一、引言
你的钱包里装着什么?也许放着现金、信用卡、借记卡,付款时你有一定的自由来选择支付方式。现金交易最为常见,但在某些场景中,其便捷性却不及信用卡和借记卡支付。此时,许多消费者为了方便交易,更倾向于使用信用卡或借记卡付款,也在一定程度上甘冒信息被泄漏和资金安全风险。而为了保护这些刷卡消费的消费者,立法者不得不去制定有关的法律法规。
如今,在消费者看来,出门时要带着各种卡片仍不够方便,将替代信用卡和借记卡而成为消费者支付新宠的,是他们通常会随身携带的手机——越来越多的消费者支持并且有能力使用手机来进行交易和付款,这意味着钱包的重要地位被手机动摇了。然而,在未来手机支付能否成为一种主流支付方式而导致钱包逐渐消失在日常生活中,仍受到诸多因素的影响,其中最重要的一点,即法律对于手机支付的风险性的控制。以美国为例,其现行立法框架受到了这一支付方式的挑战,为了保护消费者的隐私和资金的安全,尚需进一步制定和完善立法及监管体系。
二、手机支付之概述
手机支付能成为新热点,其实有十分扎实的根基——根据国际电信联盟的报告,在2014年初,手机用户将超过70亿;到2014年底,手机用户总数甚至超过世界总人口数。[1]手机已经与人们的日常生活密不可分,例如在美国,经估计,手机已经渗透了大约91%的人口的生活。[2]于是,人们自然而然地会想到——为什么不将手机用于电子支付?对于消费者,这无疑比携带钱包更方便;对于商家,此举将获得更多潜在的渴望便捷交易的消费者。由此,手机支付应运而生,且备受热捧,据称阿里巴巴旗下在线支付系统支付宝2013年的手机支付总金额已达1500亿美元;到2014年初,支付宝手机支付超过1亿多笔,占所有支付宝支付比例52%。[3]
(一)什么是手机支付(Mobile Payment)?手机支付如何实现?
所谓“移动支付”,是指任何通过使用移动设备来发起交易、授权交易、支付金钱以获得商品或服务的支付方式。[4]其中“移动设备”包括了手机、掌上电脑、无线平板等,但因为手机普及率高,且人们在日常生活中几乎已离不开手机而总是随身携带,通过手机完成的移动支付占了大多数,因此,为方便讨论,本文将“移动设备”限于手机,以下论述也仅围绕“手机支付”而展开。
在大方向上,手机支付区分为两种形式,即远程支付(Remote M-Payments)与近场支付(Proximity M-Payments)。参与手机支付的利益相关者有别于传统支付,不同形式的手机支付的利益相关者也有细微区别,但整体而言,手机支付产业链中的利益相关者主要包括了消费者、商家、银行等金融机构、通讯及移动网络运营商、手机制造商、手机应用开发商。见有利可图,第三方支付平台也参与进来,通过优化手机端网页、开发手机应用,帮助消费者实现手机端支付,如谷歌推出的Google Wallet,力图打造从团购折扣、手机支付到购物积分的一站式零售服务,从而让消费者彻底放弃满是信用卡、优惠券及购物卡的皮夹子。这些利益相关者在手机支付中有各自的激励机制和应对策略,故利益冲突难以避免,这也是影响到手机支付能否被广为接受的关键因素。
至于工作流程,在不同形式中,手机支付的实现流程有所区别:
1.远程支付
首先,消费者需要一个开通了短信服务(即SMS服务)或有无线应用协议(即WAP服务)的手机,继而可以进一步选择支付方式:
(1)短信支付
作为手机支付的早期形态,短信支付成本低,也比较容易实现,消费者如果选择通过短信来付款,只需有一个开通了短信服务并且收得到蜂窝信号的手机。具体而言,短信支付又可以区分为二:由无线运营商计费的短信支付,及移动支付服务提供商(MPSP)[5]主导下的短信支付。
其一,运营商包办:在此模式下,整个支付过程由运营商包办,消费者通过短信授权一次支付行为,支付费用会直接被包含在手机账单中,而运营商会处理整个支付过程,并抽取一部分利润。例如,慈善机构或电视广告商让消费者用短信回复特定内容到某个号码时,就属于运营商计费式的手机支付。这种支付方式门槛很低,消费者不需要有银行卡或信用卡,只需发条短信授权,就可以完成交易。然而,运营商会从中抽取占极大比重的利润,商家于是开始另想他法。
其二,MPSP主导:移动支付服务提供商直接和全球范围内的多家运营商达成合作后,商家就可以绕过运营商,直接通过支付服务提供商,完成与消费者之间的交易。
首先,消费者要建立一个与MPSP相连接的账户,同时也要和消费者的信用卡、借记卡相连接。接着,消费者发送一则文本短信息给MPSP,在短信中写明支付的数额及收款人的手机号码。此后,MPSP将发送一则短信给消费者,要求其回复个人密码(PIN),以此确认资金转移获得了授权。消费者只要回复了正确的密码,MPSP就会将资金转移给指定的收款人的MPSP账户之中,并通知收款人。[6]此时支付就完成了。当双方当事人并非“个人-个人”,而是“个人-商家”时,MPSP还会要求商家将消费者购买的商品运至消费者的MPSP账户中填写的地址。
