第五十三条 【电子支付服务提供者的义务】
电子商务当事人可以约定采用电子支付方式支付价款。
电子支付服务提供者为电子商务提供电子支付服务,应当遵守国家规定,告知用户电子支付服务的功能、使用方法、注意事项、相关风险和收费标准等事项,不得附加不合理交易条件。电子支付服务提供者应当确保电子支付指令的完整性、一致性、可跟踪稽核和不可篡改。
电子支付服务提供者应当向用户免费提供对账服务以及最近三年的交易记录。
【条文研析】
一、电子支付与电子商务的紧密关系
电子支付是指付款人与收款人通过电子形式的支付指令实现货币资金转移的行为。
中国的电子支付与电子商务有着非常紧密的关系,两者相伴相生,互相促进,正是依赖高效、便捷、低成本的电子支付手段,我国电子商务市场才得以迅速发展到今天的规模。
我国电子商务发展的初期阶段,电子商务发展面临一些阻碍:一方面,对于一些规模较小的商家和在网上开店的个人用户而言,越来越难以承担因与商业银行连接而产生的维护成本和交易费用;另一方面,在茫茫的互联网中,商户与交易者的信任面临冲击。提前付款模式中,购货方无法相信小商家和网店的信誉,现实中购货方受骗的事件也屡屡发生。货到付款模式中,商户也往往无法承担购货方大量拒收的时间成本和物流成本。
因为信息高度不对称,当时的市场开始出现道德风险和逆向选择,电子商务发展受到很大限制。后来,在新技术发展的促进下,具有担保功能、廉价高效的第三方电子支付因能够解决上述问题而异军突起,承担了电子商务中不可或缺的重要角色。
二、电子支付规制的必要性和合理性
随着电子支付的便利和电子商务对于时效性和便捷性的要求,电子商务和电子支付的关系变得更加紧密。因此,为了电子商务的良性、健康发展,有必要进一步规范电子商务中的电子支付。
同时,支付指令的电子化不仅极大地提高了支付效率,也为广大用户提供了巨大的便利,因而越来越受到支付服务提供者和用户的青睐。但伴随着支付指令的电子化,新的风险和新的问题也逐渐浮出水面。新的风险,如电子支付指令在传输过程中遭到第三方篡改的风险以及由于支付服务提供者所提供服务安全性的缺失所导致的其他风险;新的问题,如在出现错误支付和非授权支付时的责任承担问题。这些风险和问题都是在传统的非电子形式支付方式中所不存在的,因而有必要进行进一步专门规定。
虽然本法第二条第三款规定“金融类产品和服务……不适用本法”,但该规定与本法对电子支付加以规定并不冲突:本法第二条第三款对于金融类产品和服务的适用除外,主要是考虑到该类特殊服务交易的监督管理的专业性和特殊性,尤其与一般的电子商务规制路径不甚一致,因而不纳入电子商务法的调整范围,如网络借贷、互联网基金销售、互联网保险销售等,这类通过互联网方式销售金融类产品或提供金融类服务的行为因为交易标的的特殊性而区别于典型的电子商务行为,不适宜在本法中加以规定。但电子商务中的电子支付的监督管理一方面需要考虑适配电子商务的特殊性,另一方面完善电子支付规制,也是完善电子商务全流程监督管理所必需的组成部分。因而,电子支付的监督管理与电子商务的监督管理虽然相对独立,但总体上具有相互依存性,适宜在同一部法律中加以规定。此外,电子支付在电子商务中与快递物流等类似,主要体现为电子商务合同履行方式,不属于第二条排除适用的范围。
三、相关法律法规衔接
《中华人民共和国消费者权益保护法》是保护消费者权益的重要法律,电子支付服务提供者与用户之间也一般性地适用该法。
消费者权益保护法规定消费者有权要求经营者提供的商品和服务,符合保障人身、财产安全的要求,并规定了消费者的知情权、自由选择权、公平交易权,并因购买、使用商品或者接受服务受到人身、财产损害的,享有依法获得赔偿的权利。电子支付服务的用户一并享有这些权利。电子支付服务提供者也适用该法第二十八条规定的特定领域经营者的信息披露义务的规定,应当向用户提供经营地址、联系方式、商品或者服务的数量和质量、价款或者费用、履行期限和方式、安全注意事项和风险警示、售后服务、民事责任等信息。
