第五十四条【电子支付安全管理要求】
电子支付服务提供者提供不符合国家相关支付安全管理要求的电子支付服务,给用户造成损失的,应当承担赔偿责任。
【文章分析】1.电子支付安全管理的必要性
技术创新带来支付风险量甚至质的变化。 支付与科技是密切相关的行业。 现代电子支付的生命力在于技术的应用。 没有技术,就没有现代电子支付的蓬勃发展。
技术变革正在改写电子支付行业的交易规则,同时风险也与之相伴。 大数据、云计算、人工智能、区块链等不断迭代创新技术的发展甚至开始从根本上改变当前的商业模式和监管框架。 一方面,技术创新变革速度明显加快; 另一方面,技术转化为支付产品的周期大大缩短。 随着互联网人口不断增加,消费者接受新技术的能力和意愿逐渐增强。 新产品、新平台、新组织、新业态及其网络效应正在跨越地域、国界、时间向公众渗透。 扩散的速度也加快了。 金融科技显着降低了电子支付服务提供商与用户之间的连接成本,实现了高效率、低成本。 同时,风险隐蔽性、突发性、传染性、负外部性等特点也没有改变。 相反,它使风险转移发展得更快,影响的范围更广。 金融、科技、网络风险更容易产生叠加和聚合效应,在技术风险、操作风险和系统性风险层面更加突出。 详情如下所示:
技术风险。 支付业务的发展依赖于先进的技术和交易平台系统。 技术和交易平台系统的错误选择会带来更大的风险。 在计算机驱动交易的背景下,交易的频率和数量迅速增加。 虽然新技术有利于克服寡头垄断、规范传统市场交易主体,但技术漏洞或编程错误会对金融市场产生巨大影响并催生新的影响。 系统性风险。 在使用人工智能、大数据、云计算、区块链等技术时,数据关联不是用来发现因果关系,而是用来预测未来,这可能会导致成本和风险的误判。
操作风险。 操作风险通常与不适当的操作和内部控制程序、信息系统故障和人为错误密切相关。 当内部控制和信息系统存在缺陷时,这种风险可能会导致意想不到的损失。 随着技术驱动创新步伐的加快,运营风险也随之增加。 此外,数据风险与信息安全风险交织,信息技术风险等运营风险加大。
系统性风险。 如果支付公司的规模达到足够大的程度,破产的风险就会很快转嫁给与其挂钩的公司。
与以往的经济损失不同,在互联网背景下,用户损失体现在两个重要方面:一是经济损失;二是经济损失。 二是个人信息侵权。
由于电子支付行业主要通过互联网向客户提供产品和服务,利用信息技术处理与客户交易相关的信息,更多地依赖于非面对面的方式获取和收集信息,这从根本上改变了电子支付行业的发展方向。改变了传统的金融信息行为及其风险管理模式。
资金损失方面的风险主要体现在:电子支付平台账户风险、交易中账户被盗风险、暴力破解、数据库篡改、身份欺诈、洗钱、高危漏洞、病毒木马等欺诈风险行为。
个人信息侵权风险主要体现在:随着支付服务提供商对用户身份验证需求的增加,市场上出现了一些提供身份识别服务的公司,但良莠不齐。 由于身份验证涉及用户个人隐私信息,很容易被怀疑存在违规行为,可能出现信息被窃取、滥用、非法交易等问题。 支付过程涉及用户身份信息、银行卡信息、密码信息等诸多敏感信息,这些信息一旦泄露,很容易给不法分子可乘之机,给用户造成重大损失。
支付服务提供商有保护用户资金和信息安全的义务,在专业性和服务能力方面具有天然优势。 应全面遵守国家支付安全管理要求,维护用户合法权益,确保支付市场整体稳定。 同时,也鼓励支付服务提供商创新安全保障能力,基于海量风险数据和强大的机器学习技术,建立精准的风控模型和信息内控机制。 通过事前信息审核、事中监控预警、事后关联分析,全流程实时监控业务潜在威胁。
国家支付安全管理要求一般包括以下客观指标:取得相应的业务许可证; 拥有一定数量熟悉业务的高级管理人员; 具有符合要求的支付业务设施(包括支付业务处理系统、网络通信系统以及容纳上述系统的)(专用机房); 具有健全的组织架构、内部控制制度和风险管理措施(包括具有合规管理、风险管理、资金管理和系统运维职能的部门); 有符合要求的营业场所和安全措施; 支付业务可行性研究报告; 技术安全检测及认证证书; ETC。
