第五十四条 【电子支付安全管理要求】
电子支付服务提供者提供电子支付服务不符合国家有关支付安全管理要求,造成用户损失的,应当承担赔偿责任。
【条文研析】
一、电子支付安全管理必要性
科技创新带来支付风险的量变乃至质变。支付和科技是密切相关的业态,现代电子支付的生命力在于科技的应用,没有科技就没有现代电子支付的蓬勃发展。
科技变革正在重写电子支付行业的交易规则,与此同时,风险相伴而生。大数据、云计算、人工智能、区块链等不断迭代创新的科技发展甚至已经开始从根本上改变现行业务模式和监管框架。一方面,科技创新和更迭速度显著加快,另一方面,科技转化为支付产品的周期大为缩短。随着互联网人群持续增加,消费者接受新科技的能力和意愿逐渐增强,新产品、新平台、新组织、新业态及其包含的网络效应向社会公众进行跨区域、跨国界和跨时间的渗透扩散速度亦加快。金融科技使电子支付服务提供者与用户之间的连接费用大幅下降,实现高效率低成本的同时,不但没有改变风险隐蔽性、突发性、传染性和负外部性等特征,反而使风险传递得更快、波及面更广,金融、技术和网络风险更易产生叠加与聚合效应,且在技术性风险、操作性风险与系统性风险等层面更加突出,具体阐述如下:
技术性风险。支付业务发展有赖于先进的技术和交易平台系统,技术和交易平台系统选择失误会带来较大风险。在计算机驱动交易的背景下,交易频率以及交易量迅速攀升,尽管新技术有利于克服寡头垄断并规范传统的市场交易主体,但技术漏洞或编程错误均会对金融市场产生巨大影响,衍生新的系统性风险。使用人工智能、大数据、云计算和区块链等技术时,数据相关性不是用于检测因果性而是用于预估未来,它就可能产生错估成本与风险。
操作性风险。操作性风险通常与不适当的操作和内部控制程序、信息系统失灵和人工失误密切相关,该风险可能在内部控制和信息系统存在缺陷时导致不可预期的损失。当科技驱动创新步伐加快时,操作性风险也会随之增加。另外,数据风险与信息安全风险相互交织,增加了信息科技风险等操作风险。
系统性风险。如果该支付企业规模达到足够大的情况下,一旦破产风险就会迅速传递至与它有链接关系的企业。
不同于以往以资金损失为主,在互联网背景下,用户的损失体现为两个重要方面:一是资金损失;二是个人信息被侵犯。
电子支付行业由于主要通过网络向客户提供产品和服务,应用信息技术手段加工处理与客户交易的相关信息,因此更加依赖以非面对面的方式获取和收集信息,进而根本改变了传统金融信息行为及其风险管理模式。
资金损失方面的风险主要体现为:电子支付平台账户风险、交易风险中账号盗用、暴力破解、拖库撞库、身份冒用、洗钱套现、高危漏洞、病毒木马等欺诈风险行为。
个人信息被侵犯方面的风险主要体现为:随着支付服务提供者对用户身份验证需求的增长,市场中也出现了一些提供身份识别服务的企业,但良莠不齐。由于身份验证涉及用户个人隐私信息,容易涉嫌违规,出现信息的盗用、滥用、非法买卖等问题。支付过程涉及用户的身份信息、银行卡信息、密码信息等诸多敏感信息,这些信息一旦泄露,便很容易给不法分子以可乘之机,给用户带来重大损失。
支付服务提供者有义务保护用户资金与信息安全,在专业性和服务能力方面具有天然优势,应当充分遵守国家有关支付安全管理的要求,维护用户合法权益,保障支付市场总体稳健。同时,也鼓励支付服务提供者创新安全保障能力,可以基于海量风险数据和强大的机器学习技术,建立精准风控模型以及信息内控机制。通过事前信息审核、事中监测预警、事后关联分析,全程实时监测业务潜在威胁。
国家有关支付安全管理要求,一般包括如下客观指标:取得相应业务牌照;有一定数量的熟悉业务的高级管理人员;有符合要求的支付业务设施(包括支付业务处理系统、网络通信系统以及容纳上述系统的专用机房);有健全的组织机构、内部控制制度和风险管理措施(包括具有合规管理、风险管理、资金管理和系统运行维护职能的部门);有符合要求的营业场所和安全保障措施;支付业务可行性研究报告;技术安全检测认证证明;等等。
二、相关法律法规衔接
