三、第三方支付机构法律制度——以消费者保护为核心
1. 货币转移服务法
如前所述,美国监管者一般将第三方支付机构定义为货币转移服务商。与银行或者证券监管不同的是,美国在联邦层面上并没有对货币转移服务商进行专门立法监管,仅在反洗钱法中有相关特别规定,因此州立法的重要性在这个领域尤为突出。美国绝大多数州、特区及海外领地均对货币转移服务进行了立法,比如阿拉巴马、特拉华等州的《支票销售法》(Sales of Check Act);[10]亚利桑那、佛罗里达等州的《货币转移服务商法》(Transmitters of Money Act/ Money Transmitter Act);以及爱荷华、华盛顿等州的《货币服务法》(Money Service Act)。为方便起见,下文将这些立法统一称为“货币转移服务法”。
美国各州的货币转移服务法对于第三方支付的监管没有一致的规范,但是其思路却大同小异,即通过对支付运营商实行准入和主体监管的方式来规范支付运营商,提高准入门槛与保护消费者资金的安全是其主要的关注点。一般来说,各州均要求支付运营商或者说货币转移服务商履行以下义务:(1)获取州颁发的执照;(2)定期向相关机构进行报告;(3)接受州官员的审计;(4)维持符合要求的最低净资产;(5)维持一定的保证金;(6)只在受限的范围内进行投资等等。以PayPal为例,作为美国最大的第三方支付机构,PayPal已于美国50个州、哥伦比亚特区、波多黎各以及美属维京群岛等州或者地区取得了运营执照。[11]
2001年,统一州法全国会议委员会(National Conference of Commissioners on Uniform State Laws,简称NCCUSL)发布了《统一货币服务法案》(Uniform Money Services Act),[12]截至2013年,该法案已经被8个州以及波多黎各、美属维京群岛两个海外自治地区部分或全部采纳。鉴于《统一货币服务法案》是目前该领域最有代表性、最新的规则范本,我们将以该法案为例介绍美国各州对第三方支付机构的监管框架。
首先,按照《统一货币服务法案》,申请货币转移服务执照的申请人应当按照该法第202条的要求提交申请材料,除名称、住址、开户银行等基本信息以外,还应包括以下重要信息:(1)申请人、申请人的董事、经理、高级官员或其他申请人的控制人过去10年内刑事犯罪及重大诉讼的历史;(2)申请人用于提供支付服务的资金或者信贷来源;(3)支付工具协议或者用户服务协议的样本;(4)对于从业经验以及将要从事的业务的陈述;(5)申请人上一财务年度经审计的财务报表等等。执照的申请是各州禁止不合格、不诚信的经营者进入支付行业的第一道关卡,上述信息将帮助监管者判断申请者是否为适格的经营者。
为保证合规经营,申请人应当在申请执照时向监管机构提供5万—30万美元的保证金(具体金额视营业地点多少而定,必须以备用信用证或者担保债券等易兑现的形式提交),该保证金用于向因经营者违规经营而受损失的客户支付赔偿。在货币转移服务提供商提供服务期间及停止服务后的5年内,均应维持该笔保证金。此外,持证经营者必须保持25万美元以上的净资产。[13]保证金和净资产的要求在整个货币转移服务法的消费者保护体系当中是非常重要的,这两个条款可以提高第三方支付行业的准入门槛,通过提高欺诈成本的方式将一部分不诚信的申请人拒之门外。
违规审查发生在颁发执照之后。州监管机构可以在提前45天通知的情况下对持照经营者或其授权代表进行年度检查;如果监管机构认为持照经营者违法、违规或者是违反了安全稳健经营的原则,监管机构也可以在任意时间不经通知即对经营者进行检查。除受监督检查以外,持证经营者还负有以下报告义务:(1)在经营期间一旦申请时提交的信息发生任何实质性的变动,持证经营者应当在15个工作日内向监管机构提交变动后的有关信息;(2)持证经营者应当在财务年度结束后的45天内向监管机构提交授权代表名单、提供货币服务的场所列表等;(3)在持证经营者有理由知道特定重大事项发生后的1日内,应向监管机构提交相关报告,该等重大事件包括但不限于持证经营者破产或重整、解散或重组、执照被暂停、保证金减损等等。另外,持证经营者的控制权变动必须得到监管机构的事前批准,以保证经营者不能通过并购来规避准入审批。
