2005年,第三方支付平台的突破性发展,体现了支付方式的变革。
今年2月,由阿里巴巴旗下的淘宝网花费3000万美元巨资开发,联合中国工商银行、建设银行等国内多家金融机构共同打造出“支付宝”交易服务工具。4月7日,从事多元化电子支付应用及服务的提供商通融通公司推出Yeepay电子支付平台,进军国内电子商务支付战场。5月12日,云网正式推出企业级在线支付系统支付@网。5月20日,网银在线携手VISA国际组织共同宣布,在中国电子商务在线支付市场推广“VISA验证服务”信用卡安全支付标准,期望提高在线支付的便捷性和安全性。7月11日,全球最大的在线支付商Paypal宣布落地中国,虽然舍弃了Paypal赖以成名的信用卡划账和多币种跨国交易,但这个起名“贝宝”的第三方支付平台仍然引起了同行的注视和商家的关注。10月,腾讯公司推出“财付通”,进军网上支付领域。据有关人士粗略估计,目前我国提供网上第三方支付服务的机构已不下50家!
可以说,2005年已经成为网上支付年。而相应的网上支付的法律问题也得到了人们更多的关注,焦点主要集中在支付安全的法律保障、风险责任的承担、网上支付服务的规范、电子货币的合法性、第三方支付平台的合法性等多个方面。
人民银行《电子支付指引(第一号)》的出台无疑是人们的关注焦点,该《电子支付指引(第一号)》将怎样影响我国电子支付的发展?网上支付所面临的一系列法律与安全问题能否通过该指引得到解决?第三方支付服务平台该如何得到规范和发展?电子支付法律环境的建设从该指引开始又将怎样陆续得到完善?
总体印象
2005年10月26日,中国人民银行了《电子支付指引(第一号)》(中国人民银行公告[2005]第23号,以下简称《指引》),对银行从事电子支付业务提出指导性要求,以规范和引导电子支付的发展。
该《指引》以银行与客户关系为主线,以规范电子支付、强化电子支付安全性为主要内容,将“以规范促发展、在规范中发展”作为基本原则,以指引的相对灵活的形式与效力为自身定位,全面规范电子支付行为,涉及电子支付各方权利义务、责任、安全保障、信息披露、差错处理等多个关键环节。
该《指引》的出台和实施,将有利于推动电子银行业务和电子商务的健康、有序发展;有利于明确电子支付活动参与各方的权利义务,防范支付风险;有利于推动支付工具创新,提升支付服务质量;有利于防范和打击洗钱及其他金融违法犯罪活动。可以说,《指引》开启了我国电子支付法制化建设的大门!
《指引》的适用范围
《指引》所称的电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的行为。电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。
《指引》的规范主体主要是银行及接受其电子支付服务的客户。根据参与主体的不同,电子支付分为发生在银行之间的电子支付、银行与其客户间的电子支付以及其他支付服务组织与其客户之间的电子支付。而该《指引》以调整银行和客户之间的关系为主线,引导和规范境内发生的银行为客户提供的电子支付业务。
体现的六个基本原则
第一,循序渐进原则 由于电子支付活动中支付工具和支付方式复杂性,参与主体的多样性以及其不断而快速的创新,通过一个《指引》进行全面规范的难度较大。因此,针对电子支付业务的特点、模式和参与主体的不同,综合不同发展阶段的管理要求,陆续出台相应的《指引》,以对电子支付进行较为全面的规范,这就是循序渐进的原则。第一号指引主要规范银行及其客户之间的权利义务关系。目前,人民银行已经着手研究电子支付过程中涉及到的虚拟电子货币、非银行支付服务组织的电子支付业务规范等问题。这些可能就是我们即将看到的电子支付指引第二号、第三号。再往远看,对电子支票、电子发票等合法性的规定直至电子资金划拨法等也都是我们需要解决的问题。
第二,安全第一原则 鉴于电子支付的高技术性、虚拟性、跨地域性和网络世界种种黑客纵横、病毒频出、欺诈肆虐的现实,高度的安全风险无疑是我们开展电子支付最大的敌人。如果说该《指引》通篇都在讲一个问题的话,那么这个问题一定是安全性。
从《指引》要求银行采用符合有关规定的信息安全标准、技术标准、业务标准;建立针对电子支付业务的管理制度,采取适当的内部制约机制;保证电子支付业务处理系统的安全性,以及数据信息资料的完整性、可靠性、安全性、不可抵赖性;提倡使用第三方认证,并应妥善保管密码、密钥等认证数据等一系列规定和制度设计上来看,都紧紧围绕安全性。
第三,以规范促发展原则 目前,我国电子支付业务处于创新发展时期,涉及电子支付业务的许多法律制度问题仍处于研究和探索阶段。尤其突出的是第三方支付平台的合法性问题,究竟是按照金融机构的要求来规范它们,还是按照一种第三方中介服务的模式对其进行管理,直接关系着第三方支付业的生存和发展,都是进一步发展电子支付最为棘手的问题。
为给电子支付业务的创新和发展创造较为宽松的制度环境,促进电子支付效率的提高,保障电子支付安全,先通过《指引》这种规范性文件的方式引导和规范电子支付行为,待条件成熟后再上升至相应的部门规章或法律法规,体现了我国监管部门审慎负责的态度和“在发展中规范,以规范促进发展”的指导思想。
第四,重点突破原则 个人和企业在经济交往中产生的一般性支付需求数量众多,需求千差万别,与人们日常生活息息相关,社会影响广泛。电子支付参与主体众多,涉及银行、客户、商家、第三方支付平台、系统开发商、网络运营服务商、认证服务提供机构等,而各个参与者之间都会发生各种各样的复杂的关系。全面理顺这些关系,明确各方的权利义务是一件相当复杂且具有挑战性的工作,只有抓住其中的主要矛盾才能打开局面,否则很可能陷入顾此失彼的尴尬局面。
在这些复杂的关系中,银行与客户之间的关系是这类电子支付赖以存在的基础和前提,相关的第三方支付平台、系统开发商、网络运营服务商、认证服务提供机构等都是为他们服务的。所以,《指引》以调整银行和客户之间的关系为主线,进而逐步达到明确规范各类关系的目的。