典型例子如PayPal的短信支付服务(Text to Buy),消费者首先需要登入PayPal帐户注册手机号码并设定密码(PIN)以激活服务,商家可在各种渠道的广告与招贴中提供产品代码,而消费者通过短信向PayPal发送代码,接到回复短信后确认即可完成支付,PayPal执行转帐操作,商家接到支付信息后依照原有流程发货至买家PayPal帐户中指定的收货地址。
(2)网付
事实上,这种形式的支付并不能被视为严格意义上的手机支付,因为它利用了“无线应用协议(WAP)”接入互联网以实现交易,而并非通过一个独立的移动介质来实现交易和支付。在这种类型的支付下,消费者使用手机的浏览器去访问商家所提供的网站,并在网站上选购商品和付款。这种购物方式与消费者通过台式电脑或笔记本电脑来访问网页以购物,并没有本质区别。
(3)App应用支付
以iPhone为代表的智能手机出现后,消费者使用App成为一种习惯。于是,商家除了提供购物网页之外,还推出了手机客户端应用,使App支付逐渐成为一种常见的支付形态。
App支付的工作机制并不复杂,最常见的是消费者打开App后扫描二维码(Barcode)即可对商品完成支付。例如,星巴克的Android App支付,消费者在星巴克App中选购完毕后,App将生成一张二维码,二维码的信息包括要购买的咖啡以及绑定的星巴克卡(卡中有消费者账户信息,消费者可以通过信用卡或PayPal向星巴克卡充值)。星巴克店员扫描二维码后,能够知道所点咖啡信息,同时咖啡费用自动扣除。星巴克的App除了用于付款外,还可以帮助消费者定位店铺、查看会员卡余额、接收优惠券等。
2.近场支付
(1)刷卡支付
目前刷卡支付有Intuit、PayPal、VeriFone等公司推出的产品,但推广刷卡支付之先驱,当属Square公司——消费者下载Square应用软件,并将由Square提供的一个塑料读卡器插入智能手机的耳机插口,手机将变成一个POS终端,可以在任何3G或Wi-Fi状态下,通过应用程序匹配以刷卡消费,并保存相应的消费信息;商家也可以在任何地方进行收款。
对于消费者而言,通过Square系统付款与通过信用卡公司提供的POS机刷卡消费并无区别,同样是刷信用卡,无需养成任何新习惯,因而接受度很高。而对于商家,读卡器和软件均由Square免费提供;Square每天与商家结清货款,而非如信用卡公司那样到月底才结算,商家可以随时在网上查询其销售记录。且Square系统的收费规则更为简单透明,每笔交易的手续费均为2.75%加上15美分,这一费用可能不比信用卡公司的最低收费低,但对于消费者刷各种类型的信用卡均统一按此标准收费,而Square接受美国几乎所有种类的信用卡,故商家也有使用Square的积极性。
(2)NFC支付
NFC[7]技术是由RFID演化而来的一种近场通讯技术。在此种支付方式下,消费者付款不依赖于网络;即使手机没电也可以在被动模式下启动NFC模块以完成本地支付;在支付时无需扫码、无需打开App,有时甚至不用唤醒手机屏幕或输入密码;可以整合多张卡和管理多种卡应用。换而言之,人们的手机将真正变成一个钱包,至少这听起来非常酷。
而论及NFC的支付流程,首先需要有消费者和商家,消费者用具有内置NFC芯片的手机购买商品,商家提供相应的专用NFC的POS机具。消费者必须有支付账户,无论这个账户是银行卡、信用卡账户,还是绑定银行卡、信用卡的第三方账户,并且这个支付账户与NFC手机绑定。由于银行至少目前不可能充当大量支付账户的直接管理者,因而必须有一个至少具备可信服务管理(TSM,Trusted Service Management)功能的“支付平台”来管理大量支付账户。一般而言,这个支付平台可以是卡组织、电信运营商、第三方支付企业或产业链内实力强大的相关公司或组织,如中国的银联和三家电信运营商。
下图是典型的超市或商场NFC支付简化流程:
在交易地点,消费者发出购物请求,商家输入物品金额或扫描商品条形码,消费者要在NFC支付终端[8]前像刷卡付款一样地“刷”他们的手机;商家的POS管理系统读取NFC手机的加密账户信息,并把它与POS扣费信息一起以加密形式发送给支付平台;支付平台验证消费者支付账户信息和商家信息、扣费请求等,根据预先设定的支付规则,[9]把支付确认请求返回给消费者,由消费者确认支付,如输入PIN码或指纹确认;支付平台把确认支付的信息、商家信息和扣费请求,发送给银行,银行鉴权、验证之后,进行扣费,并把扣费结果返回给支付平台,支付平台再返回给商家和消费者,商家给消费者打印支付凭证,支付即完成。
例如Google Wallet,其绑定了“谷歌团购”服务,消费者在智能手机中通过“谷歌钱包”App存入个人信用卡信息,通过“谷歌团购”优惠活动收到商家的各种折扣券。购物后,消费者只需拿手机在POS机前一晃,就可以完成打折和付款,随后会通过手机收到购物收据,还会自动存储购物积分。
(二)手机支付是否安全?