最后,《统一货币服务法案》规定提供货币转移服务的运营商应该持有市值不低于其所持有的客户资金的获许投资。获许投资的核心特点是投资类型的低风险性,除货币资金和银行存单之外,《统一货币服务法案》允许的获许投资还包括:(1)受存款保险制度保护的存款机构的非次级债务;(2)由联邦储备体系成员银行作为承兑人的银行承兑汇票;(3)在国家级评级机构评级分类中处于最高三类评级的投资;(4)债务人、担保人为美国联邦、州政府或其组成部门的证券投资;(5)投资上述低风险资产的投资公司发行的份额等等。显然,获许投资制度的核心目的就是保障客户资金的安全,虽然这一制度无法解决破产风险问题,但是至少可以加强货币转移服务商的运营稳健性,从而实现消费者保护的目的。
从PayPal的实践来看,PayPal早期即选择过使用客户资金投资货币市场基金,但是在2008年金融危机后,由于商业票据市场的低迷,PayPal投资的货币市场基金陷入持续亏损,最终PayPal于2011年结束了此项业务,转而将所有的客户资金以存单等形式存入银行。需要强调的是,《统一货币服务法案》下的“客户资金”不仅仅指本州消费者存放在货币转移服务商处的资金,而是指第三方支付机构所有客户存放在其处的资金余额,也就是说只要第三方支付机构在某一州注册为货币转移服务商,则必须就其全部托管资金额受到获许投资限制。
介绍完美国货币转移服务法,不妨再将其与我国的《非金融机构支付服务管理办法》进行对比:第一,我国的《非金融机构支付服务管理办法》也规定了非常严格的准入审批程序,不仅对申请人及其高级管理人员的资质和犯罪记录、受行政处罚记录进行核查,还对申请人的出资人的适格性进行审查。除此之外,在实缴注册资本的要求上更是高达1亿元人民币,即使仅在省内进行经营的支付机构也需缴纳3000万元的注册资本。第二,《非金融机构支付服务管理办法》同样规定了严格的报告和检查制度,如第21条规定“支付机构应当按规定向所在地中国人民银行分支机构报送支付业务统计报表和财务会计报告等资料”,第35条规定“支付机构应当接受中国人民银行及其分支机构定期或不定期的现场检查和非现场检查,如实提供有关资料,不得拒绝、阻挠、逃避检查,不得谎报、隐匿、销毁相关证据材料”等,且监管机构在支付机构有重大经营风险和违法违规情形时还可以要求其停止办理部分或全部业务。第三,对于客户备付金的管理也非常严格,不但明确指出“支付机构接受的客户备付金不属于支付机构的自有财产”,还要求支付机构只能选择一家商业银行作为备付金存管银行,在该银行开立备付金专用存款账户存放备付金,不得将备付金用作其他用途。也就是说,中国版本的“获许投资”只有一种,即银行存款。此外,监管者还要求备付金的存管银行协助监督备付金的管理:“备付金存管银行应当对存放在本机构的客户备付金的使用情况进行监督,并按规定向备付金存管银行所在地中国人民银行分支机构及备付金存管银行的法人机构报送客户备付金的存管或使用情况等信息资料”。
综上所述,我国的《非金融机构支付服务管理办法》虽然没有规定担保和最低净值要求,但是在准入、监督检查和客户资金用途限制上较美国法律严格很多,能够非常好地保护消费者权益,但这种严格的限制是否矫枉过正,仍然需要时间和事实来检验。
2. 存款保险法律制度
我们在前文中提到,FDIC认为PayPal等第三方支付机构不属于FDIC的被保险人范畴,拒绝为PayPal提供存款保险服务,因此一旦PayPal发生破产,用户在PayPal存储的余额将得不到存款保险的保护。
但是,PayPal无法在FDIC投保并不意味着存款保险制度完全不能保护第三方支付机构用户的资金,存款保险制度中避免银行破产风险的制度仍然能够在一定程度上发挥作用。如前所述,第三方支付机构可以利用用户资金进行获许投资范围内的投资活动,但是由于投资收益等问题,以PayPal为代表的一些第三方支付机构往往选择将所有的用户资金以存单等形式存放在受存款保险保护的商业银行。存款保险制度一般而言主要适用于个人存款者,其25万美元的保险额度相对于PayPal庞大的存款金额而言是非常小的,一旦银行破产,PayPal最多仅能获得25万美元赔偿,而这些赔偿显然并不能使PayPal的用户满意。
由于PayPal不实际使用客户的余额资金,而是将这部分资金统一存放在银行,资金是以PayPal的名义而非直接以客户的名义进入银行系统,并不是对这部分消费者进行区别对待的充足理由。为合理保护PayPal用户的利益,使其免受银行破产的风险,FDIC认为可以对PayPal及其用户适用“过桥保险”(Pass-through Insurance)制度。
