认证机构是适应网络支付安全的要求而出现的一类主体。在网络支付中,支付当事人不可能面对面地进行交易,当事人自称的身份与其真实的身份不一定一致,而当事人之间又无法确认,这样就给一些不法之徒从事网络诈骗提供了可乘之机。为了防止这一现象的产生,确保支付当事人身份的真实性,就需要有一个中立的第三方来证明当事人的真实身份。这个第三方就是认证机构。认证机构是指任何人或者实体,在其营业中从事以数字签名为目的,而颁发与加密密钥相关的身份证书。认证机构以独立于认证用户(商家和消费者)和参与者(检查和使用证书的相关方)的第三方的地位证明网络活动的合法有效性。其本身不从事商业业务,不进行网络采购和消费活动。它接受国家政府部门的监督和管理。认证机构具有独立法人地位,为用户管理认证证书;认证用户自愿向认证机构申请认证证书以开展电子商务活动;参与方是自愿加入认证机构的会员单位,必须接受有效证书的信用,完成用户涉及的电子商务活动。
因此,认证机构的主要职责是为网络支付当事人颁发数字证书,该种证书是当事人在因特网络的“数字身份证”,当事人可通过网络传输给对方以证实自己的真实身份。认证机构的存在对网络支付安全具有重要意义。目前各国都很重视对认证机构的规范和管理。世界各国在对认证机构的主体形态的规定上不尽一致,有的规定认证机构须为一定的组织,有的则允许自然人作为认证机构。但是,无论是什么形态的认证机构,它都应该是一个信誉卓越、资信状况良好的机构。对因认证机构的原因所引发的责任能够承担,以此来构建网络交易的信用关系。
由上可见,电子支付的当事人与传统支付相比,不仅参加的主体人数增多,而且出现了诸如信用卡公司、认证机构等新一类的主体,当事人间的法律关系与传统支付相比更为复杂。在传统支付方式中,当事人以现金支付的话可以当面结清,仅在消费者和商家之间产生法律关系。如果当事人以票据进行支付的话,也仅在消费者和商家之间产生法律关系。银行只是起到中介的作用。而在电子支付中,信用卡公司、认证机构都要参与其中,并且使支付关系变得更加复杂。
(二)电子支付方式为当事人增加了新的权利和义务
在电子支付中,出现了一些新型的支付工具,如银行卡、电子现金等。为保障这些新型的支付工具能够顺利得到推广,需要围绕这些支付工具的特点与支付流程在当事人之间形成新的权利义务关系。例如在银行卡支付中,持卡人、发卡行和特约商户就银行卡的发行、使用和密码的保管所形成的权利义务,就是在传统支付中所无法产生的新的权利义务。又如,在SET支付机制下,商家接受购物信息的同时,还要为消费者向银行传递支付信息,这一义务在传统支付条件下也无法产生。
(三)电子支付条件下当事人之间的权利义务关系更加丰富
电子支付虽然与传统支付有很大的区别,但在本质上都是一种为了实现支付效果的支付关系,因此,在诸如支付基础关系、支付的完结性等方面具有统一的适用性,规范传统支付关系的法律仍然适用于电子支付关系。但电子支付关系在某些方面的权利义务关系更为丰富,例如,在传统支付中,无论是现金支付还是支票支付都具有不同程度的隐匿性,即使是涉及客户信息,银行虽然也负有为客户进行信息保密的义务,即不得将其知悉的客户的财产和资信状况任意泄露于第三人,但总的来讲,银行的保密义务要轻得多,范围也小得多,因为银行获得的信息是有限的。在电子支付中,如在POS支付条件下,或者非匿名的电子货币支付条件下,银行可以获得大量的客户消费信息,而这些信息有些是属于客户隐私的范畴,因此银行不仅要为客户的财产和资信状况负有保密义务,还要为其消费隐私承担保密义务。可见,银行在电子支付条件下的保密义务更加宽泛。
(四)电子支付使得当事人权利义务的配置更加复杂
电子支付形态多样,流程复杂,还涉及一些技术性因素,所以在确定每一方当事人的权利或者义务时需要考虑的因素更多,更是困难重重。在当事人之间如何配置权利义务才符合公平公正的原则,是整个电子支付领域的一个核心法律问题,也是众多电子商务参与者非常关心的问题。它关系到电子商务的发展前景。