2.相关法律法规的联动
本法规定的《国家支付安全管理要求》见: (一)《电子支付指引(第1号)》(中国人民银行公告[2005]23号):本指引设有专门章节。 规定了银行开展电子支付业务所采用的信息安全标准、技术标准和业务标准,包括管理机制、审慎原则下的用户适当性保护机制、相关技术要求、数据保密标准和内部人员控制等,并特别规定规定银行应当建立电子支付业务经营中重大事件报告制度,对电子支付业务经营中发生的危及安全的事项及时向监管部门报告。 (2)《非金融机构支付服务管理办法》(中国人民银行令[2010]2号):该办法明确规定支付机构应当按照《非金融机构支付业务管理办法》制定支付业务办法和客户权益保护措施。按照审慎经营的要求,建立健全风险管理和内部控制制度。 支付机构应具备必要的技术手段,保证支付指令的完整性、一致性和不可否认性,支付业务处理的及时性、准确性和安全性; 具备灾备处理能力和应急处置能力,保证支付业务的连续性;还规定支付机构应当接受中国人民银行及其分支机构定期或不定期的现场检查和非现场检查,如实提供相关信息,不得拒绝、阻碍、逃避检查,不得撒谎、隐匿、毁坏有关证据材料。 (3)《非银行支付机构网上支付业务管理办法》(中国人民银行公告[2015]43号):该办法特别强调用户权益保护和面向用户的风险管理,要求支付机构综合考虑客户类型,基于身份验证方式、交易行为特征、信用状况等因素,建立客户风险评级管理制度和机制,动态调整客户风险评级和相关风险控制措施。 《办法》还规定,支付机构未达到相关标准和要求,或者尚未形成国家标准、金融行业标准的,支付机构应当无条件全额承担客户直接风险损失等先行赔偿责任。
有关部门还应结合实际,调整和进一步规定支付安全管理要求,适应电子支付的发展和创新,促进合理竞争,维护消费者合法权益,保障国家金融安全。
三、电子支付服务提供者支付安全管理义务
该条明确要求电子支付服务提供者提供电子支付服务时,必须遵守国家相关支付安全管理要求。 否则给用户造成损失的,应当承担赔偿责任。
电子支付服务提供商向用户提供电子支付服务时,必须具备完善的支付安全管理。 一方面,支付指令电子化极大提高了支付效率,但同时也对支付指令发起和传输过程中的用户资金安全提出了新的挑战。 在支付指令发起和传输过程中,可能会发生信用卡被盗、诈骗、病毒侵入电子支付系统篡改支付指令的情况,威胁用户资金和个人信息的安全。 电子支付服务提供者未履行安全义务,给用户造成损失的,应当对用户承担损害赔偿责任。 本文之所以没有具体明确支付安全管理要求,是考虑到新技术爆发背景下安全要求的不断变化和发展,避免因硬性规定而导致责任不清,为支付安全管理提供灵活性。有关部门根据实际情况调整保障。 管理要求留有空间。
电子支付服务提供商还可以参考其他国家或地区的相关规定,进一步提高安全水平。 例如,台湾《电子支付机构业务管理规则》第六条规定,电子支付机构应对支付用户采取措施。 风险控制措施如下: 1、建立支付用户信用审核机制和流程,并指定专人负责支付用户的审核、审批和管理。 2、建立接收用户的风险评估等机制。 对于接收风险等级较高的用户,应采取限制交易金额、加强交易监控、现场走访、存入保证金、提供其他担保或延迟清算等措施。 降低交易风险。 (三)建立支付用户调查、评估或现场走访机制,根据支付用户风险程度采取适当的调查、评估或现场走访频率和方式,并保存相关记录。 四、主管机关规定的其他风险控制措施。 又如修订版欧盟支付服务指令(2,简称“PSD2”),规定支付服务提供商负责安全措施。 这些措施需要与所涉及的安全风险相称。 支付服务提供商应建立一个框架来降低风险并维持有效的事件管理程序。 应建立定期报告机制,以确保支付服务提供商定期向主管当局提供对其安全风险的最新评估以及为应对这些风险所采取的措施。 此外,为了确保对用户、其他支付服务提供商或支付系统的损害(例如支付系统的重大破坏)保持在最低限度,必须要求支付服务提供商向主管当局报告重大安全事件不得无故拖延。