所谓的过桥保险,最早由FDIC于1946年采纳,即联邦存款保险可以从“资金托管人”(Custodian)延伸到保管人所代表的本人,从而保护资金的实际拥有者。按照FDIC的现行规则,联邦存款保险可以通过多种在被保险银行开设了账户的中介延伸到资金实际拥有者,这些中介包括代理人(Agents)、被任命的人(Nominees)以及托管人(Custodians)和受托人(Trustees)。过桥保险制度被广泛适用于证券经纪公司:经纪公司客户的资金统一由经纪公司以其自身的名义存放在其开立在银行的账户当中,甚至很多时候这些资金还会由多家证券公司间接层层代持,客户虽然没有办法直接通过银行使用该笔资金,但是一旦银行出现破产风险,客户仍然可以通过存款保险取得赔偿。[14]
过桥保险的适用需要满足以下几个条件:(1)该账户是由信义义务人(Fiduciary)在受保险银行开设的,信义义务人包括前述的代理人、被任命的人、托管人以及受托人;(2)账户的开设方式表明信义义务人是代表其他人的利益行事;(3)信义义务人为存款账户的实际拥有者善意地、符合商业规律地保存了账户的记录。2010年,FDIC在一封致各金融机构的函中再次解释了过桥保险规则,并指出过桥保险仅在以下情况下适用:(1)信义关系清晰地体现在银行的开户记录当中;(2)银行、信义义务人或者授权第三方的记录必须能显示出资金的实际拥有人;(3)资金实际上是由客户拥有而不是由信义义务人所有。FDIC 指的资金“所有人”(Owner)与所有权的概念并不对应,虽然 FDIC 并没有给出定义,但是一个辅助判断标准也可以说明这个问题:FDIC 指出,如果银行存款账户的期限与客户在信义义务人处存放资金的期限存在错配,则此时资金的实际拥有人很可能不是客户。[15]
按照上述标准,因为PayPal只是名义上持有客户的沉淀资金,而没有实际的使用权,客户才是资金的实际拥有者,而PayPal则是作为保管人或类似的信义义务人存在的。PayPal只要在开户时向银行明确表示所存入的资金是来自于客户的,并且在其自身保持的交易记录当中明确记录每个客户的资金余额,则PayPal的用户也可以受到过桥保险的保护,在存款银行破产时受到不超过25万美元的存款保险保护。实际上,2002年FDIC也公开承认了这一制度可以适用于PayPal。[16]也就是说,如果第三方支付机构将其全部客户资金投资于银行存款或者存单,此时如果存款银行发生了破产,PayPal的客户也能够享受每人25万美元的保险额度。
3. 反欺诈法律制度
支付领域的消费者保护规则主要是指反欺诈的相关规则,在美国法下主要是《电子资金转移法》(Electronic Fund Transfer Act,简称EFTA)及其实施细则E条例(以下简称EFTA/E)、《借贷真实法》(Truth in Lending Act,简称TILA)及其实施细则Z条例(以下简称TILA/Z)。
EFTA/E适用于任何形式的电子资金转移,其适用范围不仅包括互联网,还包括通过自助取款机进行的交易和通过借记卡进行的零售交易。对于以上交易,该法保护消费者不受非授权交易的损失。以典型的借记卡交易为例,如果消费者丢失了借记卡,则银行有责任将消费者的借记卡账户中的金额恢复至丢失之前的金额,但有以下两个例外:(1)对于每一系列的非授权交易,银行可以要求消费者承担50美元的损失;(2)如果消费者未能及时向银行报告银行卡可能存在非授权交易的情况,则银行可以要求消费者承担更多的损失甚至是全部损失。[17]
TILA/Z主要适用于信用卡交易,与EFTA/E模式不同,在TILA/Z下,消费者的权益得到了更好的保护:即使消费者未及时向银行报告非授权交易,消费者承担的损失最大也不超过50美元。另外,在TILA/Z下,如果卖家没能履行约定,即使在授权交易中消费者也可以拒绝付款,这对于防止买家欺诈是非常重要的。[18]
这两部法在第三方支付的商业模式中仍然有适用的余地。我们以PayPal为例,PayPal并不是一个独立的支付体系,而是建立在既有的银行和银行卡系统基础之上的,通过PayPal进行付款一共有两种方式:一是直接从与PayPal绑定的借记卡/信用卡付款,二是先从借记卡/信用卡中将资金转至PayPal账户中,再用PayPal账户余额直接付款。消费者直接使用借记卡/信用卡付款,还是使用PayPal余额支付,会对法律的适用产生直接的影响。