第五,用户至上原则 由于电子支付本身的高技术性、多样性和多环节性,在调整以银行、用户关系为主线的各类关系中,最大的难点无疑就在于如何平衡各方的权利义务关系。这种平衡一方面能体现法律的公平、合理和权利与义务一致的原则,另一方面应具有可操作性,有利于整个行业的长远发展。绝对的平衡一般是不可能的,相对的平衡就在于发生利益冲突时以哪方利益为先的选择上。
关键词:电子支付;非授权交易;责任承担
未授权支付是指在未经电子支付服务接受者明示或者暗示授权的情况下,他人发出支付指令,导致电子支付服务接受者账户资金减少或者发生预付卡透支的情况。在实践中,往往可能出现盗用电子支付服务接受者密码,支付工具丢失、被盗而被有权的电子支付服务接受者使用等情况,使得第三方侵权人得伪装以付款人的身份,骗取资金划拨。在这种情况下,在未找到最终责任人或者最终责任人无力赔偿时,就发生了电子支付服务接受者的资金损失由自己还是电子支付服务提供者承担的问题。
针对电子支付中的非授权支付,我国《电子商务法》将会有所规定,但目前还在草案阶段。在目前没有法律条文规定下,在司法实务中在处理此类纠纷时,起初不得不适用传统民法原理,采用《侵权责任法》中的过错责任原则,对于过错的证明采取“谁主张谁举证”的原则,但是由于互联网领域内的信息不对称等,金融消费者处于非常不利的境地,这样的司法判例不能真正体现公平原则,许多学者认为应以金融消费者保护为出发点,采取“无过错责任原则”,由电子支付服务提供者承担举证责任。固然,从法经济原理的角度来看,将举证责任由掌握大量数据和专业技术的电子支付服务提供者来承担更为合理和效率,能够更好的提高交易安全,“无过错责任原则”在很大程度上保护了金融消费者的利益,但笔者认为,法律的作用是调整社会人与人之间形成的社会关系,必须权衡双方的利益。如果无边界无区分地要求电子支付提供者承担一切损失并承担举证责任,未免过于苛刻,有的情况下电子支付服务提供者是无法证明电子支付服务使用者有过错的,同时,电子支付服务接受者可能会仗势“无过错责任原则”,主观上故意或者过失疏于账户、密码及其他安全的管理,放任资金损失发生,甚至存在骗取赔偿及补偿的道德风险。这样条文就会沦为“恶法”,无法发挥其真正的约束力。
从比较法的角度来看,中韩两国同属于大陆法系国家,韩国已经发展成为亚洲电子商务发展最快的国家,其之所以能够在电子商务的发展上取得快速的发展,健全的法律制度是重要原因之一。韩国的《电子金融交易法》第9条规定:1、金融公司或者电子金融从业者因下列所规定的任一事故造成使用者的损害时,须进行损害赔偿:(1)接触媒体的伪造或者变造引起的事故。(2)签署协议或者在发送、处理交易命令过程中发生的事故。(3)通过欺骗或者其他非法手段侵入电子金融交易的电子设备或者《促进使用电子通信网以及信息保护法》第2条第1款第1项中所称的电子通信网中获取接触媒体。2、金融公司或者电子金融从业者符合下列其中任一情况时,由使用者承担全部或者部分责任。(1)事先与使用者约定,因使用者的故意或重大过失引起的损害由使用者承担全部或者部分责任。(2)当使用者是法人时,金融公司或者电子金融从业者已尽到了合理的、充分的注意义务,如建立防止事故发生的保安措施,并严格遵守了有关内容。
笔者在对“非授权支付”研究中,也对比了英美法德等国家的相关法条,在本文中不再对欧美国家的详细条文进行赘述。比较之下认为韩国的此条规定是比较合理具有借鉴意义的。既明确细化了了电子支付服务提供者承担责任的情形,也明确规定了免责的情形。而且整个条文梳理的很清晰,不过于繁杂,符合中国立法特点。
我国在立法时,可结合目前学术界的观点,并借鉴韩国立法规定。笔者提出以下建议:
1、应当明确电子支付服务提供者承担责任的情形,以及与电子支付服务接受者双方发现支付指令未授权时的止损义务,违反该义务应承担损失扩大的责任。电子支付服务提供者最有动力也最有责任去发现未授权支付行为,一旦发现应立即通知电子支付服务接受者,否则应当承担损失扩大的责任,反之,电子支付服务接受者迟延告知时也应承担损失扩大的责任;电子支付服务提供者在知道或者应当知道发生支付未授权或者存在欺诈风险时,应采取必要措施如冻结账户、拒绝交易、追回资金等防止损失扩大。
2、应明确设定电子支付服务接受者承担全部或部分责任的条件。这样的条件设置能提高使用者的注意义务,笔者认为可借鉴韩国的规定,主要考虑使用者是否存在故意或重大过失。至于故意和重大过失的判定,可以用列举的方式加以明确,比如电子支付服务接受者将自己的支付密码告诉第三人,这明显属于故意的情形;又比如一个人故意将其密码写在手机中的备忘录中,这可归属于重大过失,此时,一旦发生非授权支付全部由电子支付服务提供者承担举证责任并承担全部损失显然是不合理不公平的,应区分具体情况由使用者承担部分责任。在韩国目前的司法判例中,如大法院的一个判决中,故意和重大过失的判断是根据密码伪造、黑客、木马链接等事故发生的具体的情形,综合考虑电子支付服务接受者的职业、金融经历、教育程度等。这样的司法判例判断标准有一定的合理性,但是这种标准也是值得商榷的,同样的侵权构成要件就因为不同的教育背景、职业经历而有不同的司法判决,这明显也是不合理的。关于这点,笔者只是抛砖引玉,还需要深究。
3、应区分主体:个人与法人,应赋予法人更高的注意义务。通常,法人对电子支付的环节会比个人更加了解和谨慎。只要电子服务提供者采取了必要的安保措施以及合理的注意义务,发生非授权支付时可以默认由法人承担相应的责任。同样,如果这样规定,也会出现同案不同判的情形。
上文笔者提出的观点是在学术讨论自由的背景下提出的一家之见,也可能漏洞百出。希望笔者疏浅有限的思考能对《电子商务法》的制定及中国司法审判有所助益。法律的制定就是要注意立法的平衡点,兼顾公平和效益。只期待未来的法律能在最大限度内平衡电子支付服务提供者和接受者的权益,既要保护金融消费者,也不能过度赋予提供者义务而阻碍新兴行业的发展,实行“良法之治”,良好的法律要促进社会经济的长远发展,让法律关系双方或多方实现共赢。(作者单位:中国人民大学法学院)
参考文献:
[1] 彭冰.银行卡非授权交易中的损失分担机制.社会科学,2013,11.
