王凌杰|论互联网支付服务提供者的义务及责任

王凌杰

中国政法大学民商经济法学院硕士生

要目

一、互联网支付服务提供者概述

二、互联网支付服务法律关系

三、互联网支付服务提供者责任及其限制

随着近些年我国电子商务的高速发展,第三方互联网支付服务以其相对于传统支付方式的一系列优势日渐取得人们的青睐。互联网支付服务提供者是指依托互联网为收付款人提供货币支付与资金转移服务的经营者,具有综合性、远程性及数据性。在互联网支付服务合同的框架下,互联网支付服务提供者的义务主要为以互联网支付数据处理义务为主给付义务的支付服务义务群,包括互联网支付数据维护义务、支付数据信息传输义务、支付数据的保留与删除义务以及支付环境安全保障义务等。关于互联网支付服务者的责任,现行法有明确规定,实践中主要问题在于未授权支付情形下互联网支付服务提供者的责任,对此需明确互联网支付服务提供者责任的边界,为其设置减责和免责事由防止其过多地承担损害赔偿责任;将部分责任解释为一般过错责任能够较好地平衡互联网支付服务提供者和用户之间的责任分配规则。

一、互联网支付服务提供者概述

20世纪末第三方互联网支付服务提供者在电子商务的潮流中应运而生,1998年,美国最受欢迎的第三方互联网支付服务提供者贝宝(PayPal)公司成立;进入21世纪,国内领先且目前是全球最大的互联网支付服务提供者支付宝于2001建立,依托腾讯微信支付服务提供者的微信支付在2013年成立,随后各种第三方互联网支付服务提供者大量涌现并进入我们的生活。

互联网支付服务提供者的概念界定

早在2005年,我国官方文件中就出现了与传统支付手段相区别的“电子支付”一词,该种支付手段中又有一种称为“网上支付”。而后,在2010年,“网络支付”一词也正式出现在官方文件中,该支付方式又分为货币汇兑、互联网支付、固定电话支付等方式。“网上支付”与“网络支付”二词均为同一机关发布的文件用词,因此发布在后的“网络支付”应是对“网上支付”一词的修正,所以“网络支付”实际上是“电子支付”的下位概念,而“互联网支付”又是“网络支付”的下位概念。而电子商务法中关于支付价款的部分则没有区分各种具体的电子支付方式,所以电子商务法中的“电子支付”范围并不限于互联网支付,而在实践中,电子商务交易所采取的支付方式主要为狭义的互联网支付,货币汇兑及固定电话支付等方式较为少见。而本文探讨的主要指贝宝、支付宝和微信支付这类依托互联网经营的电子支付服务提供者,故本文采用“互联网支付”一词。而本文所指互联网支付服务提供者是指依托互联网为收付款人提供货币支付与资金转移服务的经营者。

实践中,存在两种互联网支付服务模式,分别为网上银行和非金融机构支付服务模式。网上银行服务由传统银行机构自身提供,可视为银行的互联网柜台服务,用户无须使用实体存折和银行卡,仅需在开户时提供相关信息,并下载网上银行应用程序便可开通网上支付、账户查询等业务。许多金融机构现在通过网站或手机应用程序提供网上银行服务,常见的网上银行服务包括:账户余额查询和账单、票据支付服务、资金转移及分行和自动柜员机位置等服务。除了这些常规的网上银行服务,一些金融机构也开始通过移动互联网提供一些新型支付服务。例如,USAA是第一家利用用户移动设备上的摄像头功能创建USAA存款移动服务的金融机构,用户可以使用该服务拍摄支票正面和背面的照片,并通过拍摄的图像将支票存入其银行账户。

非金融机构支付服务模式则是指为用户创建独立与银行账户的支付账户,以及基于该账户为用户提供的支付、收款等服务,或根据用户支付指令,向其他电子支付服务提供者下达支付指令。这种支付服务提供者向其服务用户(包括小商户)提供支付范围。交易通过提供者的系统进行处理,并且可以访问由第三方持有或发行的用户现有的资金来源,例如活期存款账户或借记卡、信用卡乃至储值卡,或者提供者可能有专用的资金账户。