我们首先来看卖家欺诈的情况。假设买家从eBay上购买了一件商品,而卖家一直没有发货。如果买家是用其PayPal账户余额完成付款,或者直接从其绑定的借记卡账户完成付款,这两种支付方式均构成EFTA/E下的电子资金转移。由于此时的交易为授权交易,消费者无权要求银行或者是PayPal赔偿其因欺诈带来的损失。但是,如果买家非常幸运地(或者非常有远见地)使用了绑定的信用卡账户直接付款,那么情况就不同了:客户通过PayPal直接从信用卡完成付款,实际上可以被视为一个交易,因为客户通过一个而不是两个授权一次性完成了这个交易,此时客户实际上是同时使用信用卡和 PayPal 完成了交易,可以适用TILA/Z的规定。[19]而在TILA/Z模式下,消费者可以选择停止或者撤回支付,只要“使用信用卡支付的交易中出现了任何诉求(侵权除外)或者抗辩”。
非授权交易的情况更加复杂一些。假设消费者的PayPal密码被黑客盗取了,如果此时消费者的账户存在余额,而黑客使用账户的余额进行了非授权交易,显然,这个交易应当是EFTA/E下的非授权交易,消费者和PayPal应当按照EFTA/E的规定承担非授权交易的损失。如果黑客直接从PayPal账户绑定的信用卡账户提取资金进行非授权交易,显然按照之前的讨论可以适用TILA/Z下有关非授权交易的消费者保护条款。比较复杂的是黑客直接从借记卡账户提取资金进行交易的情形。EFTA/E下规定,如果一个交易是由消费者向其提供了银行账户接口信息的第三方(在我们的案例当中,即PayPal)执行的,那么这个交易被视为“授权”交易,而不适用有关非授权交易的条款。也就是说虽然黑客盗取了用户的密码,但是在银行看来这个交易仍然是通过PayPal执行的,因此是一个授权交易,而不是非授权交易,从而客户的损失将得不到赔偿。[20]
不同的支付工具和不同的支付方法可能会导致法律适用的不同,使用信用卡直接进行支付,消费者受到的保护是最全面的,因此明智的PayPal用户将会选择这种方法。然而这显然不符合PayPal的利益,因为一方面这会减少沉淀资金和由此产生的利益;另一方面,PayPal在信用卡交易当中付给银行的手续费也要高于借记卡交易。
因此,PayPal等第三方支付机构一般均在其用户协议当中写入了自身的消费者保护条款。在预防卖家欺诈方面,PayPal买家保障不加区别地适用于所有PayPal的支付方式(前提是买家保障可用),使得买家可以通过申诉和补偿申请的方式得到PayPal的保护;而在非授权交易方面,PayPal则规定“当您的账户发生未经授权的交易或错误时,PayPal将对您的每一次符合条件的未经授权交易或错误提供全额补偿”,只要用户按照用户协议规定的方式履行了适当的通知程序即可。
4. 其他法律制度
货币转移服务商虽然不是一般金融机构,但是也负有保存交易记录以及反洗钱的义务。按照《统一货币服务法案》,货币转移服务商必须保存相关交易记录供监管机构年度检查和抽检使用,并且向反洗钱监管机构提交可疑交易报告、联邦货币报告等反洗钱法律法规要求的报告。实际上这些义务主要是由联邦立法规定的,州立法大多数采用复述甚至是直接引用联邦立法的形式,如《统一货币服务法案》即直接引用了31 U.S.C. Section 5311 (1994)以及31 C.F.R. Section 103 (2000)两条联邦立法。
此外,隐私权保护法律制度也是消费者保护的一个重要方面。1999年通过的《金融服务现代化法案》(也称Gramm-Leach-Bliley Act,GLBA)规定“金融机构”不得向第三方披露任何非公开个人信息,除非金融机构已经在披露前给其客户提供了拒绝披露的机会而且客户并没有拒绝其披露有关信息。[21]2009年通过的多德—弗兰克法的第五部分再次明确了金融机构最低限度的个人数据保护标准,规定除非征得消费者同意,否则金融机构不能直接地、间接地或通过一个附属机构,将非公开的个人信息透露给没有关联的第三人。[22]然而,这些隐私权保护的法案都仅适用于“金融机构”,而货币服务机构或者说货币转移服务商是否属于金融机构,在美国法上仍然存在争议(我国已经明确将其定义为非金融机构)。为解决这个问题,奥巴马政府提出了《消费者隐私权利法案》(Consumer Privacy Bill of Rights),以谋求实现对个人隐私权利的概括性保护,但该法案目前仍未成为正式法案。
出于支付服务系统的网络外部性,PayPal等主要的网络支付服务提供商都制定了专门的隐私权保护条款以保护用户的隐私,如PayPal在其隐私权保护规则当中明确了PayPal如何收集、使用用户信息,并且承诺“未经您明确同意,我们不会出于满足第三方的营销目的而将您的个人信息出售或出租给第三方”,“我们使用物理、技术和行政管理安全措施来保护您的信息,以降低丢失、误用、非授权访问、披露和更改的风险。以下是我们采取的一些保障措施:防火墙和数据加密、数据中心的物理访问控制以及信息访问授权控制。”[23]