如前所述,不同利益相关者之间存在利益冲突,如消费者与商家希望减少手机支付产生的手续费,而运营商和金融机构则希望增加这笔费用,这种冲突会影响到手机支付的流行程度。而手机支付的安全问题,一直是消费者最为关心的,也是决定消费者对手机支付的使用意愿的关键因素。
在远程支付和近场支付下,消费者所要应对的风险也各不相同。
1.远程支付
(1)SMS模式
短信支付要求手机有信号,而当消费者不在蜂窝网络信号覆盖范围内时,往往会导致短信发送失败或短信丢失,就无法通过短信付款。此外,短信支付有严重的安全问题:首先,以明文形式发送短信,缺乏必要的加密功能,无法避免未经授权就可以访问客户机密信息的情况发生;其次,缺乏必要的身份认证程序,并无一个认证协议来确保请求付款的人不是骗子或黑客;其三,当消费者向商家提供了自己的账户信息,而商家又存储了该信息后,交易的安全性则取决于商家的数据存储系统的安全性,这对于消费者而言无疑是一个风险。
正因这些安全问题,短信支付一般不支持大额资金转移,也逐渐淡出了消费者选择支付方式时首选的范围。
(2)WAP模式
这种方式比短信支付安全,因为支付信息由消费者向商家传输时是处于加密状态中的。但需要消费者将手机连入互联网,就意味着要面对网络安全风险,例如消费者会无意中进入带病毒的虚假购物网页。商家推出购物的App应用后,App很容易被黑客反编译、被二次打包,或被破解后植入恶意代码,进而窃取手机中的信息,威胁消费者的隐私和资金安全。此外,许多App支付依赖于扫描二维码,而二维码又有先天性的支付安全风险。
2.NFC近场支付
在NFC支付中,有两个主要的安全问题要考虑:其一是手机丢失或被盗之后如何确保手机中存储的信息及关联的金融账户中的资金是安全的?其二是支付信息由消费者向商家传输的过程中如何确保其不会被拦截和窃取?
(1)手机丢失或被盗
当前用于验证手机使用者身份的方式主要是通过“双重认证”[10]:第一重认证:手机使用者通常已登记过手机序列号,这就像是一个消费者与提供手机支付服务的银行或MPSP之间的“令牌”,是唯一的,不会出现重复;第二重认证:消费者需进行确认,才能完成支付,例如输入密码或者进行指纹确认。因此,要完成手机支付,应同时具有该注册过的手机和正确的确认信息;即使手机落入他人手中,仅靠一重认证无法完成支付。
(2)支付信息传输过程中的安全
NFC支付使用的是与非接触式支付卡相同的、用于确保信息传输安全的安全技术,且如前所述,支付信息在传输过程中是加密的。苹果公司最新推出的Apple Pay就致力于化解此风险——为防止支付信息被黑客截取,支付过程中,消费者的个人账户信息及识别码等被存储在iPhone的一块独立的安全芯片[11]中,而不会传递给商家,支付时只会生成与真实卡号相对应的动态令牌(token),商家收到token之后通过同支付服务提供方,如银行,进行对比,获得支付授权。然后消费者可以选择指纹确认,以完成支付。在整个支付过程中,只有消费者和银行知道账户卡号,而商家只知道token,由此可以保证即使NFC支付过程中支付信息被窃取或拦截,黑客获得的也是毫无意义的一次性代码(token),而不知道消费者真正的账户卡号,进而解决NFC支付最大的一个安全隐患。
即使如此,必须承认手机支付确有风险,当消费者想要享受手机支付带来的便捷性时,就不得不承担相伴而来的风险。此时,消费者更关心的一个问题,即相应的风险能否被控制或监管?手机支付想被广为接受,其便捷性与风险性就应保持在平衡状态,若消费者要承担的风险和损失过大,他们很有可能反而放弃使用手机支付这种时尚的支付方式。
以下,将以美国为例,详细分析手机支付能否为现有法律框架所监督。
三、美国对手机支付之法律监管
当前,美国监管者并未明确表示现有支付体系的法律法规可以用于监管手机支付,也没有针对手机支付的专门立法或法规,导致消费者利益似乎无法被保护。然而,如果手机支付可以被定义为“采用了一种新技术或新接入装置(即手机)的传统的支付体系”,而非一个完全独立的全新的支付体系,则现有的监管传统支付方式的法律法规也许就能部分适用于监管手机支付了。下文将集中于探讨美国哪些现有的法规可以用于监管手机支付,及现有的法律能给予消费者什么保护,现有的责任分配体系对于手机支付的推广又有何种影响。
整体而言,在美国联邦储备系统(Fed)眼中,账户是金融业的起点和归属,手机支付实质上是将资金从一个账户里转移到另一账户中,没有了账户也就没有了支付。故美联储对那些掌握着个人金融账户的传统金融机构和提供个人账户的MPSP,如PayPal会持有大量个人账户,会进行严格监管,也倾向于将监管信用卡或借记卡交易的法律法规适用于与它们有关的手机支付;而对于不擅长金融业务的运营商、手机制造商和手机应用开发商,并不明确表示它们要为手机支付承担责任。以下是结合法律法规的具体分析:
(一)《电子资金划拨法》(The Electronic Funds Transfer Act)与《E条例》
