书城法律网络银行风险监管法律问题研究
22205700000036

第36章 电子支付风险监管(3)

电子商务是一种全新的商务模式,对传统支付结算模式的冲击很大。传统的支付结算系统是以手工操作为主,以银行的金融专用网络为核心,通过传统的信道(邮递、电报、传真等)来进行凭证的传递,从而实现货币的支付结算。其中使用的支付工具无论是现金,还是票据,其都是有形的,在安全性、认证性、完整性、不可否认性等要求上有较高的保障,但存在效率低、成本高等缺点。传统的支付结算体系已经有一套适合其特点的比较成熟的管理运行模式。电子商务带来的网络化让一切有形的东西都无形化了,在网络支付系统中,不论是将现有的支付结构电子化,还是开发出网络环境下新的支付工具,它们或多或少都带有无形化的特征。支付媒介可能只是智能卡芯片中的一组数据、硬盘中的一个文件或网络中的一组信息。在这种情形下,如何对电子支付的安全性负责,建立消费者对电子支付的信心,是电子支付系统得以普及运用的前提。

一个安全、有效的支付系统是实现电子商务的重要前提,对于网络支付系统的安全需求主要表现为如下几个方面:(1)使用数字签名和数字证书实现对各方的认证,以证实身份的合法性;(2)使用加密算法对业务进行加密,以防止未被授权的非法第三者获取信息的真实含义;(3)采用信息摘要算法以确认业务的完整性;(4)保证对业务的不可否认性。当交易双方出现异议、纠纷时,支付系统必须在交易的过程中生成或提供足够充分的证据来迅速辨别纠纷中的是非;(5)处理多方贸易业务的多边支付问题,这种多边支付的关系可以通过双联签字等技术来实现。

因此,电子商务中的网络支付结算体系应该是融购物流程、支付工具、安全技术、认证体系、信用体系为一体的综合大系统。其中,电子支付的安全技术是发展电子支付首先应予以解决的问题。

二、电子支付的技术保障

为保障电子支付的安全,目前,被广泛采用的网络安全支付协议有两个,一个是安全套接层SSL(SecureSocketsLayer)协议,另一个是安全电子交易协议SET(SecureElectronicTransaction)。下面主要就这两个协议作以下介绍。

安全套接层SSL协议是1994年底由Netscape首先引入的,目前已有2.0和3.0版本。其主要目的就是要解决Web上信息传输的安全顾虑。除了Netscape外,Netscape其他参与SSL制定的重要厂商还包括IBM、Microsoft及Spyglass,它们都将SSL加入到它们的客户端和服务器的运用方面。SSL协议由SSL握手协议和SSL记录协议构成。

Web本身并不会将通过它的资料加密,任何拦截Web资料传送的人都能够取用包含在里面的信息。通过SSL的使用,除了发送者及接收者以外,它所包含的信息是无法被别人阅读的,这样便大大提高了应用程序间数据传输的安全性。SSL采用了公开密钥和私人密钥两种加密体制对Web服务器和客户机的通信提供保密性、数据完整性和认证服务。在建立连接过程中采用公开密钥,在会话过程中使用私人密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。在所有的情况下,服务器通过以下方法向客户机证实自己:给出包含公开密钥的、可验证的证明;演示它能对用此公开密钥加密的报文进行解密。

总之,SSL协议提供的服务可以归纳为如下三个方面:(1)用户和服务器的合法性认证,使得用户和服务器能够确信数据将被发送到正确的客户机和服务器上。为了验证用户,安全套接层协议要求在握手交换数据中作数字认证,以此来确保用户的合法性。(2)加密数据以隐藏被传送的数据。安全套接层协议采用的加密技术既有对称密钥,也有公开密钥。具体说来,就是客户机与服务器交换数据之前,先交换SSL初始化握手信息。在SSL握手信息中采用了各种加密技术,以保证其机密性和数据的完整性,并且经数字证书鉴别。这样就可以防止非法用户破译。(3)维护数据的完整性。安全套接层协议采用HASH函数和机密共享的方法,提供信息完整性的服务。安全电子交易协议是目前已经标准化且被业界广泛接受的一种网际网络信用卡付款机制。它由Visa和MasterCard两大信用卡组织共同推出,并且由众多信息产业公司,如Microsoft、Netscape、RSA等共同协作发展而成。SET协议在1996年2月1日正式发表,目前已推出SET1.0版,内容包括SET的交易流程、程序设计规格与SET协议的完整描述三部分。