互联网支付服务提供者的特征

相较于传统转账、汇款等支付方式,互联网支付有其显著的优势,尤其在电子商务领域,这种优势体现在其对支付模式的创新。以贝宝和支付宝为例,使用这两者,支付处理过程类似。贝宝和支付宝首先接受消费者的支付指令,然后将根据支付指令资金转移给商家,并收取一定的费用。因为支付服务提供者对资金增加了一层“支付保护”来保障支付安全,所谓支付保护,即在支付前向付款方提示支付风险,如果交易失败,它会自动向付款方退款,这使得交易能够在双方互不认识的情况下进行。

贝宝和支付宝都可以为用户创建独立的支付账户,也可以使用户通过第三方支付服务使用借记卡或信用卡支付。它们均为其商家提供了两项主要的支付功能:通过贝宝或支付宝功能本身进行支付的和通过信用卡或借记卡支付。对于后者,贝宝和支付宝代表其用户与各大银行和信用卡商进行交易。虽然比较简化,但这本质上意味着两家公司均允许其在线用户使用自己的银行借记卡的账户。贝宝开创了信用卡支付的“记录商户”商业模式,并在其他在线支付服务提供者中流行起来。这是贝宝吸引小商户的另一个方面——它可以让那些无法直接获得信用卡商户账户资格的卖家,或者那些不愿为获得自己的账户而费尽周折的卖家进行在线支付。

互联网支付服务提供者的这些优势,体现出它们的三个显著特征,即综合性、远程性及数据性。综合性是指在互联网支付服务合同中,互联网支付方提供的服务内容涵盖了支付的各个方面。在支付准备阶段,向互联网支付需求者开放注册服务,用户可以绑定银行账户并向支付服务账户转移资金,支付服务提供者维护支付系统并保持支付服务的可用性;在支付阶段,互联网支付提供者能够提供支付环境监控及支付数据处理服务,并将支付服务信息以数据信息的形式固定,提高支付服务效率。在支付处理完成之后,互联网支付服务提供者会对支付状态进行实时反馈。远程性指互联网支付服务的履行不要求支付互联网支付服务用户、收款方和支付服务商处于同一时空。传统服务合同的履行过程中,合同双方之间的存在直接物理互动,而互联网支付服务合同的双方可通过互联网信息技术,在不同地点提供和接受服务。互联网支付服务也因互联网技术可以同时为全国乃至全世界的支付需求者和提供支付服务。数据性指互联网支付服务主要是一种与支付数据高度结合的服务。互联网支付虽也可能提供线下实体支付服务,但其得以运行的关键在于其掌握的支付数据信息。在收集到这些支付数据信息后,互联网支付服务提供者还会对这些信息数据进行分析和处理,使之成为可供上游电商平台及用户利用的信息。

二、互联网支付服务法律关系

互联网支付服务法律关系性质及构造

互联网支付法律关系是指在电子商务支付服务提供者上进行交易活动时,互联网支付服务使用者委托互联网支付服务提供者或电子商务支付服务提供者对其账户或价款按照约定方法进行托管,并在条件成就、接到使用者的支付指令后,将价款交付给相对方而形成的服务关系。关于该种法律关系的性质,学者们大多认同支付服务提供者与用户之间的关系为保管关系与委托关系。还有学者提出“支付委托关系说”,以委托合同为框架统合上述两种关系。该说认为互联网支付服务提供者与用户之间的关系为支付委托合同关系,其中支付服务提供者的主给付义务为根据用户委托完成用户支付操作,而其他诸如用户资金保管、支付安全保障等义务均为从给付义务或附随义务。本文认可该观点,因为绝大多数情形下,用户使用互联网支付服务是为了进行各种支付操作,而非仅为储蓄或保管,例如用户将资金转入支付宝或微信账户,主要是为了进行下一步的支付操作,因此应将支付服务提供者处理用户支付指令的数据处理义务认定为主给付义务,而将资金保管义务、账户安全保障义务等作为从给付义务或附随义务加以解释。

