自2011年5月中国人民银行颁发了首批《支付业务许可证》以来,以支付宝、易宝支付、快钱等为代表的第三方支付机构在我国如雨后春笋般地涌现。然而,随着第三方支付交易规模的日益壮大,第三方支付中消费者权益受损害的问题也日益凸显。依据最新的投诉数据显示,我国第三支付行业整体投诉解决率为38.9%,其中,支付行业的领军者支付宝,投诉解决率仅为11%.由此可见,仅仅倚靠向支付机构投诉的方式对保护消费者而言可谓隔靴搔痒,难以奏效。因此,我国亟需建立和完善与第三方支付业务相称的消费者权益保护机制。
一、第三方支付的概念及法律性质
第三方是买卖双方在缺乏信用保障或法律支持的情况下的资金支付“中间平台”,买方将货款付给买卖双方之外的第三方,第三方提供安全交易服务,其运作实质是在收付款人之间设立中间过渡账户,使汇转款项实现可控性停顿,只有双方意见达成一致才能决定资金去向。
笔者认为第三方支付机构并非银行,因我国商业银行法第二条规定:“本法所称的商业银行是指依照本法和《中华人民共和国公司法》设立的吸收公众存款、发放贷款、办理结算等业务的企业法人”.第三条规定了银行可以从事的十四种业务。对比来看,第三方支付机构本身不提供存款和贷款,不进行托收、信用卡、传统银行中间业务等,与传统银行还是有比较明显的差别的,因此它不是银行。但是它与银行又有千丝万缕的联系。首先,第三方支付的资金划转、结算等功能隶属于网上银行的业务组成部分。其次,第三方支付平台将客户的购物资金存放在自己相关银行的账户内,其行为本身与银行的存款业务有太大的相似性。可以说第三方支付就是银行的“寄生体”,具有一定的金融性。综上得知,第三方支付平台就是一种带有一定金融属性的支付结算组织。
二、第三方支付平台与消费者之间的法律关系界定
第三方支付平台的客户涉及与第三方支付机构签订支付服务协议的付款人、收款人。目前,在理论界,针对第三方支付平台与付款人、收款人的法律关系,有委托代理说、第三人代为履行说、债权转让说等。
笔者认为将第三方支付平台与付款人、收款人的法律关系定性为“委托代理说”更为符合。第三方支付平台在付款和收款的这两个支付流程分别充当着付款人和收款人的代理人。一般而言,委托代理行为的构成要件主要有:属于意思表示行为、代理人要基于被代理人的委托等。第一点可以从第三方支付平台分别与付款人、收款人签订的“用户协议”中得出。“用户协议”本质上是双方签订的民事合同,合同是双方的真实意思表示的载体;其次,无论是主流的 PayPal、支付宝,还是其余的第三方支付商,均在其“用户协议”中明确了自己是代理用户从事相关付款行为,例如支付宝在《支付宝服务协议》就声称:“一旦您使用本服务,您即授权本公司代理您在您及(或)您指定人符合指定条件或状态时,支付款项给您指定人,或收取您指定人支付给您的款项”.