作为通过网络提供的服务,电子支付服务也适用《中华人民共和国网络安全法》。该法详细列举了提供网络产品、服务的安全要求和个人信息保障义务,给出了具体指引和违法惩罚措施,电子支付服务提供者应当遵守这些要求,例如:电子支付服务提供者提供电子支付服务应当符合相关国家标准的强制性要求,不得设置恶意程序,发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。电子支付服务提供者提供电子支付服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。电子支付服务提供者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。电子支付服务提供者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。电子支付服务提供者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。电子支付服务提供者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。《中华人民共和国网络安全法》涉及电子支付的其他条款,电子支付服务提供者也应当遵守。
电子商务法的效力高于行政法规、地方性法规、规章等规范性文件,本法与其他法律、行政法规、地方性法规、规章等规范性文件规定不一致之处根据《中华人民共和国立法法》等相关规定处理。
《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号)将“电子支付”定义为“单位、个人直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的行为。电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。”该规定对于理解“电子支付”含义及业务范围仍有重要意义。对于电子支付指令,该指引第二十条规定:发起行、接收行应确保电子支付指令传递的可跟踪稽核和不可篡改。银行应采取必要措施保护电子支付交易数据的完整性和可靠性。这些对于电子支付指令的专业化要求充分被电子商务法所吸收。
《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号)第二条第二款规定:“本办法所称网络支付,是指依托公共网络或专用网络在收付款人之间转移货币资金的行为,包括货币汇兑、互联网支付、移动电话支付、固定电话支付、数字电视支付等。”具体细化了电子支付的类型。电子支付服务提供者及用户应当继续在法定框架内遵守该办法的相关规定,如在保护用户知情权问题上,该办法要求支付机构应当公开披露其支付业务的收费项目和收费标准。支付机构应当制定支付服务协议,明确其与用户的权利和义务、纠纷处理原则、违约责任等事项。支付机构应当公开披露支付服务协议的格式条款。在支付指令问题上,该办法要求支付机构应当具备必要的技术手段,确保支付指令的完整性、一致性和不可抵赖性,支付业务处理的及时性、准确性和支付业务的安全性;具备灾难恢复处理能力和应急处理能力,确保支付业务的连续性。
《关于促进互联网金融健康发展的指导意见》(银发〔2015〕221号)将“互联网支付”定义为“通过计算机、手机等设备,依托互联网发起支付指令、转移货币资金的服务”并明确指出互联网支付应始终坚持服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨。在保护用户知情权问题上,该办法要求支付服务中介要向用户充分披露服务信息,清晰地提示业务风险,不得夸大支付服务中介的性质和职能。电子支付服务提供者应当遵循前述规定。
《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号)将网络支付业务定义为“收款人或付款人通过计算机、移动终端等电子设备,依托公共网络信息系统远程发起支付指令,且付款人电子设备不与收款人特定专属设备交互,由支付机构为收付款人提供货币资金转移服务的活动。”在支付指令问题上,该办法要求支付机构应当确保交易信息的真实性、完整性、可追溯性以及在支付全流程中的一致性,不得篡改或者隐匿交易信息。在保护用户知情权问题上,该办法要求支付机构应当向用户充分提示网络支付业务的潜在风险,及时揭示不法分子新型作案手段,对客户进行必要的安全教育,并对高风险业务在操作前、操作中进行风险警示。