因此,我们应在规范传统支付关系的法律基础上,针对电子支付的特点制定出新的权利义务关系,以让电子支付在法制的轨道上健康发展。
二、电子支付改变了传统支付法律关系中的风险负担原则
电子支付与传统支付的一个重大区别就是它存在相当大的支付风险。该风险主要来自两个方面:一是技术系统风险。电子支付的顺利进行有赖于电子支付系统的正常运行,但电子支付系统可能会因为断电、通讯故障或者当事人的操作失误而出现这样或那样的问题,使支付发生中断,甚至造成当事人巨大的经济损失。这种风险是电子支付的技术性因素所造成的,称为技术系统风险。二是来自外部的风险。电子支付,尤其是因特网条件下的电子支付,极易受到黑客的袭击,他们制造病毒,窃取现金,给支付的顺利进行带来巨大的障碍。据前不久的《北京晚报》报道,一种窃取信用卡资料的病毒已经在网络传播。此外,不法第三者通过复制银行卡,盗用持卡人密码等手段大量盗取现金的案件时有发生,给持卡人和发卡银行造成巨大的经济损失。因此,如何在当事人之间科学地分配风险,是电子支付中一个不可回避的问题。
在传统的支付关系中,支付当事人之间的风险分配一般是按照现行法律有关风险负担的原则进行的。如在法律责任的归则原则上,一般还是按照以过错责任原则为主、以无过错责任原则和公平责任原则为补充的归责原则来构建的。但在电子支付中,由于电子支付的特殊性,传统的风险分配机制是肯定不能照搬适用的。例如,在传统的支付方式中,无论是现金支付还是票据支付,都处于付款人的控制之下。但在电子支付中,电子支付系统是由银行提供的,网络银行处于控制的主导地位,对电子支付系统有绝对的控制权,对其运行状况也了如指掌,同时,网络银行也有为客户提供安全的支付系统的义务,对电子支付系统负有一定的技术支持义务,应跟随时代和技术的发展对电子支付系统进行实时更新,以避免电子支付系统的过时给客户所带来的损失。因此,在电子支付中,网络银行处于绝对的优势地位,如果仍然采用过错责任原则,对客户来讲,是很难找到相关证据来证明网络银行的过错的,将会对客户造成不公平;如果在不可归责于任何一方的支付风险中,仍然采用公平责任原则来分配风险,将可能由于防范风险的能力的差别以及经济实力的差别而导致实质性的不公平。因此,在电子支付中是不能依据传统的风险分配机制来分担风险的。我们认为,应借鉴美国有关电子资金划拨风险的分配原则,采用消费者责任限额制度,一方面鼓励更多的消费者参与到电子支付中来,另一方面,也要促进网络银行加强对电子支付系统的维护,以减少不必要的技术风险,促进技术创新。
三、电子支付对调整传统支付关系的法律规则提出了挑战
传统的支付结算法律是以票据为中心建立起来的,如我国的《票据法》、《支付结算办法》、《商业汇票承兑、贴现与再贴现管理暂行办法》等。这些法律或者规章中的支付结算规则都是建立在纸质票据的基础上的,不能有效地对电子支付法律关系进行调整。如随着支付电子化的发展,出现了一些电子支付工具,如各种各样的银行卡、电子支票、电子货币等,这些支付工具并非纸质的,且其使用环境须为网络环境,这与传统的纸质票据有很大的不同,传统票据的出票、承兑、付款等规则并不能完全适用于这些支付工具,即使在有些情形下票据法的规则可以适用,但在法理上也较为牵强。就电子支票来说,它的存在与运作都依赖于计算机网络,其实质上是一组电子数据,因此票据当事人无法像纸质票据那样在上面签字,但可以通过数字签名技术对电子支票进行数字签名,通过这种数字签名,并借助电子认证技术,可达到与传统的书面签名同样的效果。