第二节 互联网支付典型案例
一、“行业传奇”支付宝
(一)支付宝简介
支付宝(中国)网络技术有限公司(以下简称支付宝)目前为国内领先的第三方支付平台。建立于2004年,旗下有“支付宝”与“支付宝钱包”两个独立品牌。截至目前,支付宝实名用户超过4.5亿,支付宝钱包活跃用户超过2.7亿,单日手机支付量超过4500万笔,超过2013年“双十一”创造的单日手机支付4518万笔的全球峰值纪录。自2014年第二季度开始,支付宝成为当前全球最大的移动支付商。
(二)支付宝发展历程
自2003年10月18日淘宝网首次推出支付宝服务,到2004年,支付宝从淘宝网独立发展成为中国最大的第三方支付平台。
2011年5月26日,支付宝获得中国人民银行颁发的国内第一张《支付业务许可证》(业内又称“支付牌照”)。
截至2013年年底,支付宝实名认证的用户数超过3亿。2013年,支付宝单日交易笔数的峰值达到1.88亿笔。其中,移动支付单日交易笔数峰值达到4518万笔,移动支付单日交易额峰值达到113亿元人民币。
2016年,支付宝限制转账金额,强化安全验证方式。除向本人同行银行账户转账外,银行为个人办理非柜面转账业务,单日累计金额超过5万元的,应采用数字证书或电子签名等安全可靠的支付指令验证方式。
(三)支付宝的法律分析
支付宝作为中国现阶段最大的第三方支付平台,在市场准入、客户资金及信息安全、消费者权益保护和反洗钱防范网络犯罪这四个方面都受到监管部门的严格监管,支付宝的发展见证了我国支付行业监管政策的变迁,现对支付宝进行以下法律分析:
1.市场准入监管措施
支付宝的正式监管机构是中国人民银行。2010年6月,中国人民银行正式对外公布《非金融机构支付服务管理办法》(以下简称管理办法),开启了对国内第三方支付行业的监管。根据管理办法的规定,非金融机构提供支付服务需要取得《支付业务许可证》。《支付业务许可证》全面覆盖了互联网支付、移动电话支付、银行卡收单、预付卡发行等众多支付业务类型。支付宝相关业务的开展获得了监管部门的许可。
2.客户资金及信息安全监管措施
支付宝曾经面临的巨大争议之一就在于如何保护客户资金及信息安全。此担忧的一大来源就在于大量存在的钓鱼网站骗取用户的支付宝账户信息。2013年全年,支付宝与国内外反钓鱼组织及各浏览器厂商,共计屏蔽钓鱼网站155282个,占全球金融类钓鱼网站总量的43.49%。2013年,支付宝联合全国14个地市公安机关,针对手机木马等盗用、欺诈支付宝用户案件开展打击,全年打击作案团伙16个,抓获犯罪嫌疑人35名,涉案总金额超千万元。
在支付安全方面,支付宝曾因未实行账户实名制而受到中国人民银行3万元的罚款,这也是支付宝首次受到罚款。《非银行支付机构网络支付业务管理办法》中明确要求建立健全客户身份识别机制,对客户实行实名制管理。另外,支付宝仍需要通过技术进步来保证账户安全。支付宝的账户保护系统需要不断升级,一用户在转赠手机时,曾将自己手机的开机密码和云账户密码告诉给了买家,从而导致盗用者利用这些信息破解了支付宝账户,对银行卡进行盗刷。
2017年1月10日,有网友发现了支付宝的一个致命漏洞,他人熟知你的支付宝个人信息后可以通过“找回密码”功能登录并篡改支付宝密码。支付宝方面回应称,这一方式仅在特定情况下才会实现,目前已进一步提高了风控系统的安全等级。
除支付宝和财付通两大第三方支付平台外,我国目前已经发出去270多张支付牌照,这些支付平台有些被国内著名的互联网公司所收购,余下的平台如果没有足够的业务量支撑,挪用用户资金仍然是一个值得担忧的风险。
3.消费者权益保护措施
第三方支付平台掌握着大量的消费者隐私,我国消费者权益保护立法在此方面有些滞后,但是根据《网络安全法》等法律对数据保护的规定仍可以适用于此。例如,2018年1月3日,支付宝推出用户个性化年度账单,当用户进入年度账单首页的时候,左下角会出现“我同意《芝麻服务协议》”,旁边的按钮则是默认勾选。该事件被舆论称为支付宝的“无心之失”。人民日报评论称,十多年来,尽管网络安全风险一直存在,但是大众心理依然走出了一条从担心“电子钱包里的钱会被偷走”到无所顾忌随手扫码买买买的折线,这很大程度上源于“互联网大公司更有操守”的朴素想法。但是,支付宝年度账单事件再次引发全民对于信息安全的关注,当互联网公司大到成为手握10亿级用户的“数据王国”,如何保证它们节制手中的“数据权力”,如何确保企业“数据权力”不凌驾于个人“数据权利”之上,亟待网络安全法之外,有更细致的规则来立界。
