户的途径获得验证方式的,《网络支付业务管理办法》的规定并不明确。另外,支付机构承担的是“及时先行赔付责任”,先行赔付不等于最终责任,如果无法查明未经授权划拨资金的第三人或者未经授权划拨资金的第三人无能力承担责任,支付机构承担先行赔付责任后,对于不能追回的损失,如果最终认定非因支付机构和客户原因,如何在支付机构与客户间分担责任,《网络支付业务管理办法》也没有涉及。

第三,根据支付机构交易验证方式的不同安全级别,对个人客户使用支付账户余额付款的交易进行限额管理,具体包括以下内容:

其一,不论采用何种验证方式,只要支付机构支付的金额超过了单日累计限额,则由支付机构承担损失的风险。其二,支付机构采用包括数字证书或电子签名在内的两类(含两类)以上有效要素进行验证的交易,支付机构与客户可以通过协议自主约定单日累计限额。此时,支付机构用两类(含两类)以上有效要素验证支付指令,并在限额以内执行支付指令,则由于客户承担未经授权的支付所造成的损失的风险。其三,支付机构采用不包括数字证书、电子签名在内的两类(含两类)以上有效要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过5000元。此时,支付机构用此两类(含两类)以上有效要素验证支付指令,并在5000元以内执行支付指令,则由于客户承担未经授权的支付所造成的损失的风险。其四,支付机构采用不足两类有效要素进行验证的交易,单个客户所有支付账户单日累计金额不得