1978年国会通过的《电子资金划拨法》,宗旨是为设立电子资金划拨[12]系统中各参加方的权利、义务及责任提供基本框架,首要目标在于规定个人消费者的权利。[13]依据该法,美联储制定了实施细则《E条例》。它们的内容涉及消费者与提供电子划拨服务的金融机构[14]间关系的各个方面,包括(1)客户与金融机构间“存取工具”[15]的申请与发放;(2)电子资金划拨服务不同因素及消费者与这些服务有关的权利的初始披露和重大情况的继续披露;(3)有关金融机构接收某些特定交易的规定,及金融机构向消费者周期性报告其账户的规定;(4)客户声称账单错误的调查与解决程序;(5)消费者与发卡人间对未经授权而使用消费者存取工具所造成损失的责任分担,包括了消费者责任限制的内容。[16]
那么,EFTA及《E条例》能监管手机支付吗?如果适用,意味着当消费者通过连接向借记卡或银行账户来完成手机支付时,就可以享受《E条例》之保护:在手机被盗或支付信息被拦截或操纵时,属于“未授权交易”的情形,消费者在2日内通知了金融机构的,其承担的责任限于50美元;超出2日的,承担责任也不超过500美元。由此,消费者承担的风险有限,但对于银行等金融机构而言,它们却要承担更多的责任,因为消费者往往会在同一个银行账户上连接多个付款账号,导致未授权交易发生的概率也增加了,风险会增大。
现实中,EFTA主要用于监管小额电子资金划拨,而《E条例》进一步细化规定为“任何直接或间接持有消费者账户[17]或者任何发放资金划拨工具并同意向消费者提供电子资金划拨服务的组织、机构或个人”。[18]首先卷入争议的是礼品卡[19]支付,美联储曾声明商家发行的用于购物的礼品卡并不适用EFTA或《E条例》。然而,2009年通过的《信用卡问责及信息披露法》(the Credit Card Accountability Responsibility and Disclosure Act)在EFTA中加入了与礼品卡相关的消费者保护内容,[20]美联储随后通过了新的《E条例》以规范礼品卡的费用、休眠期和使用期限。在对新《E条例》的注释20(a)-1里,美联储明确了“这一部分不仅适用于塑料的商店礼品卡,也适用于带有芯片或其他内置机制可以连接到存储资金的账户的设备,比如手机”。[21]由此,存在手机中的礼品卡,例如星巴克向消费者的手机发送的礼品卡,就属于监管范围之内。但至于EFTA或《E条例》中的其他保护消费者的规定,如做周期性报告,是否也适用于礼品卡,美联储并未表态。
那么,若手机支付时消费者不使用礼品卡支付,而是用连接着借记卡账户的手机支付账户来进行付款,如许多WAP模式和NFC模式下,消费者的手机支付账户是和银行账户绑定的,此时,银行卡或借记卡的发卡行必须接受《E条例》规定的信息披露义务和未授权交易发生时的责任——既然手机礼品卡的发行商都要受到部分《E条例》的监管,看得出美联储很大程度上倾向于将《E条例》适用于移动支付卡发行者——借记卡的发卡行无疑受《E条例》规范,因为消费者用手机付款时,将借记卡账户与手机支付账户绑定了,此时发卡行仍是《E条例》中规定的“金融机构”,仍是消费者的金融账户持有者,消费者也依赖于发卡行披露的信息,故发卡行仍被要求遵守EFTA和《E条例》,于是,客户在开户时,发卡行就有信息披露义务,且要告知在未授权交易中客户的责任限于50或500美元。
虽然美联储并未表态《E条例》能否用于MPSP,但作为MPSP之一的PayPal已自愿承担了《E条例》规定的全部义务,如提供信息提前披露服务、遵循指定的错误解决程序、在未授权交易中消费者承担的责任限于50美元等。PayPal的用户协议也写明PayPal接受《E条例》的监管,因而消费者通过PayPal Mobile进行的手机支付时受到《E条例》保护——无论是绑定了借记卡账户而进行即时性转账,抑或将资金转入PayPal账户中用于未来付款。[22]
此外,也没有迹象表明美联储会将《E条例》适用到无线通讯运营商身上。运营商明显不是持有金融账户的金融机构,那么,它们属于EFT服务提供商吗?电子资金划拨服务(EFT)的提供者应是向消费者发行存取工具或提供EFT服务,但不持有消费者的银行账户,也不与持有账户的银行有关联的机构。如果美联储把运营商归为“EFT服务提供者”,就不得不把运营商提供的手机归入“存取工具”中,也不得不把运营商提供的移动数据传输服务归为“EFT服务”。然而,新《E条例》却不关心运营商的地位,相反,其关心的问题是如何避免持有客户账户的发卡行在与EFT服务提供商无合同关系时不能很好地保护消费者,例如发卡行可能不进行信息披露;新《E条例》还关心如何降低发卡银行承担未知风险的几率,所以规定了消费者开通手机支付前需在银行登记使用的移动设备。银行之所以受关注,是因为消费者更倾向于通过银行的网上平台来注册开通手机支付,而不是通过运营商。故,新《E条例》还未考虑要给运营商一个“EFT服务提供者”的名份。
(二)《诚实信贷法》(The Truth in Lending Act)和《Z条例》
除借记卡之外,另一种传统的支付方式即信用卡支付,主要由1968年国会通过的《诚实信贷法》及美联储的《Z条例》来规范。其中规定了信用卡账单争议的解决程序、在未授权信用卡交易中客户的责任限制,[23]及信用卡发卡行对于融资费用、年利率、基本信贷条款等的初始披露和持续披露义务、验证开放信贷账户定期报告上的信贷交易等。