[2] 黎四奇.对钓鱼欺诈中第三方支付机构作为或不作为法律问题的思考.法律科学(西北政法大学学报),2012,3.
[3] 黎四奇.析我国电子银行业务中未经授权交易的损失承担.法商研究,2008,2,124.
[关键词] 电子商务在线支付SCPT
一、前言
随着社会经济与信息技术的不断发展,人们对支付系统的运行效率和服务质量要求越来越高,促使支付系统从手工操作转向电子化、网络化。阻碍电子商务向前发展的一个关键问题是电子支付问题,进行电子支付的研究对促进电子商务的发展具有重要的意义。
电子支付的一个核心部分就是电子支付协议。因此进行电子支付协议的研究是开展电子商务需要做的基础工作,也是电子商务得以顺利发展的基础条件。没有合适的电子支付手段相配合,这样的电子商务只能是一种电子商情或者初始意义上的电子商务。电子商务的一个重要的观念是在进行付款、信用借贷及债务清偿过程中,能够获得安全方便的服务,将商品销售和服务的付款行为整合在电子商务系统中,促进电子商务的发展。本文对现有的在线支付协议按照支付模型的不同进行了分类和比较, 在此基础上提出了一个基于电子信用卡支付模型的在线支付协议SCPT(Secure Card Payment Protocol),给出了它的形式化的描述和详细的数据结构,本文所提出的SCPT协议满足了人们对安全在线支付的要求,可以应用到实际的电子商务系统中。
二、支付模型
到现在为止,己经有几个支付模型被提了出来,其中比较著名的是由N.Asokan提出的,他按照支付中的信息的流向和“直接”,“间接”,把支付模型分为四个:直接类现金支付模型、直接类支票支付模型、间接推模型和间接拉模型。
由N.Asokan支付模型可知,只有直接类现金支付模型和直接类支票支付模型才需要电子支付协议。因此参照直接类现金支付模型和直接类支票支付模型,同时根据采用的支付工具的不同,把电子支付模型广义的分为三种:电子信用卡支付模型、电子现金支付模型、电子支票支付模型。我们把它叫作3e支付模型。对在线支付协议的分析和比较也是根据3e支付模型进行的。
三、一种新的在线支付协议SCPT的提出
根据前面对现有的在线支付协议的分析,提出了一个满足电子商务需要的基于电子信用卡支付模型的在线支付协议SCPT(Secure Card Payment Protocol)。如图所示,它具有钱的可确认性、商品的可确认性、钱的原子性,商品的原子性,确认发送原子性,安全性,原发抗抵赖。
SCPT应用的主要安全技术包括:对称密钥加密,公开密钥加密,Hash算法,数字签名等。SCPT使用对称密钥加密和公开密钥加密方式保证数据的保密性,通过数字签名保证数据的完整性和一致性,使用双重签名来保证订单和个人账号信息的隔离。
图 SCPT
SCPT不包括购买过程中的商品的选择,价格谈判等阶段。这里假设这些过程在顾客确定支付前已经完成。下面简要描述SCPT的支付处理过程。
1.当顾客到商家的网站完成了浏览、选择商品,给出订单后。顾客选择SCPT协议进行支付时,由商家服务器产生支付初始消息PaymInitMessage唤醒顾客的电子钱包。
2.支付初始消息PaymInitMessag。激活电子钱包开始支付。电子钱包首先向商家支付服务器发送支付初始化请求PinitReq,完成支付所需的必要条件。
3.支付网关对授权请款请求信息AuthCapReq进行处理。如果相应的金融机构同意支付,则支付网关生成授权应答消息AuthPaymRes发送给顾客。否则,产生错误信息发送给商家。
4.如支付成功,支付网关生成授权请款应答消息A uthCapRes发送给商家。否则返回错误标识和相应的错误信息。
5.商家接收到授权请款应答消息AuthCapRes进行处理。然后生成订单支付应答消息给OPre,顾客的服务器电子钱包。
支付完成,商家就可以发送顾客购买的商品。
下表描述了PaymInitMessage,PinitReq,PiuitRes,OPreq,AuthCapReq, AuthPaymRes, AuthCapRes, OPres消息的数据结构。
表 SCPT消息的说明
四、小结
[关键词] 电子商务在线支付SCPT
一、前言
随着社会经济与信息技术的不断发展,人们对支付系统的运行效率和服务质量要求越来越高,促使支付系统从手工操作转向电子化、网络化。阻碍电子商务向前发展的一个关键问题是电子支付问题,进行电子支付的研究对促进电子商务的发展具有重要的意义。
电子支付的一个核心部分就是电子支付协议。因此进行电子支付协议的研究是开展电子商务需要做的基础工作,也是电子商务得以顺利发展的基础条件。没有合适的电子支付手段相配合,这样的电子商务只能是一种电子商情或者初始意义上的电子商务。电子商务的一个重要的观念是在进行付款、信用借贷及债务清偿过程中,能够获得安全方便的服务,将商品销售和服务的付款行为整合在电子商务系统中,促进电子商务的发展。本文对现有的在线支付协议按照支付模型的不同进行了分类和比较, 在此基础上提出了一个基于电子信用卡支付模型的在线支付协议SCPT(Secure Card Payment Protocol),给出了它的形式化的描述和详细的数据结构,本文所提出的SCPT协议满足了人们对安全在线支付的要求,可以应用到实际的电子商务系统中。
二、支付模型
到现在为止,己经有几个支付模型被提了出来,其中比较著名的是由N.Asokan提出的,他按照支付中的信息的流向和“直接”,“间接”,把支付模型分为四个:直接类现金支付模型、直接类支票支付模型、间接推模型和间接拉模型。