互联网支付服务涉及三类法律关系的主体,即互联网支付服务提供者、互联网支付服务用户以及受领支付指令的机构。有学者认为互联网支付服务关系中的主体为支付服务提供者和电子商务消费者,本文认为,使用互联网支付服务的用户不应过于狭义地限制于消费者。因为消费者概念所涵甚窄,其购买商品或接受服务须“不以盈利为目的”,而参与互联网支付法律关系的主体显然不仅包括此所谓“消费者”。我国电子商务法采取广义的电子商务定义,规范一切依托电子商务手段进行的商业活动,因此电子支付抑或互联网支付不仅应用于企业对消费者交易中,企业对企业交易以及消费者对企业交易也可能会使用到互联网支付服务。故笔者认为,互联网支付法律关系的主体为互联网支付服务提供者和互联网支付服务用户,而后者不仅包括电子商务消费者,还包括互联网支付服务提供者经营者和支付服务提供者内经营者等使用互联网支付服务的企业。不仅如此,除互联网支付服务提供者与互联网支付服务用户外,在前述非金融机构支付服务模式中,若互联网支付服务提供者提供网关型第三方支付服务,向其他用户存款的机构发送支付指令,则受领支付指令的机构也是一方主体,其有义务根据受领支付指令进行相应支付操作。

互联网支付服务关系的客体为互联网支付服务。首先,互联网支付服务包括支付服务提供者为用户提供的银行账户及资金的绑定或保管服务,同时,一些服务提供者依托大型电子商务支付服务提供者,如支付宝之于淘宝网,由于其保管价款能够形成较大规模的资金池,他们还为用户提供了相应的理财服务余额宝。但值得注意的是,互联网支付服务提供者向用户提供的金融类产品和服务本不属于电子商务法调整范围,但金融类产品和服务中的电子支付,如使用余额宝中资金进行的支付仍属于互联网支付服务,适用电子商务法中的相关规则。其次,互联网支付服务包括支付服务提供者为用户提供支付服务及配套的交易安全辅助服务,支付服务提供者在收到用户支付指令时会将用户资金从其账户中划扣,待交易成就后将资金价款支付给交易相对方。同时支付服务提供者还会提供一系列交易安全保障措施,以支付宝为例,支付宝会在收到用户对可疑用户的支付指令前会提醒用户交易风险,此外,支付宝会在支付前评估移动互联网终端设备的安全情况,防止用户支付信息泄露。最后,支付服务还包括提供者还为用户提供交易资金价款返还服务,如基于电子商务支付服务提供者的交易未达成的情况下,用户选择申请退款,经电商支付服务提供者内经营者确认,支付服务提供者便会将提前预划扣的资金价款返还至用户的银行账户或者支付服务账户中。

互联网支付服务关系的内容主要为互联网支付服务中的权利义务关系。根据服务模式,可分为两种。在网上银行模式下,支付服务商义务较为简单,即保管用户资金、根据用户支付指令转移用户资金的义务,以及提供相应的账单查询、余额查询及账户安全保障等服务的义务。非金融机构支付服务模式下,支付服务提供者的义务较为复杂,首先,用户将银行账户与其在支付服务提供者处的账户绑定,或将价款转移至其在支付服务提供者处的账户里,此时,支付服务提供者承担相应的账户绑定和转移资金的义务;其次,使用支付服务时,支付服务提供者应当根据用户的支付指令,将价款预先从用户的银行账户或支付服务提供者账户中划扣,待交易成就时交付给交易相对方。

