建设网上支付法制环境电子商务师考试

文章作者 100test 发表时间 2010:03:23 18:55:38
来源 100Test.Com百考试题网

　　2005年，网上支付市场的快速发展无疑是我国电子商务领域的立法者、业者和用户关注的最大焦点之一。我国网上支付用户占使用互联网用户数的比例从2004年前的17％增长到26％，第三方网上支付平台市场2001年是1.6亿元，2004年该规模增长为23亿元，预测2007年中国第三方支付平台网上支付平台市场规模将达215亿元左右。
　　第三方支付平台的出现，体现了支付方式的变革。作为首都电子商务工程的核心成果--首信“易支付”具有网上支付、电话支付、手机支付、短信支付、WAP支付和自助终端，采用二次结算模式，可做到日清日结。2005年2月，由阿里巴巴旗下的淘宝网联合中国工商银行、建设银行等国内多家金融机构共同打造出了“支付宝”交易服务工具。4月7日，从事多元化电子支付应用及服务的通融通公司推出Yeepay电子支付平台，进军国内电子商务支付市场。5月12日，云网正式推出企业级在线支付系统“支付＠网”。5月20日，网银在线携手VISA国际组织共同宣布在中国电子商务在线支付市场推广“VISA验证服务”信用卡安全支付标准，期望提高在线支付的便捷性和安全性。7月11日，全球最大的在线支付商Paypal宣布落地中国，虽然舍弃了Paypal赖以成名的信用卡划账和多币种跨国交易，但这个起名“贝宝”的第三方支付平台仍然引起了同行的注视和商家的关注。10月，腾讯公司推出“财付通”，进军网上支付领域。而据有关人士粗略估计，目前我国提供网上第三方支付服务的机构已不下50家！
　　可以说，2005年已经成为网上支付年。而相应的网上支付的法律问题也得到了人们更多关注，焦点主要集中在支付安全的法律保障、风险责任的承担、网上支付服务的规范、电子货币的合法性、第三方支付平台的合法性等多个方面。而中国人民银行发布的《电子支付指引（第一号）》（中国人民银行10月26日公告[2005]第23号, 以下简称“《指引》”的出台无疑使人们的关注点又一次聚焦。那么，该《指引》将怎样影响我国电子支付的发展，网上支付所面临的一系列法律与安全问题能否通过该《指引》得到解决，第三方支付服务平台该如何得到规范和发展，电子支付法律环境的建设从该《指引》开始又将怎样陆续得到完善？我们希望通过一些简要的分析来探索这一进程。
　　一、对《电子支付指引（第一号）》的总体印象
　　我国的电子支付近年来发展非常迅速，新兴电子支付工具不断出现，电子支付交易量也不断提高，已逐步成为我国零售支付体系的重要组成部分, 这些都迫切要求我们就电子支付活动的业务规则、操作规范、交易认证方式、风险控制、参与各方的权利义务等进行规范。从而防范支付风险，维护电子支付交易参与者的合法权益，确保银行和客户资金的安全。总体来看，目前我国电子支付的法律环境基本处于空白阶段，电子支付的发展又呈现发展快、涉及范围广、环节多、形式多样等趋势，伴随着这些新特点的是更多新的问题，这些问题都有待我们通过电子支付的法制化建设逐步予以解决。
　　《指引》的发布对银行从事电子支付业务提出指导性要求，对规范和引导电子支付的发展提供了基础。
　　《指引》以银行与客户关系为主线，以规范电子支付、强化电子支付安全性为主要内容，将“以规范促发展、在规范中发展”作为基本原则，以指引相对灵活的形式全面规范电子支付行为；涉及电子支付各方权利义务、责任、安全保障、信息披露、差错处理等多个关键环节。《指引》的出台和实施，无疑有利于以下几个方面：推动电子银行业务和电子商务的健康、有序发展；明确电子支付活动参与各方的权利义务，防范支付风险；推动支付工具创新，提升支付服务质量；防范和打击洗钱及其它金融违法犯罪活动。此外，《指引》是人民银行通过规范性文件的方式来引导和规范电子支付的，在未来有可能再上升至相应的规章或法律法规。2可以说，《指引》开启了我国电子支付法制化建设的大门！