由N.Asokan支付模型可知,只有直接类现金支付模型和直接类支票支付模型才需要电子支付协议。因此参照直接类现金支付模型和直接类支票支付模型,同时根据采用的支付工具的不同,把电子支付模型广义的分为三种:电子信用卡支付模型、电子现金支付模型、电子支票支付模型。我们把它叫作3e支付模型。对在线支付协议的分析和比较也是根据3e支付模型进行的。
三、一种新的在线支付协议SCPT的提出
根据前面对现有的在线支付协议的分析,提出了一个满足电子商务需要的基于电子信用卡支付模型的在线支付协议SCPT(Secure Card Payment Protocol)。如图所示,它具有钱的可确认性、商品的可确认性、钱的原子性,商品的原子性,确认发送原子性,安全性,原发抗抵赖。
SCPT应用的主要安全技术包括:对称密钥加密,公开密钥加密,Hash算法,数字签名等。SCPT使用对称密钥加密和公开密钥加密方式保证数据的保密性,通过数字签名保证数据的完整性和一致性,使用双重签名来保证订单和个人账号信息的隔离。
图 SCPT
SCPT不包括购买过程中的商品的选择,价格谈判等阶段。这里假设这些过程在顾客确定支付前已经完成。下面简要描述SCPT的支付处理过程。
1.当顾客到商家的网站完成了浏览、选择商品,给出订单后。顾客选择SCPT协议进行支付时,由商家服务器产生支付初始消息PaymInitMessage唤醒顾客的电子钱包。
2.支付初始消息PaymInitMessag。激活电子钱包开始支付。电子钱包首先向商家支付服务器发送支付初始化请求PinitReq,完成支付所需的必要条件。
3.支付网关对授权请款请求信息AuthCapReq进行处理。如果相应的金融机构同意支付,则支付网关生成授权应答消息AuthPaymRes发送给顾客。否则,产生错误信息发送给商家。
4.如支付成功,支付网关生成授权请款应答消息A uthCapRes发送给商家。否则返回错误标识和相应的错误信息。
5.商家接收到授权请款应答消息AuthCapRes进行处理。然后生成订单支付应答消息给OPre,顾客的服务器电子钱包。
支付完成,商家就可以发送顾客购买的商品。
下表描述了PaymInitMessage,PinitReq,PiuitRes,OPreq,AuthCapReq, AuthPaymRes, AuthCapRes, OPres消息的数据结构。
表 SCPT消息的说明
[关键词] 电子商务在线支付scpt
一、前言
随着社会经济与信息技术的不断发展,人们对支付系统的运行效率和服务质量要求越来越高,促使支付系统从手工操作转向电子化、网络化。阻碍电子商务向前发展的一个关键问题是电子支付问题,进行电子支付的研究对促进电子商务的发展具有重要的意义。
电子支付的一个核心部分就是电子支付协议。因此进行电子支付协议的研究是开展电子商务需要做的基础工作,也是电子商务得以顺利发展的基础条件。没有合适的电子支付手段相配合,这样的电子商务只能是一种电子商情或者初始意义上的电子商务。电子商务的一个重要的观念是在进行付款、信用借贷及债务清偿过程中,能够获得安全方便的服务,将商品销售和服务的付款行为整合在电子商务系统中,促进电子商务的发展。本文对现有的在线支付协议按照支付模型的不同进行了分类和比较, 在此基础上提出了一个基于电子信用卡支付模型的在线支付协议scpt(secure card payment protocol),给出了它的形式化的描述和详细的数据结构,本文所提出的scpt协议满足了人们对安全在线支付的要求,可以应用到实际的电子商务系统中。
二、支付模型
到现在为止,己经有几个支付模型被提了出来,其中比较著名的是由n.asokan提出的,他按照支付中的信息的流向和“直接”,“间接”,把支付模型分为四个:直接类现金支付模型、直接类支票支付模型、间接推模型和间接拉模型。
由n.asokan支付模型可知,只有直接类现金支付模型和直接类支票支付模型才需要电子支付协议。因此参照直接类现金支付模型和直接类支票支付模型,同时根据采用的支付工具的不同,把电子支付模型广义的分为三种:电子信用卡支付模型、电子现金支付模型、电子支票支付模型。我们把它叫作3e支付模型。对在线支付协议的分析和比较也是根据3e支付模型进行的。
三、一种新的在线支付协议scpt的提出
根据前面对现有的在线支付协议的分析,提出了一个满足电子商务需要的基于电子信用卡支付模型的在线支付协议scpt(secure card payment protocol)。如图所示,它具有钱的可确认性、商品的可确认性、钱的原子性,商品的原子性,确认发送原子性,安全性,原发抗抵赖。
scpt应用的主要安全技术包括:对称密钥加密,公开密钥加密,hash算法,数字签名等。scpt使用对称密钥加密和公开密钥加密方式保证数据的保密性,通过数字签名保证数据的完整性和一致性,使用双重签名来保证订单和个人账号信息的隔离。
图 scpt
scpt不包括购买过程中的商品的选择,价格谈判等阶段。这里假设这些过程在顾客确定支付前已经完成。下面简要描述scpt的支付处理过程。
1.当顾客到商家的网站完成了浏览、选择商品,给出订单后。顾客选择scpt协议进行支付时,由商家服务器产生支付初始消息payminitmessage唤醒顾客的电子钱包。
2.支付初始消息payminitmessag。激活电子钱包开始支付。电子钱包首先向商家支付服务器发送支付初始化请求pinitreq,完成支付所需的必要条件。
3.支付网关对授权请款请求信息authcapreq进行处理。如果相应的金融机构同意支付,则支付网关生成授权应答消息authpaymres发送给顾客。否则,产生错误信息发送给商家。
4.如支付成功,支付网关生成授权请款应答消息a uthcapres发送给商家。否则返回错误标识和相应的错误信息。
5.商家接收到授权请款应答消息authcapres进行处理。然后生成订单支付应答消息给opre,顾客的服务器电子钱包。
