现代金控:商业银行第三方支付法律风险及防范

发布时间:2018-11-02
        第三方支付脱离了银行卡物理介质的限制,以其高效、便捷的优势广泛受到交易平台、商家和客户的青睐,各大银行也纷纷加强与第三方支付机构的合作,其交易形式和渠道也迅速翻新。目前,主要包括电话银行、网上银行、POSP(线上POS)、第三方代收等形式。近年来,第三方支付交易的风险逐渐显现,相关案件逐年增多,银行作为基础存款关系中的债务人,往往被牵涉其中,面临的风险形势尤为严峻。
 
        大量未取得支付牌照的第三方机构为拓展业务,将实体POS交易模式嫁接到线上操作,利用POS渠道进行快捷支付,缺乏法律规制。二是验证安全性差。POSP及代收类快捷支付由第三方机构进行客户信息验证,在绑定关联交易中从始至终不需要验证支付密码。三是风险分担原则不清。一旦发生未经授权的支付(即款项被盗取),相应风险如何在支付机构、持卡人和银行之间分配,目前尚未出现比较通行的原则和标准。四是限额管理宽松。为避免支付风险,各家银行针对电子银行类交易规定了限额,而POSP一般由第三方机构自行设定,额度偏大,而通过现金管理渠道操作的代收类支付则无限额。
 
        快捷支付类案件涉及的主体多,除银行卡开户行、持卡人和犯罪分子外,还涉及第三方支付机构、业务开办行、银联、商户等主体。因此,快捷支付交易的流程通常较长,致使权利义务呈现复杂化特征。此外,合同权利义务具有相对性,即个别主体间分别构建关系,各个合同彼此独立,他方既难以获知合同内容,也难以主张权利。
 
        商业银行风险管控半径过长、机制不健全。一是签约行和开卡行不一致,一旦持卡人资金被盗取,诉求至开卡银行,开卡行很难查询到签约行与第三方机构签署合作协议的内容,难以据此进行抗辩和追索;二是联系渠道复杂,效率低下。涉案银行多为支行,遇有纠纷发生,无法与第三方支付机构及商户进行直接有效沟通;三是涉及的银行内设部门多、分工不清,处理过程漫长。
 
        诉讼案由是司法审判的基础,如将第三方支付金付通认定为存款合同纠纷,按照合同相对性原则,只要卡内资金非本人支付,只要持卡人没有违约情况或过错,银行便需承担付款责任。如果认定为支付结算纠纷,银行系配合第三方支付机构按照与持卡人的约定履行支付结算义务,只要履行过程中不存在违约或过错,便无需承担其他责任。根据目前的司法实践来看,多数法院倾向于按照存款关系来审理该类案件,于银行不利。
 
        除可以自主调查资金流动的事实外,商业银行无法依靠自身资源掌握其他证据,而快捷支付类纠纷往往争议金额较小,调查取证成本较高。同时,客户动账通知由银行总部委托电信运营公司发送,电信运营公司通常不为经营行出具动账通知发送成功的证据。此外,开卡行往往错过客户初次找到银行的最佳取证时机,随着纠纷处理的进展,客户防备警惕意识会逐渐增加,极可能推翻先前认可的事实。
 
        快速赔付程序包括两种,一种是银行内部的小额争议资金垫付程序,一种是第三方支付机构的先行赔付程序。多家银行的小额争议资金垫付程序启用程度非常低,原因主要是为了减少对客户的误导,避免形成“反正银行无条件赔偿”“持卡人不用注意支付安全”等错误认知。第三方支付机构的先赔程序也并未得到普遍适用。一是由于银行资金实力雄厚,持卡人具有选择银行理赔的偏好;二是第三方支付机构缺乏主动先行赔付的动力;三是开卡行通常不是第三方支付业务合作协议的签署方,难以主张第三方机构的先赔义务。
 
        针对第三方支付金付通业务的规范性文件不少,但仍然存在不完善的问题。一是立法层级较低。人行、原银监会及各部委出台的规范性文件属部门规章,效力层级较低,只能作为司法审判的重要参考,起不到司法指导的权威作用;二是规定滞后。例如,对于新兴的线上POS和代付类快捷支付,尚未出台规范性文件及细则;三是未触及某些核心问题。例如,风险分担基本原则、举证责任分担规则、沉淀资金归属等,均有待立法层面作出规定。
 