与《E条例》类似,假如TILA及《Z条例》适用于手机支付,消费者可得到最佳保护:未授权交易发生时,消费者承担的责任限于50美元;在账单错误(billing errors)中,如果消费者在60日内已报告,则无需承担责任。而信用卡发行者将面临更多的风险和责任,连接在同一个信用卡账户上的多个手机支付账户无疑会增大未授权交易发生的可能性,而这些损失是信用卡发行者最终要承担的。
那么在现实中,许多WAP模式和NFC模式下,当消费者将信用卡账户与手机支付账户相连接并进行手机支付时,资金会直接从信用卡账户中转移,此时由谁进行《Z条例》规定的信息披露行为?由谁解决账单错误、承担未授权交易的损失?美联储并未声明TILA及《Z条例》适用于手机支付或参与手机支付的利益相关者,但《Z条例》明文规定了“适用于提供或延伸信贷的个人或企业”。因此,消费者将信用卡账户和手机支付绑定时,并不能否认信用卡发卡行作为“信贷服务提供者”的事实,所以《Z条例》仍然对发卡行有效。
至于运营商,如果他们允许手机用户下载游戏、图片或铃声到手机中,然后将费用计算在用户的下一笔话费里,这是否属于“信贷的延伸”,因而要受到《Z条例》监管?尽管美联储并未表明立场,但有学者指出运营商的收费主要适用美国联邦通信委员会(FCC)的《诚实账单规则》(Truth-in-Billing Requirements),及受各州电信监管机构的监管[24]——依据《诚实账单规则》,无线运营商被要求提供准确、清晰、详尽的计费账单;因为浏览网页、下载图片和铃声、网上游戏等往往会借助话费渠道来扣除费用,这要求运营商在账单中能够清楚列示各项费用。其监管执行者一般是联邦通讯委员会,而不是传统的金融监管者。可见,除非美联储明确表示适用《Z条例》,否则,那些发生在运营商与手机用户之间的交易,仅存在于现有的电信监管范围之内。
此外,美联储并未明确说明《Z条例》能否适用于与手机支付有关的PSP或MPSP,但无论是美联储还是MPSP,都显示出不愿意适用《Z条例》的态度——2009年美联储修订《Z条例》后,对于消费者通过将信用卡关联到MPSP账号中并使用手机在网上购物的情形,美联储明确表示,如果出现了《Z条例》中所称的账单错误,有义务去解决争端的是信用卡发行者,而不是MPSP。[25]而作为MPSP之一的PayPal,它采用的解决争议方式也并非《Z条例》所要求的那样多。[26]在2006年,共计有28个州起诉了PayPal,要求PayPal明确用户的权利。为了应对起诉,作为和解协议的一部分,PayPal同意向客户披露“除非作为信用卡发行者,否则PayPal不能给消费者提供信用卡交易中消费者才能享有的权利”。[27]这似乎表明,当前MPSP不在《Z条例》的监管范围内,消费者如果要寻求《Z条例》的保护,应该去找信用卡发卡行。
以上法律主要涉及在手机支付中由谁承担披露义务、解决账单错误、及承担未授权交易中的损失,以下将谈及由谁负责保护消费者的隐私、及承担反洗钱的责任。
(三)《格莱姆-利奇-比利法案》(Gramm-Leach-Bliley Act)
对于金融机构而言最重要的资产并非金钱,而是客户的信息。信息资产的保护对于建立和维护金融机构与客户之间的信任关系非常必要。GLBA关注的正是金融机构持有的客户信息的保密性与安全性。具体而言,GLBA第五部分的“隐私保护条款”要求金融机构在消费者订立合同时和每年都应揭示对消费者的隐私保护规则,且明确禁止金融机构将客户的私人信息透漏给“有附属关系或无附属关系的第三方”,除非该金融机构已经向客户进行了信息披露,并且赋予客户拒绝信息共享的权限;而GLBA的“数据安全条款”还对涉及消费者的信息安全提出了明确指引和要求。
国会、美联储或法院均未确认GLBA和手机支付有关系,但作为传统金融机构的银行自然要受到GLBA的法律约束,而作为MPSP之一的PayPal也已按照GLBA的要求向用户披露了隐私保护信息。可见,银行和MPSP对于手机支付用户也会尽到GLBA中规定的披露义务,将手机支付纳入受安全保护的范围内。然而,这也意味着它们要与许多不受GLBA监管的第三方主体打交道,例如运营商或手机应用开发商,因此,它们也许会考虑将隐私保护条款写入与第三方签订的合同之中,避免由于第三方的过错而导致自己要承担客户隐私泄漏的责任。
(四)《美国爱国者法案》(the USA Patriot Act)与《反洗钱规定》(Anti-Money Laundering Requirements)
2001年国会颁布的《美国爱国者法案》针对金融机构规定了若干要求以防止恐怖分子窃取资金。例如,金融机构必须制定一系列标准和程序以便于发现和预防洗钱犯罪,并及时提交涉嫌通过金融机构洗钱的可疑交易活动的报告。而《反洗钱规定》也涉及了金融机构,受《反洗钱规定》监管的包括了银行、信用卡组织、券商、支票兑现商、货币转移商、典当行、赌场等。可见,银行等金融机构无疑要受到这两大法案的强制约束;而PayPal一直认为它自己是接受《反洗钱规定》约束的,PayPal对于洗钱的监管也十分严格,每笔支付额超过一定限度时,PayPal会提取交易双方的相关证明以防止出现洗钱。