　　二、《指引》的适用范围
　　《指引》所称的电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令，实现货币支付与资金转移的行为。电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。
　　《指引》的规范主体主要是银行及接受其电子支付服务的客户。根据参与主体的不同，电子支付至少可以区分为几类：银行之间、银行与其客户之间以及其他支付服务组织与其客户之间的电子支付。随着电子商务的发展，作为银行向客户提供的新型金融服务产品，大量的电子支付服务面对的是个人消费者和商业企业在经济交往中产生的一般性支付需求——服务对象数量众多、支付需求千差万别，与人们日常生活息息相关，社会影响广泛。故此，保证这类电子支付系统的独立性和效率非常重要。这类电子支付参与主体众多，涉及银行、客户、商家、系统开发商、网络运营服务商、认证服务提供机构等，其中银行与客户之间的关系是这类电子支付赖以存在的基础和前提。因此，《指引》以调整银行和客户之间的关系为主线，引导和规范境内发生的银行为客户提供的电子支付业务。在商业银行、第三方电子支付公司、安全认证机构、商户以及用户等组成的电子支付产业生态圈中，《指引》解决的是银行与支付公司这一核心纽带。而对于更多的第三方电子支付平台而言，“是技术公司还是金融公司”的争议将告一段落。与此同时，商业银行与支付公司之间的关系也在经历悄然调整的过程，过去的合作伙伴也许就是明日强劲的竞争对手，谁能在市场角逐中成为最大赢家，尚待在第二号和第三号指引出台后方能一窥端倪。
　　三、《指引》所体现的七个基本原则
　　第一，循序渐进原则：由于电子支付活动中支付工具和支付方式的复杂性、参与主体的多样性以及其不断而快速的创新，通过一个《指引》进行全面规范的难度较大。因此，针对电子支付业务的特点、模式和参与主体的不同，综合不同发展阶段的管理要求，陆续出台相应的“指引”，以对电子支付进行更为全面的规范，这就是循序渐进的原则。目前，人民银行已经着手研究电子支付过程中涉及到的虚拟电子货币、非银行支付服务组织的电子支付业务规范等问题。这些可能就是我们即将看到的电子支付指引第二号、第三号。从远期的立法计划而言，我们还需要与电子支票、电子发票的合法性直至电子资金划拨法有关的规定。
　　第二，安全第一原则：有鉴于电子支付的高技术性、虚拟性、无国界性和网络世界种种黑客纵横、病毒频出、欺诈肆虐的现实，高度的安全风险无疑是我们开展电子支付最大的敌人。《指引》通篇突显了一个焦点问题，那就是电子支付的安全性。从《指引》要求银行采用符合有关规定的信息安全标准、技术标准、业务标准；建立针对电子支付业务的管理制度，采取适当的内部制约机制；保证电子支付业务处理系统的安全性，以及数据信息资料的完整性、可靠性、安全性、不可否认性；提倡使用第三方认证，并应妥善保管密码、密钥等认证数据等一系列规定和制度设计来看，都是围绕着安全性出发的。
　　第三，以规范促发展原则：目前,我国电子支付业务处于创新发展时期,涉及电子支付业务的许多法律问题仍处于研究和探索阶段。尤其令人关注的是第三方支付平台的合法性问题，究竟应按照金融机构的要求来规范它们，抑或按照一种第三方中介服务的模式对其进行管理？这不但直接关系着第三方支付业的生存和发展，也是我国进一步发展电子支付所面临的最为棘手的问题之一。