在个人信息保护问题上,该办法要求支付机构应当依照中国人民银行有关客户信息保护的规定,制定有效的客户信息保护措施和风险控制机制,履行客户信息保护责任。支付机构不得存储客户银行卡的磁道信息或芯片信息、验证码、密码等敏感信息,原则上不得存储银行卡有效期。因特殊业务需要,支付机构确需存储客户银行卡有效期的,应当取得客户和开户银行的授权,以加密形式存储。支付机构应当以“最小化”原则采集、使用、存储和传输客户信息,并告知客户相关信息的使用目的和范围。支付机构不得向其他机构或个人提供客户信息,法律法规另有规定,以及经客户本人逐项确认并授权的除外。在保护用户公平交易权问题上,该办法要求支付机构应当充分尊重用户自主选择权,不得强迫用户使用本机构提供的支付服务,不得阻碍客户使用其他机构提供的支付服务。支付机构应当公平展示客户可选用的各种资金收付方式,不得以任何形式诱导、强迫客户开立支付账户或者通过支付账户办理资金收付,不得附加不合理条件。电子支付服务提供者应当在法定框架内继续遵循前述规定。
上述很多现行规定针对非银行支付机构,但基于本法第四条“各级人民政府和有关部门不得采取歧视性的政策措施”的相关原则,相关行政机关应当根据本法规定及精神制定相应具体实施细则,对于所有类型的电子支付服务提供者一视同仁,加强监管,促进电子商务与电子支付和谐健康有序发展。
四、自由选择支付方式
电子商务法规定“电子商务当事人可以约定采用电子支付方式支付价款”,即电子商务中由当事人自由合意约定支付价款的方式,可以选择电子支付方式支付价款,也可以选择其他方式支付价款。根据本法及其他法律法规,采用格式条款形式约定支付价款方式的,提供格式条款的一方应当遵循公平原则在合理范围内提供可供选择的支付方式。
基于本法第三条鼓励新业态发展的原则,也基于促进数字经济发展的需要,本法总体上鼓励使用电子支付方式支付价款,这也是本法特别设立专门条文规范电子支付的原因所在。规范化的电子支付有利于推动电子商务创新与发展。
五、电子支付服务提供者的告知义务和公平交易义务
本条第二款规定了电子支付服务提供者的告知义务和公平交易义务。
电子支付服务提供者的告知义务和公平交易义务与用户的知情权和公平交易权是相对应的。用户的知情权和公平交易权是在电子支付服务中最需要重点保护的两项权利:
1.就知情权而言,在一般市场交易中,信息弱势一方往往可能因为信息不对称受到损害。在电子支付这种科技程度较高的服务中,若电子服务提供者不履行其告知义务,则用户很难对电子支付服务有一个全面的认识,因而也很难有意识地去防范其中所隐藏的风险,最终造成用户财产权利的损害。电子支付服务提供者履行其告知义务也是保障用户资金安全的重要手段。电子支付服务提供者的告知义务,应该做到向用户提供有关电子支付服务真实全面的情况,以保障用户对该服务做出正确的判断、选择和使用,特别要就资金安全方面的情况作充分说明。
在实践中,用户的知情权容易受到侵害,主要表现在:变更协议不履行通知义务,用户无法及时了解服务更新情况;交易过程用户无法感受和知晓,支付服务提供者未履行风险提示义务;支付服务提供者的基本信息披露义务实践中难以落实等。为此需要对电子商务中用户知情权进一步保护,需要完善信息披露,让用户了解整个交易程序;强制风险告知,提高用户风险防范意识。支付服务提供者因其提供的服务存在瑕疵,导致用户受损,用户也可以依法向支付服务提供者求偿。
2.就公平交易权而言,电子支付服务提供者是价格的制定者、服务方式的操控者,客观上处于优势地位;而用户客观上处于劣势地位,往往可能不得不接受不公平、不合理的交易条件。随着电子商务与电子支付的紧密结合,电子商务消费者的消费习惯也逐渐被改变和重塑,许多电子商务消费者越来越依赖电子支付这一支付手段,用户对电子支付服务提供者信息上依赖的增强和需求的增加,使得对用户公平交易权的保护变得更加迫切和重要。这也是本款专门规定电子支付服务提供者“不得附加不合理交易条件”的原因所在。
六、电子支付指令一般要求
本条第二款也规定了电子支付服务提供者必须确保电子支付指令的完整性、一致性、可跟踪稽核和不可篡改。
根据中国人民银行相关规定、ISO/IEC 27000:2018(信息技术—安全技术—信息安全管理系统—概述和词汇)、GB/T 27910—2011(金融服务信息安全指南)以及其他相关规定,完整性、一致性、可跟踪稽核和不可篡改等可作如下理解。