如果手机支付逐渐流行,金融机构反洗钱时就不得不面对新难题——犯罪分子的洗钱活动不仅可以在隐私权和手机支付的加密技术的“掩护”下进行,还可以利用手机支付的快捷性、跨国性,将违法所得在不同国家的多个账户之间迂回转移,同时尽量避免因交易金额较大或交易可疑而被金融机构上报,使非法资金逐渐与合法资金相融合,最后通过支付系统将其用于购买高价值物品,或将其转换成可以自由使用的合法资金并予以提现,实现对非法资金的彻底清洗。这种洗钱方式,既无运输现钞的风险,又规避了财务透明度报告的要求,不仅到账速度快,且资金可以轻易跨境。[28]基于此,为了履行反洗钱义务,金融机构要去考虑升级内部反洗钱控件以涵盖手机支付,或针对手机支付带来的新风险强化对职员的培训,同时对手机支付平台进行独立的反洗钱审查,及修订可疑交易活动报告标准和程序,将手机支付中发生的可疑交易也列入报告范围。[29]这样一来,金融机构就要投入新的成本和资金。
综合以上,如果手机支付被推广,将承担许多额外责任和风险的是金融机构,MPSP在一定程度上会自愿分担一部分责任。同时,MPSP也是手机支付的产业链中唯一适用州的《货币服务法案》(State Money Services Acts)的,如PayPal,它们实际上属于货币转移商,应根据各州的规定申请牌照,否则会被叫停。
(五)《杜尔宾修正案》(The Durbin Amendment)
讨论手机支付能否被推广,就不得不提及一个严重阻碍了手机支付流行的修正案——自2010年生效以来,《杜尔宾修正案》对发卡机构能就借记卡交易向商家收取的服务费作出了限制,且不针对资产低于100亿美元的发卡机构。美联储据此规定每项借记卡交易的交换费上限为12美分——此举当然受到商家和消费者的支持,但这也意味着,美国的大型银行将被迫提供收费低于成本的借记卡服务。为了弥补这笔损失,大银行可能会想尽办法将损失转移给客户,例如向借记卡账户收取额外的管理费用,而这会促使消费者逐渐减少使用借记卡,或是转而投向小型银行的怀抱,那些不使用信用卡的消费者则会回归现金交易。这样一来,绑定着借记卡账户的手机支付也会被冷落。
而大型银行受挫,无疑是对新兴的手机支付业务的一个打击。相较于那些资产少的小银行,大型银行有更多资源和动力去推动支付技术的创新。然而,为了填补交换费降低导致的损失,大银行推进手机支付业务的积极性也遭受挫伤,它们想方设法减少运营成本,因而对支持技术创新的资金投入会相应减少——当无法填补因为创新而支出的成本时,它们反而会选择不去创新。而在借记卡使用上消费者的逐渐流失,也会加剧这个恶性循环。
那么,商家是否会热衷于推广手机支付?大型银行削减运营成本,可能会同时停止向商家提供一小部分服务,其中就包括了支持手机支付的终端设备的投入,而商家恐怕也不愿意自己承担手机支付的基础设备费用,或是将经营利润投资于新技术,因为现有的传统支付方式已经足够丰富,商家对于技术革新的动力不足。
可见,那位提出修正案的参议员Richard Durbin想必是忽视了该修正案对美国移动支付产业的蓬勃发展将造成的不利影响。
四、总结
智能手机已成为人们生活的一部分,却迟迟无法取代钱包,极重要的一个原因是消费者仍在手机支付的便捷性与风险性之间摇摆不定,加上现有支付体系未崩溃而美国金融网点又足够普遍,零售商在考虑是否部署手机支付系统时会陷入“鸡生蛋还是蛋生鸡”的困境——如果不在店内提供支付系统,就很少会有消费者选择使用手机支付;但如果很多消费者都不使用手机支付,零售商也就没有动力去付出成本来部署这样的系统。因此,即使手机支付有很大市场潜力,但想要成为全球范围的主流支付方式,恐怕还需要些时日。
再者,手机支付一旦流行,金融机构要承担的额外责任会变得艰巨——在美联储看来,以手机支付为代表的移动支付并非一种全新的支付体系,它只不过是一种借助了新的通讯工具接入传统支付平台的新方式,将现有对借记卡、信用卡等的监管规则扩展并覆盖它们即可,暂时尚无需全新立法。然而,在现有的法律法规体系中,如果将手机支付纳入监管范围,金融机构的负担将变得十分沉重:手机支付流行之后,手机制造商、无线运营商或手机应用开发商并没有责任去验证手机使用者的身份,也没有法定义务去承担手机支付带来的责任;[30]而消费者亦非承担最多责任的一方,发生未授权交易时,如果消费者履行了报告义务,则只需承担有限责任;商家也是同理。而在一个特定金融账户上绑定的接入设备或支付账户的数量一旦增长,会导致未授权交易、欺诈或错误交易发生的可能性增大,并且增加了犯罪分子利用手机支付拦截、窃取客户信息,或进行洗钱等非法犯罪活动的可能性——而这些责任无疑是金融机构依现有法律应承担,然而它们当前还没有做好准备去承受的。如果要维持现有的监管框架和现有的责任分配体系,金融机构要投入的资金成本和要承担的资金损失都十分巨大,加之《杜尔宾修正案》对于金融机构的打击,会导致金融机构考虑削减运营成本或向客户收取高昂费用以转嫁成本。这样一来,最终结果很可能是——金融机构会选择动用资源来阻止手机支付技术的推广,以规避其需承担的额外的风险,而仅考虑维持现有的传统支付方式即可;而消费者考虑到使用手机支付要向金融机构缴纳的高额费用,加上手机支付自身的风险性,也会对使用手机支付产生怀疑和抵制心理,仅满足于现有的刷卡支付方式,或回归现金付款;商家亦是,其既不愿意自己投入资金来升级收款终端,也没有动力去推动支付技术的创新。而这种“联合抵制”,也意味着手机支付想要迅速地战胜传统支付几乎是不可能的,手机取代钱包的日子恐怕不会很快到来。