　　为了给电子支付业务的创新和发展创造较为宽松的制度环境，以促进电子支付效率的提高，保障电子支付安全，我国监管部门通过先以“指引”这种规范性文件的方式引导和规范电子支付行为，待条件成熟后再上升至相应的部门规章或法律法规，体现了监管部门审慎负责的态度和“在发展中规范，以规范促进发展”的指导思想。
　　第四，重点突破原则：如前所述，个人和企业在经济交往中产生的一般性支付需求数量众多且与人们日常生活息息相关，对社会影响广泛。电子支付参与主体众多，涉及银行、客户、商家、第三方支付平台、系统开发商、网络运营服务商、认证服务提供机构等，而各个参与者之间都存在着各种各样的复杂关系。欲全面理顺这些关系、明确各方的权利义务绝非易事，若不能针对其中的主要矛盾解决问题，就很可能陷入顾此失彼的尴尬局面。在这些复杂的关系中，银行与客户之间的关系是这类电子支付赖以存在的基础和前提，相关的第三方支付平台、系统开发商、网络运营服务商、认证服务提供机构等都是为他们服务的。所以，《指引》以调整银行和客户之间的关系为主线，进而逐步达到明确规范各方关系的目的。
第五，用户至上原则：由于电子支付本身的高技术性、多样性和多环节性，在调整以银行--用户关系为主线的各类关系中，最大的难点无疑就在于如何平衡各方的权利义务关系。这种平衡一方面必须能体现法律的公平、合理、权利与义务一致的原则，另一方面应具有可操作性。绝对的平衡一般是不可能的，相对的平衡就在于发生利益冲突时以何者之利益为先，纵观《指引》，得出的答案应该是用户。所以《指引》第四十二条规定：“因银行自身系统、内控制度或为其提供服务的第三方服务机构的原因，造成电子支付指令无法按约定时间传递、传递不完整或被篡改，并造成客户损失的，银行应按约定予以赔偿。因第三方服务机构的原因造成客户损失的，银行应予赔偿，再根据与第三方服务机构的协议进行追偿。”第四十七条规定：“因不可抗力造成电子支付指令未执行、未适当执行、延迟执行的，银行应当采取积极措施防止损失扩大。”第二十七条规定：“银行使用客户资料、交易记录等，不得超出法律法规许可和客户授权的范围。银行应依法对客户的资料信息、交易记录等保密。除国家法律、行政法规另有规定外，银行应当拒绝除客户本人以外的任何单位或个人的查询。”
　　第六，规范技术应用关键环节的原则：在《指引》中，电子支付包括网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易等各种形式；涉及计算机、电话、销售点终端、自动柜员机、移动通讯工具等多种终端设备，可以说，技术性极强；而不同技术应用模式的具体应用环境、安全性要求等也往往存在较大的差别。如果我们把规范的落脚点放在一些技术细节上，就可能导致我们疲于应付的局面，所以唯有抓住各类应用模式普遍具备的一些关键环节进行约束，才能起到事半功倍的效果。也因此在该《指引》中，明确了诸多要求，譬如要求银行应与客户签订协议，客户终止电子支付协议应提出电子或书面申请；银行应采取有效措施保证电子支付业务处理系统中的职责分离，应确保对电子支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制；应与开展电子支付业务相关的专业化服务机构签订协议，并确立一套综合性、持续性的程序，以管理其外包关系等，这些都是非常关键的环节，确保了对这些环节的有效控制，才能基本上解决支付中的各种主要问题。