互联网支付服务提供者的义务

基于支付服务提供者与用户之间的合同关系,也即前述支付服务合同关系。在互联网支付服务合同的框架下,互联网支付服务提供者的义务主要为以互联网支付数据处理义务为主给付义务的支付服务义务群,具体包括互联网支付数据维护义务、支付数据信息传输义务、支付数据的保留与删除义务以及支付环境安全保障义务等。

第一,互联网支付数据处理义务。该义务是指为解决用户具体支付需求,互联网支付服务提供者应提供适当的互联网支付服务,通过互联网信息系统处理用户支付指令,并完成相应操作,如转移相关资金、绑定银行账户等。此外,在交易未达成时将价款返还到用户的账户中,该过程中,支付服务提供者承担依据用户支付指令向相对方支付资金的义务,防范交易风险以及在交易未成就时的资金返还义务。支付服务提供者还应当将用户的各类支付信息处理汇总,为用户展示不仅如此,支付服务提供者在这一环节还应当将用户的敏感信息尤其是可识别的个人信息进行去识别化处理,避免用户的个人信息在存储和传输过程中发生泄露。

第二,互联网支付数据维护义务。互联网支付服务提供者应当保障支付数据处理、储存系统的良好运行,保障用户支付数据信息的安全,及时处理数据管理设备或系统的异常。支付数据的维护对互联网支付服务提供者的用户来说至关重要,在支付数据管理服务中,用户实际上将其支付数据信息的控制权交给了支付服务提供者,支付服务提供者对这些数据不仅有物理层面的控制,还具有虚拟层面的控制,因而应当承担对这些支付数据的维护义务。支付数据维护包括保障支付数据管理服务的持续和保障支付数据安全两个方面。一方面,支付服务提供者应持续提供支付数据管理服务。支付数据管理服务的持续,建立在物理层面的服务器和存储设备等硬件设备及虚拟层面的计算机信息系统的良好运行之上,当数据管理服务所依赖的硬件设备或信息系统出现异常,如服务器宕机或系统崩溃,用户的生活和经营行为的将受到一定影响,对一些数据驱动型企业用户来说,数据管理服务的中断甚至是致命的。因此,互联网支付服务提供者应当保证其服务的持续性,不仅不能主动中断服务,更要积极维护相关硬件设备和软件系统,避免业务异常并及时处理异常情况。另一方面,支付服务提供者还应保障其所管理的支付数据信息的完整性和机密性,防止用户支付数据被删除、篡改、窃取,确保用户的商业秘密和敏感信息免遭泄露和盗用。当支付数据信息涉及用户和第三方可识别个人信息及其他敏感个人信息时,应进行匿名化处理。

第三,支付数据信息传输义务。该义务是指支付服务提供者应当向支付服务商、支付需求方和收货方及时传输经其处理的支付数据信息,保持数据信息传输通道的通畅,使各方及时收到支付数据信息。互联网支付服务具有远程性,服务的质量和效果便体现在支付服务提供者向用户反馈的数据信息上。为妥善提供该项服务,第一,在互联网支付服务合同关系中,支付服务提供者不仅应当在支付服务开始之前向用户充分披露如风险、注意事项和收费标准等重要数据信息,在合同履行的过程中也要持续向用户通知各种重要数据信息。第二,互联网支付服务提供者应当保障支付数据信息传输系统的可用性。互联网支付服务提供者传输支付数据时,应确保用户可以获取,即确保支付服务提供者用户端对用户开放,且不存在不合理的访问障碍。