《消费者权益保护法》第二条规定,消费者为生活消费需要购买、使用商品或者接受服务,其权益受本法保护。据此,第三方支付中的消费者应为,使用支付平台,接受平台服务的自然人、法人及其他组织,即与第三方支付机构签订支付协议的付款人和收款人。
综上所述,第三方支付平台与消费者的法律关系符合“委托代理说”无异。
三、第三方支付中消费者权益面临的巨大风险分析
2015年出台的《关于加强金融消费者权益保护工作的指导意见》中,具体规定了金融消费者享有以下八项权利:财产安全权、信息安全权、知情权、自主选择权、公平交易权、求偿权、受教育权和受尊重权。从目前第三方支付行业发展来看,特别是针对支付宝的第三方支付领域,消费者的财产安全、求偿权及作为新兴权利的个人信息权,最容易受到侵害。
(一)消费者财产安全权易受损
第三方支付中用户通过使用虚拟货币,从而避免了现金被窃,但与此同时,木马病毒和黑客入侵使支付平台安全系统受到攻击;第三方支付平台的沉淀资金缺乏监管等内容,均是消费者财产安全权受损的新型表现。
1. 第三方支付平台漏洞导致用户资金流失
第三方支付平台漏洞时有发生,特别是一些小型平台中,由于系统维护监管不到位,容易遭受到外来威胁如被病毒、黑客、恶意软件攻击。
2018 年7月30日,一名网友在豆瓣上发文称当日凌晨醒来发现手机震动不断,发现余额宝和支付宝中余额以及关联银行卡中的钱都已被转走。这条消息引得全国网友密切关注。目前,深圳龙岗警方已将数名犯罪嫌疑人抓获,并缴获作案设备,得知作案手法。犯罪嫌疑人利用伪基站和运营商拨号设备捕获受害者手机处于 2G 状态下的手机号,再利用短信嗅探设备获取约一个基站范围内的所有2G信号下手机收到的信息。信息中可能有银行发出的余额变动通知或有详细记载了银行卡账号的短信内容。再通过黑客常用的“撞库”或一些防范能力较低的第三方支付平台的固有漏洞,一般只需要手机号码和验证码就能进行盗刷。
更让人诧异的是,犯罪嫌疑目前仅仅掌握到的信息是受害人的名字、身份证号码、银行卡号及手机号码,有了这些信息就可实时获得验证码,在三、五分钟之内成功登录用户在京东、苏宁、支付宝等机构的支付账户并盗刷。因为这些网站和第三方支付机构大多都存在许多漏洞且监控措施几乎没有,有些支付机构只需输入少量信息就可完成支付。
2. 第三方支付平台的沉淀资金安全保障体系不健全
第三方支付沉积资金指在在交易的过程中,因为买家支付货款和卖家收到付款中经过了第三方,并不是同时完成的,期间有一个时间差。正是因为这个时间差,第三方支付公司会拥有一笔巨大的沉淀资金。公开数据显示,截止2016年,支付机构吸收客户备付金规模约5000亿元。截至 2017 年年底,我国对沉淀资金的管理,仅有 4个边缘性的法律法规、一个专门办法及一个通知。
首先是沉淀资金的风险管理问题,第三方支付机构拥有的沉淀资金量越大,增加了其自身违法的可能性,如果得不到有效的监管,沉淀资金则有可能被侵占,第三方支付平台如若私自挪用沉淀资金,又或者将沉淀资金与其自有资金混在一起,将会对用户资金的安全造成威胁。第三方支付平台能否拥有沉淀资金的使用权利又该怎样管理自有资金与沉淀资金,是现行法律亟待明确规范的问题。其次是沉淀资金带来的孳息归属问题,沉淀资金储存在网上第三方支付机构在银行开立的账户中,自然会产生存款利息。伴随沉淀资金量的激增,利息数值也随着扩大,这部分利息是归属于网上第三方支付平台、用户,还是归属于银行,而现行法律中并没有明确规定这部分利息的归属权。
(二)消费者个人信息权被侵害
个人信息是社会人所有身份内容的集合,涉及到个人隐私问题。个人信息权是“自然人依法对其个人信息进行控制和支配并排除他人干涉的权利