　　第七，贯彻落实电子签名法原则：作为在《中华人民共和国电子签名法》（《电子签名法》）实施半年后出台的规定，《指引》在数据电文的有效性、电子签名的应用、电子认证的推广等方面都提出了明确的要求，是到目前为止我们看到的贯彻《电子签名法》最为全面、彻底的一部规定，这尤其体现在《指引》第五条3、第九条4、第十条5、第二十五条6和第三十四条7。
　　四、《指引》的主要内容——五大基本制度的设计
　　1、电子支付活动中客户和银行权利义务的基本规定
　　《指引》明确要求，客户申请电子支付业务，必须与银行签订相关协议，并对协议的必要事项进行了列举。银行有权要求客户提供其身份证明资料，有义务向客户披露有关电子支付业务的初始信息并妥善保管客户资料。
　　《指引》要求客户应按照其与发起行的协议规定，发起电子支付指令；要求发起行建立必要的安全程序，对客户身份和电子支付指令进行确认，并形成日志文件等记录；要求银行按照协议规定及时发送、接收和执行电子支付指令，并回复确认。同时还明确了电子支付差错处理中，银行和客户应尽的责任。
　　2、信息披露的制度设计
　　为维护客户权益，《指引》要求办理电子支付的银行必须公开、充分披露其电子支付业务活动中的基本信息，尤其强调对电子支付业务风险的披露，并对银行作出如下要求：
　　明示特定电子支付交易品种可能存在的全部风险，包括该品种的操作风险、未采取的安全措施、无法采取安全措施的安全漏洞；
　　明示客户使用特定电子支付交易品种可能产生的风险；
　　提醒客户妥善保管、妥善使用、妥善授权他人使用电子支付交易存取工具。
　　建立电子支付业务运作重大事项报告制度，按有关法律法规披露电子支付交易信息，及时向有关部门报告电子支付业务经营过程中发生的危及安全的事项。
　　3、电子支付安全性的制度设计
　　安全性是电子支付的重中之重。《指引》要求银行采用符合有关规定的信息安全标准、技术标准、业务标准；建立针对电子支付业务的管理制度，采取适当的内部制约机制；保证电子支付业务处理系统的安全性，以及数据信息资料的完整性、可靠性、安全性、不可否认性；提倡使用第三方认证，并应妥善保管密码、密钥等认证数据；明确银行对客户的责任不因相关业务的外包关系而转移，并应与开展电子支付业务相关的专业化服务机构签订协议，确立综合性、持续性的程序，以管理其外包关系；同时还要求银行具有一定的业务容量、业务连续性和应急计划等。
　　《指引》还要求银行根据审慎性原则，针对不同客户，在电子支付类型、单笔支付金额和每日累计支付金额等方面作出合理限制。 同时，明确提出了在三种情况下的具体金额限制：“银行通过互联网为个人客户办理电子支付业务，除采用数字证书、电子签名等安全认证方式外，单笔金额不应超过1000元人民币，每日累计金额不应超过5000元人民币。”、“银行为客户办理电子支付业务，单位客户从其银行结算账户支付给个人银行结算账户的款项，其单笔金额不得超过5万元人民币，但银行与客户通过协议约定，能够事先提供有效付款依据的除外。”、“银行应在客户的信用卡授信额度内，设定用于网上支付交易的额度供客户选择，但该额度不得超过信用卡的预借现金额度”等。这些措施对防范电子支付风险，保障客户资金安全将发挥积极作用。
　　5、电子证据合法性的制度设计
　　《指引》以《电子签名法》为法律依据，进一步确认了电子证据的法律效力和实际可采性。如《指引》第五条规定：“电子支付指令与纸质支付凭证可以相互转换，二者具有同等效力。”从原则上确定了电子证据的证据效力。第九条规定：“银行应认真审核客户申请办理电子支付业务的基本资料，并以书面或电子方式与客户签订协议。银行应按会计档案的管理要求妥善保存客户的申请资料，保存期限至该客户撤销电子支付业务后5年。”这又从制度上保证了诉讼期间相关证据的可采纳性。此外，《指引》第十条规定：“银行为客户办理电子支付业务，应根据客户性质、电子支付类型、支付金额等，与客户约定适当的认证方式，如密码、密钥、数字证书、电子签名等。认证方式的约定和使用应遵循《中华人民共和国电子签名法》等法律法规的规定。”这又进一步从操作的层面保证了电子证据的可采纳性。