因此,美国现有的用于监管传统支付系统的法律框架,仍不足以解决手机支付带来的新问题。新的监管体系应致力于公平分配各方利益主体的义务和责任,例如,手机应用开发商和通讯运营商也应承担部分的法定义务,减少金融机构的负担,促使各方都能采取合理的措施,且确保最适合承担某一责任的一方负担起应尽的义务,由此避免金融机构因要承担巨大风险而抵制手机支付,也有利于促进手机支付产业链中的各方利益相关者能和谐共处。同时,应填补有关隐私权和消费者保护的立法漏洞,提高手机支付的安全性,让消费者更愿意接受手机支付。此外,还需要专门制定防止利用手机支付实施犯罪的法律法规,确保犯罪分子不会利用新技术实施犯罪活动,也不会因法律漏洞而逃避法律责任追究。由此,手机支付这一新兴、便捷、高效的支付方式,才有可能在美国被广为接受,让消费者真正受益。
[1] 参见国际电信联盟2014年度的《测量信息社会报告》。国际电信联盟,即International Telecommunication Union,ITU,是主管信息通信技术事务(ICT)的联合国机构。
[2] Chris Foresman, Wireless Survey: 91% of Americans Use Cell Phones, ARS TECHNICA (Mar. 24, 2010). http://arstechnica.com/tech-policy/2010/03/wireless-survey-91-of-americans-have-cell-phones/ 最后访问时间:2015年1月3日。
[3] 参见搜狐财经:http://business.sohu.com/20140211/n394721847.shtml,《支付宝取代PayPal成全球最大移动支付公司》,最后访问时间:2015年1月30日。
[4] See Mahil Carr, Mobile Payment Systems and Services: An Introduction, MOBILE PAYMENT FORUM OF INDIA (2010). Retrieved from Internet on Dec. 25, 2014 from http://www.venturewoods.org/wp-content/uploads/2008/06/mobile-payment-systems-and-services.pdf.
[5] MPSP,即“移动支付服务提供商”,比如PayPal。MPSP的功能类似于在线交易中“点对点(peer-to-peer)”交易模式下的PSP(支付服务提供商),使得手机支付相对独立于银行和无线运营商。
[6] 值得注意的是,MPSP支持消费者的匿名支付,即不告知商家消费者的重要金融信息,比如信用卡号。
[7] NFC,即Near Field Communication,近距离无线通讯技术,由免接触式射频识别(RFID)演变而来,由飞利浦半导体(现恩智浦半导体)、诺基亚和索尼共同研制开发,其基础是RFID及互连技术,有三种工作模式:卡模拟模式、读卡器模式和点对点模式。目前,公交卡、门禁卡等都早已使用了这种技术。
[8] 这种NFC支付终端,主要包括了NFC收款机(POS机)和NFC自动售货机、NFC读卡设备等。
[9] 根据预先设定的支付规则,若是小额支付,可直接跳过输入密码的步骤,即刻完成支付。如果是用Apple Pay支付,需要消费者进行指纹确认,不用输密码。若是在票务、影院等可以自助进行NFC手机支付的场合,只需设定相关的自动支付机制,则还是类似于图中显示的支付的典型过程。
[10] 双重认证,即two-factor authentication。在这个认证过程中,用户提供两种身份,一种是一般可随身携带的,如卡片;另一种一般是记忆的东西,如安全密码。例如银行卡中体现的双重认证:卡片本身是实物,个人设置的密码(PIN)是伴随它的数据。参见http://www.searchsecurity.com.cn/whatis/word_5837.htm,最后访问时间:2015年1月3日。
[11] 安全芯片是基于Secure Enclave技术,即使作为载体的iPhone丢失,其保存在安全芯片中的信息也无法被获取、无法被读出来。而只要设备联网就可以被Find My iPhone功能锁死,甚至可以选择远程擦除所有数据。
[12] 根据EFTA的定义,所谓“电子资金划拨”,即electronic funds transfer,EFT,是指不以支票、期票或类似票据,而以电子终端、电话、电传、计算机、磁盘等命令指示或委托金融机构向某个帐户付款或者从某个账户提款、零售商品的电子销售安排、银行的自动提款交易、银行客户通过银行电子设施进行的直接存款和提款等行为。
[13] 15 U.S.C.§1693 (b), (1982).