第三方支付中储存的用户信息,包括姓名、身份证、银行卡号、交易记录,甚至涉及住院信息、出行安排、GPS 定位等内容,如果随意公开,会给消费者的生活造成极为不利的影响。针对支付宝而言,虽然没有被媒体曝光,出现大型的消费者信息被泄露事件,但是从其与用户签订的《支付宝隐私权政策》中可以看出支付宝未尽保密义务主要表现为不经消费者同意就共享信息。在该政策风险防范部分写到:支付宝会向其关联公司和合作伙伴收集其合法留存的用户的行为信息、交易信息,并会对这些信息进行统计、分析。由此可见,因该政策为消费者使用支付宝而必须接受的强制性协议,完全可视为一次不经消费者同意的强迫性授权。在信息的分享和传递过程中,可能出现在网络信息监管不健全的体制下,侵害用户的正当利益的情形。
四、完善我国第三方支付中消费者权益保障体系的建议
(一)、完善金融消费者个人信息保护
考虑到第三方支付类型复杂性及专业性及多变性的问题,借鉴欧美已有的成功经验,我国应对金融消费者个人信息制定专门立法予以保护。因此,针对该问题,首要之举在于我国的相应立法中必须对第三方支付获取金融消费者个人信息范围予以明确的界定,对于某些禁止支付机构获取的信息列入保护范围。其次,还应扩大金融消费者在各个环节的权利,参照美国与欧盟的立法经验,消费者对本人的信息拥有控制权,支付机构收集信息的请求应事先经过消费者本人的同意,而信息的加工、使用、更改、公开、删减则需要得到金融消费者再次作出明确的意思表示同意和授权。
再次,立法应要求第三方支付机构对金融消费者个人信息采取有效保护的技术措施和其他必要措施,以及当个人信息遭到泄露时,支付平台应承担法律责任,消费者拥有其赔偿损害请求权。对第三方支付中金融消费者个人信息保护立法中或在《消费者权益保护法》的司法解释中应当对民事责任做出更详细的规定,加强对金融消费者在民事责任法上的救济。金融消费者的信息被泄露或非法利用可能会产生财产等其他损失,那么可相应的在《消费者权益保护法》中增加金融消费者的合理求偿权规定,在民事责任中应以损害赔偿为主,辅之停止损害或者采取补救措施的要求。同时要求支付服务机构在技术层面建立规范的网络认证标准体系,加快大数据安全保障关键技术的推广,降低信息泄露的潜在风险。
(二)、完善金融消费者资金安全及孳息归属的相关制度
1.构建第三方支付消费者保障险制度
随着第三方支付的迅速发展,支付机构擅自挪用金融消费者资金或资金被盗等事件频频发生,严重侵犯了消费者权益。想要遏制这种现象对消费者的威胁,除了要不断提升支付机构的自身网络安全建设,还应该注重分散消费者资金账户的风险。
笔者认为,应当推行支付机构强制保险制度,将对消费者的保障险设定为财产强制险。第三方支付机构对客户的备付金进行投保,在用户资金发生损失后,由保险公司先行理赔。消费者账户资金被盗的损失范围在协议赔偿范围内的;损失所发生的原因是因第三方支付机构引起的或与其有关的;损失资金超过第三方支付机构的最高赔偿数额的,均在承保范围之内。一方面,该种制度的设计中因有保险公司承保,所以保险公司就会在一定程度上对支付机构的操作进行外部监督。另一方面,拓宽了对金融消费者权利救济的途径,增强了对其资金的保护。此外还充分有利于第三方支付行业加强自身的监督和加强安全系统建设。
2.明确沉淀资金及其孳息归属问题
自从网联及银办发〔2018〕114 号文件问世之后,我国的第三方支付机构须在每月第二周的周一及时将滞留的客户备付金集中交存到备付金专门账户,极大程度上防止第三方支付机构擅自挪用客户的备付金获取自身利益,从而保障用户的资金安全。但是,由于每月存管一次,因此第三方支付机构的账户中仍然会滞留一部分的备付金,当然也会产生孳息,而对孳息的归属,却无明文规定。根据民法基本原理”取得孳息是原物权所有人收益权的体现“,则其产生的孳息也理应归属于消费者。理论上的划分简单,但是实践中要将每一笔备付金产生的利息进行及时彻底的返还,在操作上费时费力且成本极高。本文建议,可借鉴欧美国家的经验,备付金的利息应当”取之于民,用之于民“,每一笔备付金产生的孳息虽少,但是积少成多,央行可将孳息投入备付金保障险备付金。