本法所规定的“国家有关支付安全管理要求”可以参见:(1)《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号):该指引以专章的形式对银行从事电子支付业务采用的信息安全标准、技术标准、业务标准做出了规定,包括管理机制,审慎原则下的用户适当性保护机制、相关的技术要求,数据保密标准及内部人员控制等,并特别规定银行应建立电子支付业务运作重大事项报告制度,及时向监管部门报告电子支付业务经营过程中发生的危及安全的事项。(2)《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号):该办法明确规定支付机构应当按照审慎经营的要求,制定支付业务办法及客户权益保障措施,建立健全风险管理和内部控制制度。支付机构应当具备必要的技术手段,确保支付指令的完整性、一致性和不可抵赖性,支付业务处理的及时性、准确性和支付业务的安全性;具备灾难恢复处理能力和应急处理能力,确保支付业务的连续性,同时规定支付机构应当接受中国人民银行及其分支机构定期或不定期的现场检查和非现场检查,如实提供有关资料,不得拒绝、阻挠、逃避检查,不得谎报、隐匿、销毁相关证据材料。(3)《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号):该办法特别强调面向用户权益保护和面向用户的风险管理,要求支付机构应当综合客户类型、身份核实方式、交易行为特征、资信状况等因素,建立客户风险评级管理制度和机制,并动态调整客户风险评级及相关风险控制措施。该办法亦规定支付机构如未符合相关标准和要求,或者尚未形成国家、金融行业标准,支付机构应当无条件全额承担客户直接风险损失的先行赔付责任,等等。
有关部门也应当根据实际情况,调整和进一步规定支付安全管理要求,适应电子支付发展与创新,促进合理竞争,维护消费者合法权益,保障国家金融安全。
三、电子支付服务提供者支付安全管理义务
本条明确要求电子支付服务提供者提供电子支付服务必须符合国家有关支付安全管理要求,否则造成用户损失的,应当承担赔偿责任。
电子支付服务提供者在向用户提供电子支付服务时,必须有完善的支付安全管理。支付指令的电子化一方面极大地提高了支付的效率,但同时也对支付指令发起和传输中用户资金安全的保障提出了新的挑战。在支付指令的发起和传输过程中,可能会出现信用卡盗用、欺诈和病毒入侵电子支付系统篡改支付指令等威胁用户资金安全、个人信息安全的情况。电子支付服务提供者因未履行安全保障义务导致用户遭受损失的,其应对用户承担损害赔偿责任。本条之所以未具体明确支付安全管理要求,即考虑到了新技术爆发背景下安全要求的不断变动与发展,避免因条文死板而导致责任不清的情况发生,同时为有关部门根据实际情况灵活调整安全管理要求留下空间。
电子支付服务提供者也可以参考其他国家或地区的相关规定,进一步提高安全保障水平,如我国台湾地区“电子支付机构业务管理规则”第六条规定,电子支付机构对于收款使用者,应采取下列风险控管措施:一、建立收款使用者之征信审核机制及流程,并指派专人负责收款使用者审查、核准及管理作业。二、建立收款使用者之风险评估等机制,对风险等级较高之收款使用者,应采取限制交易金额、加强交易监测、实地访视、提存保证金、提供其他担保或延迟清算等措施,降低交易风险。三、建立收款使用者之调查、评估或实地访视机制,并根据收款使用者之风险等级,采取适当之调查、评估或实地访视之频率及方式,并留存相关纪录。四、其他主管机关规定之风险控管措施。又如欧盟支付服务指令修订版(Payment Services Directive 2,简称“PSD2”)规定:支付服务提供者负责安全措施。这些措施需要与有关的安全风险相称。支付服务提供者应建立一个框架,以降低风险并维护有效的事件管理程序。应建立定期报告机制,以确保支付服务提供者定期向主管当局提供其安全风险的最新评估以及他们为应对这些风险而采取的措施。此外,为了确保对用户、其他支付服务提供者或支付系统(例如支付系统的实质性中断)的损害保持在最低限度,必须要求支付服务提供者对主管当局无不合理拖延地报告重大安全事件。