　　另一方面，《指引》还从交易和管理的角度鼓励合理保存、采用电子证据。例如第十八条规定“发起行应采取有效措施，在客户发出电子支付指令前，提示客户对指令的准确性和完整性进行确认”；第十九条规定“发起行应确保正确执行客户的电子支付指令，对电子支付指令进行确认后，应能够向客户提供纸质或电子交易回单”；第二十条规定“发起行、接收行应确保电子支付指令传递的可跟踪稽核和不可篡改”；第二十一条规定“发起行、接收行之间应按照协议规定及时发送、接收和执行电子支付指令，并回复确认”；第三十条规定：“银行应采取必要措施为电子支付交易数据保密：（一）对电子支付交易数据的访问须经合理授权和确认；（二）电子支付交易数据须以安全方式保存，并防止其在公共、私人或内部网络上传输时被擅自查看或非法截取；（三）第三方获取电子支付交易数据必须符合有关法律法规的规定以及银行关于数据使用和保护的标准与控制制度；（四）对电子支付交易数据的访问均须登记，并确保该登记不被篡改。”所有这些规定都是围绕电子支付指令与签名的合法、有效性的，如果能够按照这样的程序去操作，再结合电子签名法的相关法律要求，理论上应该可以做到电子支付过程中相关电子证据的合法有效性。
　　6、防止欺诈的制度设计
　　目前，在电子支付领域，种种欺诈、“钓鱼”、冒充身份、非法侵入、篡改信息等现象屡见不鲜，这些欺诈侵权行为一旦得手，往往会给用户带来很大的损失8。
　　电子支付是通过开放的网络来实现的，支付信息很容易受到来自各种途径的攻击和破坏，信息的泄露和受损直接威胁到企业和用户的切身利益，所以信息安全是树立和维护客户对电子交易信心的关键。《指引》要求银行在物理上保证电子支付业务处理系统的设计和运行能够避免电子支付交易数据在传送、处理、存储、使用和修改过程中被泄露和篡改；采取有效的内部控制措施为交易数据保密；在法律法规许可和客户授权的范围内妥善保管和使用各种信息和交易资料；明确规定按会计档案的要求保管电子支付交易数据；提倡由合法的第三方认证机构提供认证服务，以保证认证的公正性；此外，亦要求在境内完成境内发生的人民币电子支付交易信息处理及资金清算。还有，《指引》对于应用电子签名、签署书面协议、交易限额、日志记录、指令确认、回单确认、信息披露和及时通知都作出了一系列的要求， 这些制度的设计都是围绕防止欺诈的。如果我们能够严格贯彻这些要求，应该可以对那些看似无孔不入的欺诈起到一定的防止作用。
　　7、差错处理的制度设计
　　在《指引》的四十九条规定中，关于差错处理的规定就占了十条，应该说是规定得比较全面的；不仅明确了电子支付差错处理应遵守的据实、准确和及时的原则，还充分考虑了用户资料被泄露或篡改，非资金所有人盗取他人存取工具发出电子支付指令，客户自身未按规定操作或由于自身其他原因造成电子支付指令未执行、未适当执行、延迟执行，接收行由于自身系统或内控制度等原因对电子支付指令未执行、未适当执行或迟延执行致使客户款项未准确入账，因银行自身系统、内控制度或为其提供服务的第三方服务机构的原因造成电子支付指令无法按约定时间传递、传递不完整或被篡改等多种实际情况。明确了处理差错的原则和相应的补救措施。
以上信息披露制度、安全保障制度、证据保存制度、防止欺诈制度、差错处理制度可以并称为《指引》的五大基本制度。
　　五、《指引》的三点不足
　　作为一部从体例到内容都很具探索意义的规定，《指引》在某些细节处理上存在一定的不足或值得进一步探讨之处肯定是在所难免的，毕竟其中涉及了太多的法律问题、技术问题和管理问题。