        第三方支付金付通灵活、丰富的支付方式为金融消费者带来了便利,推动了电子商务、电子支付的发展。但同时,第三方支付金付通功能对银行支付结算功能的替代,又对银行构成了竞争。更重要的是,不稳定的第三方支付金付通平台的风险极易向银行业传播、累积,最终可能影响到整个银行业的健康。主要体现在对敏感数据的保护存在严重安全隐患、支付平台可靠性不足可能影响银行系统平稳安全运行、容易为违法犯罪行为提供通道、安全认证强度不足、部分第三方支付业务涉及的虚拟货币业务可能对银行形成冲击、多头接入和包装交易打乱正常交易规则等六个方面。
 
        第三方支付公司掌握着大量客户和银行卡信息,这些信息已足以使银行的授权系统相信,交易或资金流动请求来自客户。如,银行卡的磁条信息、信用卡的CVN2码,这些是银行判断对方是否为持卡人的关键依据。然而,第三方支付机构成立背景复杂,风险管控能力参差不齐,第三方公司对敏感数据的保护存在严重安全隐患,例如部分敏感字段未实施加密存储,账户口令管理不严密,缺乏安全策略和安全设施,应用设计存在安全漏洞,无审计监控手段,人员流动性大,岗位配备不完备等。一旦发生信息泄露事件,就可能被不法分子用以攻击银行客户账户,给银行系统支付结算体系带来严重的影响。此前已有部分互联网公司发生过此类事件,例如2011年CSDN网站600万用户的注册邮箱账号和密码信息泄漏、天涯网站4000万用户的明文密码也遭泄露,引起了巨大的社会反响和广泛的媒体关注,也为第三方支付机构敲响了警钟。
 
        高交易量对银行系统造成压力。如淘宝网先后在2010年、2011年的11月11日进行促销,造成交易量激增,引起中国银行、招商银行、中信银行等诸多银行的网银相继短时崩溃。同时,一些小型支付平台由于运行管理不善,会出现诸如单边账、划款不及时等问题,影响客户与银行的关系。此外,由于第三方支付公司系统出现的问题,影响到银行自身的服务。例如2013年6月23日上午10时38分至11时23分,中国工商银行部分地区因计算机系统升级原因造成柜面和电子渠道业务办理上午,中国工商银行全国多地出现网点、电子渠道无法正常办理业务,在持续45分钟后恢复正常。这类事件不但对银行信息系统的安全性和平稳运行产生影响,还往往引起客户对银行服务和管理能力的质疑,影响银行声誉。
 
        部分第三方支付金付通的交易模式涉及虚拟货币,虚拟货币能够通过第三方支付金付通平台或其他渠道与实体货币进行双向兑换,也可以购买商品,已经具备了实体货币的职能。但目前虚拟货币的发行和使用尚未纳入监管范围,且游离于银行系统之外。随着第三方支付业务金付通的发展,将有越来越多的人认可和使用虚拟货币,一旦虚拟货币与实体货币对接需求高涨到一定程度,将对银行产生巨大冲击。例如:近期阿里金融推出“信用支付”产品,将根据用户在支付宝的交易数据进行授信,额度范围在200至5000元。信用额度可用于在淘宝等购物支付,资金由合作银行垫付,相当于为每个用户度身打造了一张“虚拟信用卡”,但最终的风险管控、坏账等风险仍由银行承担。
 
        支付机构为抢占市场,争取银行既有的客户资源,普遍与多家银行建立了直接连接,由于银行内部未统一归口管理部门,支付机构可通过总行不同部门或不同分支行洽谈、议价,带来以下三方面的问题。一是第三方支付机构同时承担收单和清算的双重职能,使客户通过支付机构直连发卡行,绕开了银联网络,跨行交易费率相对较低,从而在受理端争抢客户,对银联的跨行交易价格体标准成了挑战。二是第三方支付金付通机构整合线下、线上各种业务的支付数据,将高费率交易包装成低费率交易,打乱正常的交易规则,以赚取手续费差价,使银行遭受损失。三是由于受管理体制和内部考核等因素的影响,各银行之间、银行各部门及分支行之间存在一定的竞争关系。支付机构在银行各部门、分支行之间进行多头谈判,利用不同部门、分行间的不对称接入门槛,在服务价格上各个击破,不断压低银行的线上收单手续费,扰乱了市场上的银行卡价格体系。例如:在银联卡线上支付业务中,支付机构向主要商业银行支付的实际手续费费率平均在0.1%左右,远低于银联网络中0.3%至0.55%的价格水平。