支付完成,商家就可以发送顾客购买的商品。
下表描述了payminitmessage,pinitreq,piuitres,opreq,authcapreq, authpaymres, authcapres, opres消息的数据结构。
表 scpt消息的说明
[关键词] 电子商务在线支付SCPT
一、前言
随着社会经济与信息技术的不断发展,人们对支付系统的运行效率和服务质量要求越来越高,促使支付系统从手工操作转向电子化、网络化。阻碍电子商务向前发展的一个关键问题是电子支付问题,进行电子支付的研究对促进电子商务的发展具有重要的意义。
电子支付的一个核心部分就是电子支付协议。因此进行电子支付协议的研究是开展电子商务需要做的基础工作,也是电子商务得以顺利发展的基础条件。没有合适的电子支付手段相配合,这样的电子商务只能是一种电子商情或者初始意义上的电子商务。电子商务的一个重要的观念是在进行付款、信用借贷及债务清偿过程中,能够获得安全方便的服务,将商品销售和服务的付款行为整合在电子商务系统中,促进电子商务的发展。本文对现有的在线支付协议按照支付模型的不同进行了分类和比较, 在此基础上提出了一个基于电子信用卡支付模型的在线支付协议SCPT(Secure Card Payment Protocol),给出了它的形式化的描述和详细的数据结构,本文所提出的SCPT协议满足了人们对安全在线支付的要求,可以应用到实际的电子商务系统中。
二、支付模型
到现在为止,己经有几个支付模型被提了出来,其中比较著名的是由N.Asokan提出的,他按照支付中的信息的流向和“直接”,“间接”,把支付模型分为四个:直接类现金支付模型、直接类支票支付模型、间接推模型和间接拉模型。
由N.Asokan支付模型可知,只有直接类现金支付模型和直接类支票支付模型才需要电子支付协议。因此参照直接类现金支付模型和直接类支票支付模型,同时根据采用的支付工具的不同,把电子支付模型广义的分为三种:电子信用卡支付模型、电子现金支付模型、电子支票支付模型。我们把它叫作3e支付模型。对在线支付协议的分析和比较也是根据3e支付模型进行的。
三、一种新的在线支付协议SCPT的提出
根据前面对现有的在线支付协议的分析,提出了一个满足电子商务需要的基于电子信用卡支付模型的在线支付协议SCPT(Secure Card Payment Protocol)。如图所示,它具有钱的可确认性、商品的可确认性、钱的原子性,商品的原子性,确认发送原子性,安全性,原发抗抵赖。
SCPT应用的主要安全技术包括:对称密钥加密,公开密钥加密,Hash算法,数字签名等。SCPT使用对称密钥加密和公开密钥加密方式保证数据的保密性,通过数字签名保证数据的完整性和一致性,使用双重签名来保证订单和个人账号信息的隔离。
图 SCPT
SCPT不包括购买过程中的商品的选择,价格谈判等阶段。这里假设这些过程在顾客确定支付前已经完成。下面简要描述SCPT的支付处理过程。
1.当顾客到商家的网站完成了浏览、选择商品,给出订单后。顾客选择SCPT协议进行支付时,由商家服务器产生支付初始消息PaymInitMessage唤醒顾客的电子钱包。
2.支付初始消息PaymInitMessag。激活电子钱包开始支付。电子钱包首先向商家支付服务器发送支付初始化请求PinitReq,完成支付所需的必要条件。
3.支付网关对授权请款请求信息AuthCapReq进行处理。如果相应的金融机构同意支付,则支付网关生成授权应答消息AuthPaymRes发送给顾客。否则,产生错误信息发送给商家。
4.如支付成功,支付网关生成授权请款应答消息A uthCapRes发送给商家。否则返回错误标识和相应的错误信息。
5.商家接收到授权请款应答消息AuthCapRes进行处理。然后生成订单支付应答消息给OPre,顾客的服务器电子钱包。
支付完成,商家就可以发送顾客购买的商品。
下表描述了PaymInitMessage,PinitReq,PiuitRes,OPreq,AuthCapReq, AuthPaymRes, AuthCapRes, OPres消息的数据结构。
表 SCPT消息的说明
2005年,网上支付市场的快速发展无疑是我国电子商务领域的立法者、业者和用户关注的最大焦点之一。我国网上支付用户占使用互联网用户数的比例从2004年前的17%增长到26%,第三方网上支付平台市场2001年是1.6亿元,2004年该规模增长为23亿元,预测2007年中国第三方支付平台网上支付平台市场规模将达215亿元左右。
第三方支付平台的出现,体现了支付方式的变革。作为首都电子商务工程的核心成果--首信“易支付”具有网上支付、电话支付、手机支付、短信支付、wap支付和自助终端,采用二次结算模式,可做到日清日结。2005年2月,由阿里巴巴旗下的淘宝网联合中国工商银行、建设银行等国内多家金融机构共同打造出了“支付宝”交易服务工具。4月7日,从事多元化电子支付应用及服务的通融通公司推出yeepay电子支付平台,进军国内电子商务支付市场。5月12日,云网正式推出企业级在线支付系统“支付@网”。5月20日,网银在线携手visa国际组织共同宣布在中国电子商务在线支付市场推广“visa验证服务”信用卡安全支付标准,期望提高在线支付的便捷性和安全性。7月11日,全球最大的在线支付商paypal宣布落地中国,虽然舍弃了paypal赖以成名的信用卡划账和多币种跨国交易,但这个起名“贝宝”的第三方支付平台仍然引起了同行的注视和商家的关注。10月,腾讯公司推出“财付通”,进军网上支付领域。而据有关人士粗略估计,目前我国提供网上第三方支付服务的机构已不下50家!