　　第一，电子支付指令的效力等同问题不够细化。
　　《指引》第五条规定：“电子支付指令与纸质支付凭证可以相互转换，二者具有同等效力”。可以说，这样的规定十分必要，和《电子签名法》9 的规定相呼应，赋予电子凭证以法律效力。但在实践中，该条款能产生多大的效力，却可能需要我们划一个问号， 并且值得我们深思如何能切实地让这个条款在实践中具有可操作性。
　　第二，将电子签名与数字证书不宜并列。
　　《指引》第十条规定：“银行为客户办理电子支付业务，应根据客户性质、电子支付类型、支付金额等，与客户约定适当的认证方式，如密码、密钥、数字证书、电子签名等”，该规定将电子签名与数字证书、密码、密钥等相并列，这一表述同样出现在《指引》第二十五条中。
　　但是，电子签名与数字证书并非同一层次上的概念。根据《电子签名法》第2条的规定“本法所称电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据”，这里的电子签名的范围是很广的，包括符合条件的密码、口令、密钥乃至眼虹膜透视识别等，当然也包括数字签名，而数字证书实际上就是用认证机构的私钥对证书申请签名，并形成特定格式的证书；证书以认证机构的私钥签名以后，发送到目录服务器供用户下载和查询。认证机构通过向其用户提供可靠的目录，保证证书上用户名称与公钥是正确的，从而解决可能被欺骗的问题10。证书之内容包括用户姓名、公钥密码、电子邮件地址以及其他信息的数位化文件。
　　在该有效期内的证书可以藉以推定以下事项：
　　1、公钥系依据其被指定之目的而有效使用；
　　2、公钥与其他载于证书内之信息之约束力是有效的11。
　　而就认证机构所签发之证书，申请人必须对任何信赖该证书内所记载之资料之人士承担应负之责任。
　　因此，数字证书是验证数字签名的工具。也就是说，密码、密钥、数字证书、电子签名之间存在相互依存的关系，它们之间并不是并列的概念。既便于将他们并列，那么也应理解，出现在此的也应是数字签名而不是数字证书。再者，根据国际上普遍确立的技术中立原则，任何一种达到签名功能的签名技术都不应受到任何限制或任何偏袒，12也就是说，数字签名只是目前电子签名技术中相对成熟的手段，并不是唯一或永远最科学的电子签名方式13。
　　第三，银行责任承担问题规定不清。
　　《指引》第四十一条规定：“由于银行保管、使用不当，导致客户资料信息被泄露或篡改的，银行应采取有效措施防止因此造成客户损失，并及时通知和协助客户补救。”在这里，我们不得不说，其中回避了一个十分重要的问题，那就是银行是否应作出相应赔偿的问题。
　　第四十二条规定：“因银行自身系统、内控制度或为其提供服务的第三方服务机构的原因，造成电子支付指令无法按约定时间传递、传递不完整或被篡改，并造成客户损失的，银行应按约定予以赔偿。”该条款非常重要，体现了用户至上的原则，有利于保护用户的合法权益。但是美中不足的是“按约定予以赔偿”的问题，因为在实际操作中，相关约定恐怕都是银行方面制订的， 14大部分消费者恐怕都没有进行这方面约定的意识和能力，这样的保护很可能在实践中就要变成“摆设”了。
　　从根本上而言，《指引》的不足主要是由先天和后天因素造成的。作为一种规范性文件，《指引》不可能规定任何罚则和强制性措施，它只有上升至相应的法律法规才具有普遍约束力。另一方面，由于电子支付问题在现实中的复杂性，《指引》采取循序渐进的折衷方式，对目前比较成熟的环节单独进行规范，冀望能将其它问题留待日后的《指引》第二号或第三号来解决。我们希望，《指引》第二号或第三号能够合理避免相类似的问题。