完整性,即指令能够准确、完全地表达用户意志,要求交易信息包括但不限于下列内容:(1)交易渠道、交易终端或接口类型、交易类型、交易金额、交易时间,以及直接向客户提供商品或者服务的特约商户名称、编码和按照国家与金融行业标准设置的商户类别码;(2)收付款客户名称、收付款支付账户账号或者银行账户的开户银行名称及账号;(3)付款客户的身份验证和交易授权信息;(4)有效追溯交易的标识;(5)单位客户单笔超过5万元的转账业务的付款用途和事由。
一致性,即完全符合指令要求,要求可以是被明确声明的,也包括一般用户所期望的以及行业的共同惯例,这要求支付指令在全流程中物理和逻辑上保持数据的一致性,以确保支付指令最终按照用户正确意志执行。
可跟踪稽核,与相关反洗钱等监管要求一致,要求电子支付服务提供者构建客户身份识别和客户身份资料及交易记录保存管理机制。
不可篡改,要求电子支付服务提供者建立完善的信息安全保障机制,充分确保电子支付指令在全流程中不被篡改,免受包括外部攻击和内部的违法违规操作等在内的影响,以达到完整性、一致性的要求。
这一规定是针对支付机构中可能存在的交易数据丢失、交易数据被篡改、交易数据被劫持等问题而提出的,意在通过对支付服务提供者课加保证支付指令安全性的义务,维护用户的权益。本款充分吸收了相关法律法规与业务指引的相关规定,并根据电子商务法的特点进行了统合和完善。持续的技术创新是电子商务与电子支付行业的显著特点,技术创新带来了市场冲击以及对市场结构的影响。电子商务与电子支付行业的重要竞争力在于其技术创新能力,其主要风险在于能否持续保证其数据优势和技术优势,立法应当与之协调注意技术要求和技术标准在法律法规中的规定。
电子支付服务提供者应采取必要措施保护电子支付交易数据的完整性和可靠性,根据《电子支付指引(第一号)》第二十九条的规定,措施至少应包括:(1)制定相应的风险控制策略,防止电子支付业务处理系统发生有意或无意的危害数据完整性和可靠性的变化,并具备有效的业务容量、业务连续性计划和应急计划;(2)保证电子支付交易与数据记录程序的设计发生擅自变更时能被有效侦测;(3)有效防止电子支付交易数据在传送、处理、存储、使用和修改过程中被篡改,任何对电子支付交易数据的篡改能通过交易处理、监测和数据记录功能被侦测;(4)按照会计档案管理的要求,对电子支付交易数据,以纸介质或磁性介质的方式进行妥善保存。
七、免费对账服务及保存交易记录
本条第三款规定了电子支付服务提供者提供免费对账服务及保存交易记录的义务,并明确了电子支付服务提供者必须保存近三年的交易记录供用户查询。
获得相应的单据、凭证对用户在权利受损失时获得有效救济发挥着十分重要的作用。为了便利电子支付活动,不应当硬性规定电子支付服务提供者需要在每次交易时提供完整的纸质单据,但仍规定了支付服务提供者保存交易记录并向用户提供免费对账服务的义务,以保证用户能够及时核对账目,并在其主张权利之时能够获得相应的证据支持。
对于电子支付服务提供者应当向用户免费提供交易记录的时间,有两种不同看法:一种认为应当与民法总则等法律相衔接,确定免费提供交易记录的时间为三年;另一种认为,根据反洗钱法及《金融机构客户身份识别和客户身份材料及交易记录保存管理办法》等相关法律法规规定,应当确定免费提供交易记录的时间为五年。最终认为,反洗钱法及《金融机构客户身份识别和客户身份材料及交易记录保存管理办法》中保存客户资料和交易信息最少五年的规定与机构向用户免费提供交易记录的时间长短并无直接关系,是监管部门课予金融机构的特殊要求,电子商务中电子支付的小额频繁的特点,免费提供交易记录的时限过长对于电子支付服务提供者而言也是一个过重的义务,本法以向人民法院请求保护民事权利的诉讼时效期间为主要参照,规定电子支付服务提供者应当向用户免费提供最近三年的交易记录。电子支付服务提供者亦可与用户合意约定长于此时间的交易免费提供期。其他法律法规关于支付服务提供者对监管部门保存交易记录的最低时间规定与本条实际上也并无冲突。
此外,电子支付服务提供者向用户免费提供对账服务以及最近三年的交易记录的具体内容应当遵守相关法律法规的具体规定,充分保障个人信息安全。