可以说,2005年已经成为网上支付年。而相应的网上支付的法律问题也得到了人们更多关注,焦点主要集中在支付安全的法律保障、风险责任的承担、网上支付服务的规范、电子货币的合法性、第三方支付平台的合法性等多个方面。而中国人民银行的《电子支付指引(第一号)》(中国人民银行10月26日公告[2005]第23号,以下简称“《指引》”的出台无疑使人们的关注点又一次聚焦。那么,该《指引》将怎样影响我国电子支付的发展,网上支付所面临的一系列法律与安全问题能否通过该《指引》得到解决,第三方支付服务平台该如何得到规范和发展,电子支付法律环境的建设从该《指引》开始又将怎样陆续得到完善?我们希望通过一些简要的分析来探索这一进程。
一、对《电子支付指引(第一号)》的总体印象
我国的电子支付近年来发展非常迅速,新兴电子支付工具不断出现,电子支付交易量也不断提高,已逐步成为我国零售支付体系的重要组成部分,这些都迫切要求我们就电子支付活动的业务规则、操作规范、交易认证方式、风险控制、参与各方的权利义务等进行规范。从而防范支付风险,维护电子支付交易参与者的合法权益,确保银行和客户资金的安全。总体来看,目前我国电子支付的法律环境基本处于空白阶段,电子支付的发展又呈现发展快、涉及范围广、环节多、形式多样等趋势,伴随着这些新特点的是更多新的问题,这些问题都有待我们通过电子支付的法制化建设逐步予以解决。
《指引》的对银行从事电子支付业务提出指导性要求,对规范和引导电子支付的发展提供了基础。
《指引》以银行与客户关系为主线,以规范电子支付、强化电子支付安全性为主要内容,将“以规范促发展、在规范中发展”作为基本原则,以指引相对灵活的形式全面规范电子支付行为;涉及电子支付各方权利义务、责任、安全保障、信息披露、差错处理等多个关键环节。《指引》的出台和实施,无疑有利于以下几个方面:推动电子银行业务和电子商务的健康、有序发展;明确电子支付活动参与各方的权利义务,防范支付风险;推动支付工具创新,提升支付服务质量;防范和打击洗钱及其它金融违法犯罪活动。此外,《指引》是人民银行通过规范性文件的方式来引导和规范电子支付的,在未来有可能再上升至相应的规章或法律法规。2可以说,《指引》开启了我国电子支付法制化建设的大门!
二、《指引》的适用范围
《指引》所称的电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令,实现货币支付与资金转移的行为。电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。
《指引》的规范主体主要是银行及接受其电子支付服务的客户。根据参与主体的不同,电子支付至少可以区分为几类:银行之间、银行与其客户之间以及其他支付服务组织与其客户之间的电子支付。随着电子商务的发展,作为银行向客户提供的新型金融服务产品,大量的电子支付服务面对的是个人消费者和商业企业在经济交往中产生的一般性支付需求——服务对象数量众多、支付需求千差万别,与人们日常生活息息相关,社会影响广泛。故此,保证这类电子支付系统的独立性和效率非常重要。这类电子支付参与主体众多,涉及银行、客户、商家、系统开发商、网络运营服务商、认证服务提供机构等,其中银行与客户之间的关系是这类电子支付赖以存在的基础和前提。因此,《指引》以调整银行和客户之间的关系为主线,引导和规范境内发生的银行为客户提供的电子支
付业务。在商业银行、第三方电子支付公司、安全认证机构、商户以及用户等组成的电子支付产业生态圈中,《指引》解决的是银行与支付公司这一核心纽带。而对于更多的第三方电子支付平台而言,“是技术公司还是金融公司”的争议将告一段落。与此同时,商业银行与支付公司之间的关系也在经历悄然调整的过程,过去的合作伙伴也许就是明日强劲的竞争对手,谁能在市场角逐中成为最大赢家,尚待在第二号和第三号指引出台后方能一窥端倪。
三、《指引》所体现的七个基本原则
第一,循序渐进原则:由于电子支付活动中支付工具和支付方式的复杂性、参与主体的多样性以及其不断而快速的创新,通过一个《指引》进行全面规范的难度较大。因此,针对电子支付业务的特点、模式和参与主体的不同,综合不同发展阶段的管理要求,陆续出台相应的“指引”,以对电子支付进行更为全面的规范,这就是循序渐进的原则。目前,人民银行已经着手研究电子支付过程中涉及到的虚拟电子货币、非银行支付服务组织的电子支付业务规范等问题。这些可能就是我们即将看到的电子支付指引第二号、第三号。从远期的立法计划而言,我们还需要与电子支票、电子发票的合法性直至电子资金划拨法有关的规定。
第二,安全第一原则:有鉴于电子支付的高技术性、虚拟性、无国界性和网络世界种种黑客纵横、病毒频出、欺诈肆虐的现实,高度的安全风险无疑是我们开展电子支付最大的敌人。《指引》通篇突显了一个焦点问题,那就是电子支付的安全性。从《指引》要求银行采用符合有关规定的信息安全标准、技术标准、业务标准;建立针对电子支付业务的管理制度,采取适当的内部制约机制;保证电子支付业务处理系统的安全性,以及数据信息资料的完整性、可靠性、安全性、不可否认性;提倡使用第三方认证,并应妥善保管密码、密钥等认证数据等一系列规定和制度设计来看,都是围绕着安全性出发的。
第三,以规范促发展原则:目前,我国电子支付业务处于创新发展时期,涉及电子支付业务的许多法律问题仍处于研究和探索阶段。尤其令人关注的是第三方支付平台的合法性问题,究竟应按照金融机构的要求来规范它们,抑或按照一种第三方中介服务的模式对其进行管理?这不但直接关系着第三方支付业的生存和发展,也是我国进一步发展电子支付所面临的最为棘手的问题之一。
为了给电子支付业务的创新和发展创造较为宽松的制度环境,以促进电子支付效率的提高,保障电子支付安全,我国监管部门通过先以“指引”这种规范性文件的方式引导和规范电子支付行为,待条件成熟后再上升至相应的部门规章或法律法规,体现了监管部门审慎负责的态度和“在发展中规范,以规范促进发展”的指导思想。