4.反洗钱防范网络犯罪措施
所谓洗钱,就是把从非法渠道获取的黑钱,以隐瞒、掩饰等手段通过某种渠道、某种方式进行清洗,使其获得表面合法化的过程。支付宝实名认证的推出就是对反洗钱新规最有力的举措。《非银行网络支付管理办法》(以下简称《办法》,2016年7月1日起生效)首次明确了建立“支付机构分类监管指标体系”的新思路,鼓励行业中合规经营、有充分风险管控能力的企业更好地开展服务和创新。支付宝在《办法》出台后启动了相关的系统升级和改造工作,并根据办法的要求帮助用户完善相关信息。同时,支付宝官方表示,在《办法》正式生效之后,支付宝还将履行反洗钱职责。
目前,蚂蚁金服正在布局大数据智能反洗钱。蚂蚁金服根据洗钱行为的一些特点建立各种模型算法,然后利用对大数据的分析,发现可疑的洗钱行为并制止。众所周知,支付宝的出现为我们提供了便捷的支付通道,但同时也被不法分子利用进行反洗钱。但由于支付宝是基于互联网的支付工具,用户在支付宝上的每一个操作行为都会被记录,最后形成海量的数据库,这为蚂蚁金服进行大数据反洗钱提供了可能性。
除此之外,蚂蚁金服还拥有来自淘宝、微博、高德地图、天弘基金等的数据。蚂蚁金服反洗钱中心资深总监李晓杰表示,接下来,蚂蚁金服大数据反洗钱将延伸至淘宝上的虚拟交易、资金的转换、毒品、网络变相赌博以及反恐等方面。
二、二维码支付
(一)二维码支付简介
二维码支付是一种基于账户体系搭起来的新一代无线支付方案。在该支付方案下,商家可把账号、商品价格等交易信息汇编成一个二维码,并印刷在各种报纸、杂志、广告、图书等载体上发布。(百度百科)条码支付由支付宝在2011年推出,到现在随时可见的付款码,条码支付已经成为线下支付一种非常重要的方式。根据蚂蚁金融服务集团发布的2016年支付宝全民账单,移动支付笔数占整体比例71%,相比2015年增长10%。支付宝称此增长得益于线下手机支付的习惯养成。线下手机支付一种很重要的支付方式便是二维码支付,也称条码支付。但不可忽视的是,条码支付业务作为一种新型的支付方式,存在着监管方面的缺失,也因如此,条码支付才能在短时间内如此扩散开来。条码支付业务在我国的初期发展并不顺利,2011年,人民银行同意部分非银行支付机构在限定场景内试点开展条码支付业务。2014年,人民银行叫停条码支付业务,因为当时的环境属于未建立有效安全措施、统一的业务规则和消费者权益保护制度,部分支付机构采取持续补贴的方式广泛推广条码支付业务。
(二)法律法规
《条码支付业务规范(试行)》。
(三)法律分析
《中国人民银行就发布条码支付规范答记者问》提到了三个条码支付存在的问题,包括在商户拓展中未履行“了解你的客户”义务;在定价和市场推广策略中采取倾销、交叉补贴等不正当竞争手段,滥用本机构及关联企业的市场优势地位,扰乱市场秩序;条码支付借助开放互联网和非专业设备进行交易处理,带来一定的技术风险。
中国人民银行在2017年12月27日发布《条码支付业务规范(试行)》后,条码支付业务进入一个持证经营的阶段,不具备支付牌照的平台将不再被允许开展条码支付业务。在此之前我国已通过《银行卡收单业务管理办法》等一系列法规建立起支付清算体系,条码支付业务在《条码支付业务规范(试行)》于2018年4月1日生效后也将纳入这个体系进行监管。鉴于条码支付的安全性,中国人民银行对风险防范能力进行分级,对个人客户的条码支付业务进行限额管理:
在技术方面,中国人民银行发布《条码支付业务规范(试行)》的同时,配套印发《条码支付安全技术规范(试行)》和《条码支付受理终端技术规范(试行)》这将为支付平台提供参照标准。
在遏制不正当竞争方面,中国人民银行在2017年6月曾紧急约谈微信和支付宝两大支付平台。线上平台为了争斗线下市场,凭借对线上支付监管的宽松,这些平台通过补贴等方式收取极低的费用。在我国,收单支付体系实行线上线下两轨制,随着条码支付的便利性,原来的线上支付平台如微信和支付宝开始冲击线下支付市场。此规范的出台意味着线上平台也要纳入收单支付体系,保障与原来的线下支付机构进行公平竞争。