[14] 其所称的“金融机构”(financial institutions),是指:州立或国民银行,州立或联邦储蓄和贷款协会,互助储蓄银行,州立或联邦信用社,或任何其他直接或间接持有消费者账户之人,既包括银行,也包括其他任何发放资金划拨工具并同意向消费者提供电子资金划拨服务的人。而另据《E条例》的解释,这里的“人”既可以是自然人,也可以是组织,包括公司、政府机构、集团、信托、合伙、合作或社团等。总的来说,这里的金融机构并非我们一般所称的金融机构。
[15] 根据1996年《E条例》的规定,“存取工具”是指能被消费者用以发动电子资金划拨的卡、密码或其他存取消费者账户的工具或它们的任何组合。参见12C.F.R§205.2(a)(1)(1996).《E条例》的官方人员注释进一步指出,存取工具包括可以由消费者用以向消费者的账户或从消费者的账户发动电子资金划拨的借记卡、个人确认号码、电话划拨和电话汇票支付密码和其他工具。但不包括由金融机构内部用来发动电子划拨的磁带或其他工具。
[16] 根据1996年《E条例》的规定,消费者在得知电子资金划拨卡或个人辨认密码丢失或被盗之日起,于两个营业日内报告的,则对未获授权的电子资金划拨享受50美元的责任限制;如果消费者没有在规定的时间内报告,责任限制为500美元;如果消费者在金融机构向其传送载有该笔未获授权划拨的定期账单之日起60天内未能通知,则不能享有最高责任限制。
[17] 此处的“账户”,主要是为私人、家人或家庭设立的活期存款(支票)账户、储蓄账户或其他消费者资产账户,不包括在一项无限额信贷计划中的偶然的或附属的贷方余额,也就是说向商业存款账户或信贷账户划入资金,或从商业存款账户或信贷账户划出资金排除在该法的适用范围外。同时,从一个政府账户中划拨政府津贴也不由该法管辖。
[18] 12 C.F.R. pt. 205.2(i).
[19] 所谓“礼品卡”,是指商家发行的一种在指定商户及时间段内消费的代金券或预付费卡,即我国所称的“单用途商业预付卡”。
[20] Added Section 915 to the Electronic Funds Transfer Act that prohibits dormancy, inactivity or service fees or expiration dates on store gift cards.
[21] See 75 FED. Reg. 16580-01, 16585 (2010):” Similarly, § 205.20 applies to a device with a chip or other embedded mechanism that links the device to stored funds, such as a mobile phone or sticker containing a contactless chip that enables the consumer to access the stored funds. “(Making the application to mobile phones explicit).
[22] 此时属于“非即时转账”,转入PayPal账户的资金以客户名义购买PayPal货币市场基金或以客户代理人名义存入FBO无息账户,PayPal无法从中牟利,因而PayPal属于货币转移服务商而适用EFTA/E。参见朱侃:《PayPal法律地位之争及其启示》,《互联网金融与法律》,2014年12月,第10期。
[23] See 12 C.F.R. § 226.12(c)(3)(i)(b) (2011) (limiting consumer liability for unauthorized transactions to $ 50).一般认为,如果作为电子资金划拨工具的卡是经授权而使用的,消费者通常应承担此划拨所产生的法律后果;但是,如果该卡的使用是未经授权的,则《Z条例》将持卡人的责任限制在50美元以内。如果发卡人未能告知持卡人其权利,信用卡不能识别使用者,或者发卡人没有提供给持卡人一个将其损失通知给发卡人的方法,则持卡人对未经授权的划拨所造成的损失不承担任何责任。
[24] See Jane Kaufman Winn & Benjamin Wright, LAW OF ELECTRONIC COMMERCE, Aspen Pub, 4th Ed, § 7.04[E] at 7-35.
[25] See 74 Fed. Reg. 5244, 5364-66. (Jan. 29, 2009). 但在发卡机构也不负责的情形中,是否应由MPSPs负责解决争端,美联储对此没有表态。
[26] See PayPal User Agreement at § 13.7, https://cms.paypal.com/cgi-bin/marketingweb?cmd=_render-content&content_ID=ua/Payments_full&locale.x=zh_XC#13. Protection for Buyers. noting the differences between PayPal's consumer protection programs and the protections afforded by Regulation Z's chargeback rights.最后访问时间:2015年1月30日。
[27] See PayPal Settles with States, N.Y. TIMES, Sept. 29, 2006.
[28] See Timothy R. Mc Taggart & David W. Freese, Regulation of Mobile Payments, 127 BANKING L. J. 485, 486 (2010), at 496 (asserting that if mobile payment technology is introduced, these services will also come under the required supervision of financial institutions because of their obligations under the USA Patriot Act).
[29] See Mc Taggart & Freese, supra note 28, at 495- 496 (listing the changes that would need to be made by financial institutions in order to remain in compliance with anti-money laundering requirements of the USA Patriot Act).
[30] See Frederick Joyce, Mobile Banking Liability: The Elephant in the Parlor, 3 THE INNOVATOR 3 (2010), at 31 (detailing the minimal statutory obligations of wireless carriers in relation to mobile payment transaction liability).