第四,重点突破原则:如前所述,个人和企业在经济交往中产生的一般性支付需求数量众多且与人们日常生活息息相关,对社会影响广泛。电子支付参与主体众多,涉及银行、客户、商家、第三方支付平台、系统开发商、网络运营服务商、认证服务提供机构等,而各个参与者之间都存在着各种各样的复杂关系。欲全面理顺这些关系、明确各方的权利义务绝非易事,若不能针对其中的主要矛盾解决问题,就很可能陷入顾此失彼的尴尬局面。在这些复杂的关系中,银行与客户之间的关系是这类电子支付赖以存在的基础和前提,相关的第三方支付平台、系统开发商、网络运营服务商、认证服务提供机构等都是为他们服务的。所以,《指引》以调整银行和客户之间的关系为主线,进而逐步达到明确规范各方关系的目的。
第五,用户至上原则:由于电子支付本身的高技术性、多样性和多环节性,在调整以银行--用户关系为主线的各类关系中,最大的难点无疑就在于如何平衡各方的权利义务关系。这种平衡一方面必须能体现法律的公平、合理、权利与义务一致的原则,另一方面应具有可操作性。绝对的平衡一般是不可能的,相对的平衡就在于发生利益冲突时以何者之利益为先,纵观《指引》,得出的答案应该是用户。所以《指引》第四十二条规定:“因银行自身系统、内控制度或为其提供服务的第三方服务机构的原因,造成电子支付指令无法按约定时间传递、传递不完整或被篡改,并造成客户损失的,银行应按约定予以赔偿。因第三方服务机构的原因造成客户损失的,银行应予赔偿,再根据与第三方服务机构的协议进行追偿。”第四十七条规定:“因不可抗力造成电子支付指令未执行、未适当执行、延迟执行的,银行应当采取积极措施防止损失扩大。”第二十七条规定:“银行使用客户资料、交易记录等,不得超出法律法规许可和客户授权的范围。银行应依法对客户的资料信息、交易记录等保密。除国家法律、行政法规另有规定外,银行应当拒绝除客户本人以外的任何单位或个人的查询。”
第六,规范技术应用关键环节的原则:在《指引》中,电子支付包括网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易等各种形式;涉及计算机、电话、销售点终端、自动柜员机、移动通讯工具等多种终端设备,可以说,技术性极强;而不同技
术应用模式的具体应用环境、安全性要求等也往往存在较大的差别。如果我们把规范的落脚点放在一些技术细节上,就可能导致我们疲于应付的局面,所以唯有抓住各类应用模式普遍具备的一些关键环节进行约束,才能起到事半功倍的效果。也因此在该《指引》中,明确了诸多要求,譬如要求银行应与客户签订协议,客户终止电子支付协议应提出电子或书面申请;银行应采取有效措施保证电子支付业务处理系统中的职责分离,应确保对电子支付业务处理系统的操作人员、管理人员以及系统服务商有合理的授权控制;应与开展电子支付业务相关的专业化服务机构签订协议,并确立一套综合性、持续性的程序,以管理其外包关系等,这些都是非常关键的环节,确保了对这些环节的有效控制,才能基本上解决支付中的各种主要问题。
第七,贯彻落实电子签名法原则:作为在《中华人民共和国电子签名法》(《电子签名法》)实施半年后出台的规定,《指引》在数据电文的有效性、电子签名的应用、电子认证的推广等方面都提出了明确的要求,是到目前为止我们看到的贯彻《电子签名法》最为全面、彻底的一部规定,这尤其体现在《指引》第五条3、第九条4、第十条5、第二十五条6和第三十四条7。
四、《指引》的主要内容——五大基本制度的设计
1、电子支付活动中客户和银行权利义务的基本规定
《指引》明确要求,客户申请电子支付业务,必须与银行签订相关协议,并对协议的必要事项进行了列举。银行有权要求客户提供其身份证明资料,有义务向客户披露有关电子支付业务的初始信息并妥善保管客户资料。
《指引》要求客户应按照其与发起行的协议规定,发起电子支付指令;要求发起行建立必要的安全程序,对客户身份和电子支付指令进行确认,并形成日志文件等记录;要求银行按照协议规定及时发送、接收和执行电子支付指令,并回复确认。同时还明确了电子支付差错处理中,银行和客户应尽的责任。
2、信息披露的制度设计
为维护客户权益,《指引》要求办理电子支付的银行必须公开、充分披露其电子支付业务活动中的基本信息,尤其强调对电子支付业务风险的披露,并对银行作出如下要求:
明示特定电子支付交易品种可能存在的全部风险,包括该品种的操作风险、未采取的安全措施、无法采取安全措施的安全漏洞;
明示客户使用特定电子支付交易品种可能产生的风险;
提醒客户妥善保管、妥善使用、妥善授权他人使用电子支付交易存取工具。
建立电子支付业务运作重大事项报告制度,按有关法律法规披露电子支付交易信息,及时向有关部门报告电子支付业务经营过程中发生的危及安全的事项。
3、电子支付安全性的制度设计
安全性是电子支付的重中之重。《指引》要求银行采用符合有关规定的信息安全标准、技术标准、业务标准;建立针对电子支付业务的管理制度,采取适当的内部制约机制;保证电子支付业务处理系统的安全性,以及数据信息资料的完整性、可靠性、安全性、不可否认性;提倡使用第三方认证,并应妥善保管密码、密钥等认证数据;明确银行对客户的责任不因相关业务的外包关系而转移,并应与开展电子支付业务相关的专业化服务机构签订协议,确立综合性、持续性的程序,以管理其外包关系;同时还要求银行具有一定的业务容量、业务连续性和应急计划等。
《指引》还要求银行根据审慎性原则,针对不同客户,在电子支付类型、单笔支付金额和每日累计支付金额等方面作出合理限制。同时,明确提出了在三种情况下的具体金额限制:“银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币。”、“银行为客户办理电子支付业务,单位客户从其银行结算账户支付给个人银行结算账户的款项,其单笔金额不得超过5万元人民币,但银行与客户通过协议约定,能够事先提供有效付款依据的除外。”、“银行应在客户的信用卡授信额度内,设定用于网上支付交易的额度供客户选择,但该额度不得超过信用卡的预借现金额度”等。这些措施对防范电子支付风险,保障客户资金安全将发挥积极作用。
5、电子证据合法性的制度设计
《指引》以《电子签名法》为法律依据,进一步确认了电子证据的法律效力和实际可采性。如《指引》第五条规定:“电子支付指令与纸质支付凭证可以相互转换,二者具有同等效力。”从原则上确定了电子证据的证据效力。第九条规定:“银行应认真审核客户申请办理电子支付业务的基本资料,并以书面或电子方式与客户签订协议。银行应按会计档案的管理要求妥善保存客户的申请资料,保存期限至该客户撤销电子支付业务后5年。”这又从制度上保证了诉讼期间相关证据的可采纳性。此外,《指引》第十条规定:“银行为客户办理电子支付业务,应根据客户性质、电子支付类型、支付金额等,与客户约定适当的认证方式,如密码、密钥、数字证书、电子签名等。认证方式的约定和使用应遵循《中华人民共和国电子签名法》等法律法规的规定。”这又进一