但是,传统的支付结算法律对以电子数据表现的支票及数字签名问题未作任何规定,首先面临的问题是电子支票是否为票据法上所说的支票,如果是,则数字签名是否与票据的书面签名具有同样的效力,这些问题在传统的票据法律制度中很难找到相应的答案,如果将数字签名在法律效果上完全等同于传统的书面签名,则极为牵强,因为数字签名在其原理与实现方式上与传统的书面签名都有很大的不同,如传统的书面签名具有极强的个性特征,即具有惟一性,真假签名通过笔迹鉴定是很容易识别的,而对数字签名来说,任何一个知道私人密钥的人来说,都可以做出同样的签名。这也就决定了调整传统签名的法律并不能适用于数字签名。因此建立在纸质票据基础上的传统票据法不能适应支付电子化的要求,需要一套专门调整电子支付结算关系的法律规则,以最大限度地降低法律风险的产生。
电子支付风险监管
一、未经授权的划拨
(一)小额电子资金划拨中未经授权的划拨
《电子资金划拨法》与E条例都将“未经授权的电子资金划拨”定义为:“由消费者以外的未获发动划拨实际授权的人所发动的,从该消费者账户划出资金而该消费者并未从该划拨中受益的电子资金划拨。但本术语不包括下述任何电子资金划拨:(1)由消费者向其提供该消费者账户的卡、密码或者其他存取工具的,该消费者以外的人发动的电子资金划拨,除非该消费者已经通知有关金融机构不再授权该他人发动的电子资金划拨;(2)由消费者或者与其共谋的任何人发动的,具有欺诈意图的电子资金划拨;(3)由金融机构实施的,构成一项错误的电子资金划拨。”
在小额电子资金划拨未经授权的划拨中,存在两个重要的问题:一是如何判断某一项电子资金划拨是否构成未经授权的划拨;二是在当事人之间如何分担未经授权划拨的责任。
一项特定的交易是否构成未经授权的划拨,常常引发一系列事实问题与法律问题。例如,消费者可以授权其亲朋好友或者值得信赖的人使用其银行卡,而该授权的人超过授权范围使用该卡,比如超过授权金额取款等,该超过部分的划拨是否构成未经授权的划拨;还比如,如果未经授权的人是通过欺诈或者胁迫得到银行卡,或者银行卡持有人是在抢劫者的强迫下自己发动的资金划拨,该种类型的划拨是否构成未经授权的划拨也是一个有争议的问题。
一般而言,消费者对用丢失的或者被窃的卡发动交易的责任,包括消费者自己被迫进行的划拨的责任,适用《电子资金划拨法》和E条例中规定的对未经授权划拨的责任限额。也就是说,该种情形属于未经授权的划拨。该种规则来源于法院在Russellv.FirstAmericanBank-Michigan一案中所持的观点。法院认为,无论消费者存在多么明显的疏忽,如把个人密码PIN写在借记卡上或者写在一张纸上并与卡放在一起,都不影响对消费者的责任限制。另外,如果被授权使用卡的人超过授权范围而使用该卡,根据《电子资金划拨法》,该划拨是不被认为未经授权的,消费者的责任不受限制;当原来的授权撤销时,在消费者通知金融机构这种撤销以前,消费者的责任也不受限制。但是,金融机构不得要求消费者向其通知卡在特定的地点遗失或者被特定的人窃取。这样的要求过于苛刻,只要消费者以合理的方式向机构发出了通知,其责任将受到限制。
在判断一项电子资金划拨是否经过授权,证据非常重要。消费者常常由于自身所处的位置而无法收集到相关的证据。如果举证责任由消费者来承担,将会导致实质性的不公平。《电子资金划拨法》从保护消费者利益的角度出发,规定所有此类问题的举证责任都由金融机构承担。
消费者责任限制规则的制定也经历了一个非常漫长的过程。美国在1978年《电子资金划拨法》颁布以前,金融机构往往利用其优势地位要求客户承担涉及其账户的任何电子资金划拨的责任。约有35%的银行要求客户同意承担所有未经授权划拨的责任,直至该客户通知银行其损失为止。在英国,银行的电子资金划拨服务合同往往要求消费者对所有使用其磁卡提走的款项负责,无论该提款是否经过消费者的授权。该种规定常常使消费者处于不利的地位,并造成实质性的不公平。美国1978年《电子资金划拨法》为扭转这种局势,采取了对消费者进行保护的立法原则。在该问题上的具体表现就是对消费者的责任进行限制。