SET协议确保了网络交易所要求的保密性、数据的完整性、交易的不可否认性和交易的身份认证。SET协议主要采用的技术包括:对称密钥加密、公钥加密、HASH算法、数字签名、数字信封以及数字证书等技术。公钥根据其用途可分为公钥签名密钥和公钥交换密钥,前者用于数字签名,后者用于交换随机生成的对称密钥。SET通过使用公钥和对称密钥方式加密,以保证数据的保密性;SET通过使用数字签名(结合HASH算法)和数字证书实现交易各方的身份认证、数据的完整性和交易的不可否认性。

SSL协议和SET协议是两种非常重要的通信协议,每一种都提供了进行支付的安全手段,但是,二者之间谁将主导未来的潮流呢?我们先从二者的比较谈起。二者在下述几个方面存在差异:(1)从认证机制方面来看,SET的安全需求较高,因此所有参与SET交易的成员(持卡人、商家、付款转接站等)都必须先申请数字证书来识别身份,而在SSL中只有商店端的服务器需要认证,客户端的认证则是有选择性的。(2)对消费者而言,SET保证了商家的合法性,并且用户的信用卡号不会被窃取。SET替消费者保守了更多的秘密,使其在线购物更加轻松。在SSL协议中则缺少对商家的认证。(3)从安全性来看,一般都认为SET的安全性较SSL要高,主要原因是在整个SET交易过程中,包括持卡人、商店、网络银行等支付流程中的关系方都受到严密的保护。而SSL的安全范围只限于持卡人到商店端的信息交流。(4)SET对于参与交易的各方定义了互操作接口,一个系统可以由不同厂商的产品构筑。从上述比较中可以看出,SET协议的安全系数是较高的,但这个安全性是建立在银行网络、商家服务器、顾客的PC上都按要求安装相应的软件。这就导致SET协议的推广成本较高,而且SET要求必须向各方发放证书,这也将增加许多附加费用。SET的高昂成本使得其目前在市场的占有率较SSL协议要低。据统计,SSL协议占据80%的市场。但我们认为,随着网络交易安全性需求的不断增加,SET必将以其安全系数高的优势为市场所广泛接受。

电子支付对传统法律的冲突

电子支付作为一种新型的支付方式,克服了传统支付方法在时间、空间以及流通等方面的局限,实现了支付的虚拟化与瞬时性,可以在当事人不谋面、不见钱的情况下快捷地实现支付的效果。电子支付以其方便、快捷的特点备受电子商务时代参与各方的青睐,其在出现以后便以难以置信的速度迅猛发展,成为信息时代中一种不可低估的力量,对金融业的发展产生了深远的影响,同时也给传统法律带来了巨大的冲击,形成了电子支付环境下新的法律风险。

一、电子支付带来了支付法律关系的新变化

支付法律关系是指支付当事人在支付活动中形成的权利义务关系。传统支付法律关系是以纸质货币和票据为基础形成的,随着支付法律制度的日渐完善,这种关系无论在主体范围还是在内容方面都已趋于相对稳定,成为规范支付法律关系和保障支付活动顺利进行的有效约束。而电子支付作为一种新型的支付方式,不仅改变了支付赖以进行的媒介,使支付活动从现实世界转移到了虚拟空间,成为脱离纸质货币和票据的无纸化支付,而且当事人也因此变得更加复杂,当事人之间的关系也因此而多样化。这种新型的支付活动在支付当事人、支付工具、支付环境、支付风险等方面都有与传统支付活动不同的特点。因此,在这种条件下形成的支付法律关系便具有了与传统支付法律关系不同的一些特点。尽管二者也存在一些共同之处,但调整传统支付法律关系的法律规范无论如何也不可能完全复制到虚拟空间。电子支付的实践也证明,传统支付法律关系在电子支付领域不能形成有效的法律约束。电子支付的出现,给支付法律关系带来了新的变化,这主要体现在以下几个方面:

(一)电子支付使更多的当事人参加到支付关系中来,使支付法律关系变得错综复杂

电子支付的当事人是指在电子支付活动中享有权利和承担义务的自然人、法人或者其他组织。不同的电子支付方式有不同的电子支付当事人参与,如在大额电子支付中与小额电子支付中所涉及的当事人就各不相同。一般而言,电子支付作为一种支付方式,从整体上讲,其可能涉及的当事人主要有以下几种:

1.付款人

付款人是指在支付基础关系中负有金钱支付义务的人。所谓支付基础关系,是指当事人产生支付法律关系的原因或者前提。当事人之间之所以产生支付法律关系,必须有支付的理由,如消费者向商家购买货物,须支付货款于商家,由此与商家产生支付法律关系。在这里消费者与商家之间的购物合同就是支付基础关系,消费者对商家负有金钱支付义务,因而处于付款人的法律地位。又如在ATM条件下的电子支付中,持卡人之所以能够通过ATM机向发卡行发出支付指令,是因为他在银行有存款或者银行事先同意授予其一定的透支额度,这是当事人之间的一种资金关系,是当事人通过ATM机实现支付的基础法律关系。发卡银行在此种情况下就处于付款人的地位。付款人在不同的电子支付形式中有不同的称谓,如在POS系统下的电子支付中,称之为持卡人;在网络现金支付中,称之为支付者或者电子货币使用者;在跨行大额电子支付中,有时称之为发端人。付款人往往是整个支付流程的发起人,在电子支付中起着至关重要的作用。

2.受款人

受款人是指在支付基础关系中对付款人享有金钱债权的人。受款人是支付资金的最终收受者或者权利人,支付资金一旦为其所有或者在法律上为其控制,整个电子支付的目的就已达到,支付流程一般也因此而结束。在电子支付实践中,最常见的受款人主要有以下几种:

一是银行卡发卡银行的特约商户。所谓特约商户是指那些能够接受银行卡支付,为持卡人提供消费服务的商家,它们与发卡银行之间存在银行卡支付合同,承诺接受发卡银行的银行卡支付,承诺接受发卡银行的银行卡支付,并向发卡银行支付一定的交易手续费。

二是ATM条件下银行卡持卡人。由于持卡人与其发卡行存在一定的资金关系,而持卡人则处于该资金关系中的金钱债权人地位,因而处于受款人的法律地位。

三是大额电子支付中的大宗交易的债权人,如证券交易中的证券商、期货交易中的期货商等。

3.网络银行

网络银行作为电子支付的当事人,在不同的电子支付形式中,有不同的法律地位,也有不同的称谓。如在POS条件或者ATM条件下称为发卡行,因为这两种电子支付方式都是以银行卡为支付工具,银行向符合条件的申请人发行银行卡,故称为发卡行,申请人则被称为持卡人。又如在跨行电子支付中,根据在支付流程中各自的作用,网络银行又可分为付款人银行、收款人银行、中介银行、始发银行、终点银行等。

网络银行是电子支付中最为常见的当事人,在电子支付中处于核心的地位。在目前的电子支付技术和法律环境下,一种支付系统的顺利运行一般离不开网络银行的参与。网络银行在电子支付中扮演着极其重要的角色,甚至可以说,网络银行在电子支付流程中起着主导性的作用。电子支付本身就是银行电子化的产物,网络银行的兴起与发展也是银行电子化中的必然结果。如果没有网络银行的迅速崛起,电子支付根本就不可能成为人们所普遍认可的支付方式。各国普遍认识到了网络银行在电子支付发展中的重要作用,因而,对网络银行进行监管的一个重要方面就是对电子支付风险的监管,网络银行如果不能为电子支付服务也将失去生存的空间,所以,电子支付与网络银行是相辅相成的,共同代表了信息时代金融业发展的方向。

4.信用卡公司

信用卡业务作为一种出现较早的电子金融业务,自出现以后便迅速发展,逐渐发展成为主要的金融业务品种之一。信用卡业务的利润不菲,持卡人和特约商户越多,发卡人营利就越大,但信用卡业务与市场营销紧密相关,如要大量发展持卡人和特约商户,就必须投入大量的财力和人力,而经营多种金融业务的银行投入到信用卡业务中的财力和人力毕竟是有限的,于是实践中便出现了一些专门从事信用卡业务的信用卡公司。世界上最为著名的信用卡公司是美国的维萨国际信用卡组织和万事达国际信用卡组织。它们的业务范围遍及全球,业务额占据美国信用卡市场的75%,具有极强的实力,以致目前美国司法部已对它们发起反垄断诉讼。由此可见信用卡公司在信用卡市场发展中的作用。在我国,由于法律不允许非银行机构经营银行业务,所以我国并没有像维萨国际信用卡组织和万事达国际信用卡组织那样的专业信用卡公司。前不久,银行中的银行卡业务独立出来意味着中国专业信用卡公司的诞生已为时不远了。

5.认证机构