第四,支付数据的保留与删除义务。互联网支付服务提供者应当在用户需要保留支付数据时提供一定期限的保留服务,并且应当在用户需要时将支付服务提供者收集储存的用户支付数据删除。无论是在互联网支付服务提供者与用户的服务关系存续期间还是终止之后,用户一方都可能会面临两种情形,一是出于诉讼、监管或其他法律原因需要保留支付服务提供者所储存的支付数据的情形,二是相关支付数据对用户仍有价值,用户需要一定时间将这些数据恢复或拷贝的情形。若互联网支付服务提供者在数据管理服务期间或服务关系终止后立即将对方的支付数据删除,作为数据主体的用户则会蒙受法律上的不利或经济上的损失,而支付服务提供者经营者则因此处于相对优势地位。为平衡数据主体和数据控制者之间的权利义务,互联网支付服务提供者应当在一定期限内为用户保留支付数据。不仅如此,互联网支付服务提供者还有删除用户支付数据尤其是涉及可识别个人信息及敏感信息的数据的义务。实践中,支付服务提供者服务条款会要求支付服务提供者经营者在用户要求时或用户不介意删除时删除用户的相关数据。值得注意的是,数据的删除分为两个级别,较低级别也是我们日常语境下的“删除”并不会彻底抹煞数据,而较高级别的“删除”则是指物理层面销毁存储设备,或通过技术手段将数据“覆盖”,这样才能彻底销毁数据。一般来说,支付数据通常不需要适用高级别的删除,只要使其不具有可访问性,静待这些数据被新数据“覆盖”即可。但互联网支付服务提供者在提供支付数据管理服务的过程中,难免会收集和储存一些用户和收款方的个人信息、敏感信息,如家庭住址和医药用品购买记录等,对于这些数据,支付服务提供者有义务在用户和收款方的要求下通过技术手段或物理方式讲这些数据彻底删除。

第五,支付环境安全保障义务。互联网支付服务提供者在提供互联网支付服务时,应当保障用户支付环境的安全性,确保用户支付信息数据安全。具体而言,其一,该义务要求互联网支付服务提供者为用户提供相应的支付环境安全验证程序,检查用户支付所使用的信息系统环境,排查潜在的恶意程序;其二,在支付过程中,互联网支付服务提供者应当验证用户身份,通过IP地址及支付密码、指纹验证等方式确认支付操作者为用户本人;其三,互联网支付服务提供者有义务对用户进行基础的支付安全教育,提高用户的安全支付意识。值得注意的一点是,互联网支付服务提供者的支付环境安全保障义务不应被理解为一种结果义务,而应是一种手段义务,即只要互联网支付服务提供者合理提供了支付环境安全保障的服务,便可视为履行了支付环境安全保障义务,而不用为所有支付安全漏洞造成的损害承担责任。

三、互联网支付服务提供者责任及其限制

互联网支付服务提供者责任

在实践中,互联网支付服务中出现的最主要的问题是未授权支付。因此,本文重点讨论未授权支付情形下互联网支付服务提供者的责任。上述电子商务法直接规定的互联网支付服务提供者责任中的第三和第四种均为未授权支付责任,区别在于,第三种未经授权情形中,互联网支付服务提供者不知道这种未经授权的支付行为;而第四种未授权支付行为是指互联网支付服务提供者发现支付指令未授权或已收到用户的未授权通知,但未及时采取措施防止损失的发生或扩大的行为。电子商务法对未授权支付确立的规则是,一般情形下损害由支付服务提供者承担,若支付服务提供者能够证明损失由用户过错造成,则损失由用户自负。

责任的限制

互联网支付服务提供者是电子商务过程中的重要中介环节,一味加重互联网支付服务提供者的责任,不仅会增加其运营成本,还可能给整个电子商务产业带来一种更广泛的“寒蝉效应”,这不利于互联网支付服务和电子商务的 健康 发展。而目前电子商务法规定的四个互联网支付服务提供者的典型损害赔偿责任中,前三种均被理解为推定了互联网支付服务提供者的过错,对互联网支付服务提供者课以这些相对严格的责任可能有过于严苛之嫌。因此我们需要采取一定措施如设置相应的免责事由或减轻责任的事由,或将过于严格的推定过错责任解释为一般过错责任来对其支付服务提供者的责任加以限制,避免寒蝉效应过度抑止互联网支付服务的发展。