步从操作的层面保证了电子证据的可采纳性。
另一方面,《指引》还从交易和管理的角度鼓励合理保存、采用电子证据。例如第十八条规定“发起行应采取有效措施,在客户发出电子支付指令前,提示客户对指令的准确性和完整性进行确认”;第十九条规定“发起行应确保正确执行客户的电子支付指令,对电子支付指令进行确认后,应能够向客户提供纸质或电子交易回单”;第二十条规定“发起行、接收行应确保电子支付指令传递的可跟踪稽核和不可篡改”;第二十一条规定“发起行、接收行之间应按照协议规定及时发送、接收和执行电子支付指令,并回复确认”;第三十条规定:“银行应采取必要措施为电子支付交易数据保密:(一)对电子支付交易数据的访问须经合理授权和确认;(二)电子支付交易数据须以安全方式保存,并防止其在公共、私人或内部网络上传输时被擅自查看或非法截取;(三)第三方获取电子支付交易数据必须符合有关法律法规的规定以及银行关于数据使用和保护的标准与控制制度;(四)对电子支付交易数据的访问均须登记,并确保该登记不被篡改。”所有这些规定都是围绕电子支付指令与签名的合法、有效性的,如果能够按照这样的程序去操作,再结合电子签名法的相关法律要求,理论上应该可以做到电子支付过程中相关电子证据的合法有效性。
6、防止欺诈的制度设计
目前,在电子支付领域,种种欺诈、“钓鱼”、冒充身份、非法侵入、篡改信息等现象屡见不鲜,这些欺诈侵权行为一旦得手,往往会给用户带来很大的损失8。
电子支付是通过开放的网络来实现的,支付信息很容易受到来自各种途径的攻击和破坏,信息的泄露和受损直接威胁到企业和用户的切身利益,所以信息安全是树立和维护客户对电子交易信心的关键。《指引》要求银行在物理上保证电子支付业务处理系统的设计和运行能够避免电子支付交易数据在传送、处理、存储、使用和修改过程中被泄露和篡改;采取有效的内部控制措施为交易数据保密;在法律法规许可和客户授权的范围内妥善保管和使用各种信息和交易资料;明确规定按会计档案的要求保管电子支付交易数据;提倡由合法的第三方认证机构提供认证服务,以保证认证的公正性;此外,亦要求在境内完成境内发生的人民币电子支付交易信息处理及资金清算。还有,《指引》对于应用电子签名、签署书面协议、交易限额、日志记录、指令确认、回单确认、信息披露和及时通知都作出了一系列的要求,这些制度的设计都是围绕防止欺诈的。如果我们能够严格贯彻这些要求,应该可以对那些看似无孔不入的欺诈起到一定的防止作用。
7、差错处理的制度设计
在《指引》的四十九条规定中,关于差错处理的规定就占了十条,应该说是规定得比较全面的;不仅明确了电子支付差错处理应遵守的据实、准确和及时的原则,还充分考虑了用户资料被泄露或篡改,非资金所有人盗取他人存取工具发出电子支付指令,客户自身未按规定操作或由于自身其他原因造成电子支付指令未执行、未适当执行、延迟执行,接收行由于自身系统或内控制度等原因对电子支付指令未执行、未适当执行或迟延执行致使客户款项未准确入账,因银行自身系统、内控制度或为其提供服务的第三方服务机构的原因造成电子支付指令无法按约定时间传递、传递不完整或被篡改等多种实际情况。明确了处理差错的原则和相应的补救措施。
以上信息披露制度、安全保障制度、证据保存制度、防止欺诈制度、差错处理制度可以并称为《指引》的五大基本制度。
五、《指引》的三点不足
作为一部从体例到内容都很具探索意义的规定,《指引》在某些细节处理上存在一定的不足或值得进一步探讨之处肯定是在所难免的,毕竟其中涉及了太多的法律问题、技术问题和管理问题。
第一,电子支付指令的效力等同问题不够细化。
《指引》第五条规定:“电子支付指令与纸质支付凭证可以相互转换,二者具有同等效力”。可以说,这样的规定十分必要,和《电子签名法》9的规定相呼应,赋予电子凭证以法律效力。但在实践中,该条款能产生多大的效力,却可能需要我们划一个问号,并且值得我们深思如何能切实地让这个条款在实践中具有可操作性。
第二,将电子签名与数字证书不宜并列。
《指引》第十条规定:“银行为客户办理电子支付业务,应根据客户性质、电子支付类型、支付金额等,与客户约定适当的认证方式,如密码、密钥、数字证书、电子签名等”,该规定将电子签名与数字证书、密码、密钥等相并列,这一表述同样出现在《指引》第二十五条中。
但是,电子签名与数字证书并非同一层次上的概念。根据《电子签名法》第2条的规定“本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据”,这里的电子签名的范围是很广的,包括符合条件的密码、口令、密钥乃至眼虹膜透视识别等,当然也包括数字签名,而数字证书实际上就是用认证机构的私钥对证书申请签名,并形成特定格式的证书;证书以认证机构的私钥签名以后,发送到目录服务器供用户
下载和查询。认证机构通过向其用户提供可靠的目录,保证证书上用户名称与公钥是正确的,从而解决可能被欺骗的问题10。证书之内容包括用户姓名、公钥密码、电子邮件地址以及其他信息的数位化文件。
在该有效期内的证书可以藉以推定以下事项:
1、公钥系依据其被指定之目的而有效使用;
2、公钥与其他载于证书内之信息之约束力是有效的11。
而就认证机构所签发之证书,申请人必须对任何信赖该证书内所记载之资料之人士承担应负之责任。
因此,数字证书是验证数字签名的工具。也就是说,密码、密钥、数字证书、电子签名之间存在相互依存的关系,它们之间并不是并列的概念。既便于将他们并列,那么也应理解,出现在此的也应是数字签名而不是数字证书。再者,根据国际上普遍确立的技术中立原则,任何一种达到签名功能的签名技术都不应受到任何限制或任何偏袒,12也就是说,数字签名只是目前电子签名技术中相对成熟的手段,并不是唯一或永远最科学的电子签名方式13。
第三,银行责任承担问题规定不清。
《指引》第四十一条规定:“由于银行保管、使用不当,导致客户资料信息被泄露或篡改的,银行应采取有效措施防止因此造成客户损失,并及时通知和协助客户补救。”在这里,我们不得不说,其中回避了一个十分重要的问题,那就是银行是否应作出相应赔偿的问题。
