2015年,经过欧洲委员会、欧洲议会和部长理事会三方协商同意的新支付服务准则(PSD2)正式实施。新准则旨在填补跨境银行卡、互联网和手机支付等支付市场重要领域的空白,应对快速增长的零售支付和新支付服务。新准则为欧洲的支付市场注入了新的重要元素。同时,新准则加强了对用户的安全保护,通过提高安全要求,利用网上支付必要条款中的加强版用户授权,将有效避免欺诈、信用卡滥用和支付事故,并确保欧盟境内所有支付提供方接受相应规定的监督。新的准则将促进欧盟支付市场新成员的增加,促进欧洲市场手机和互联网支付的蓬勃发展,以此提高竞争力,为消费者和企业提供更多更好的选择。
欧盟新支付服务准则出台背景
欧盟高度重视保护个人隐私。随着信息技术的发展,特别是在互联网金融时代,由于隐蔽性强,违法成本低,收益丰厚,侵犯隐私权的现象越来越猖撅。欧盟很早就开始重视隐私权的保护问题,在1953年的《人权和基本自由公约》,隐私权是其中一项重要内容,同时也是一项基本人权。
欧盟各国个人信息保护程度不一致。欧盟《数据保护指令》宗旨在于协调欧盟各成员国关于个人信息隐私权保护方面的法律规定。在《数据保护指令》通过时,欧盟各国的数据保护立法参差不齐,法国,德国和英国拥有完善的数据保护法律,而有些国家,如希腊,在这方面的立法则完全空白。这使得在欧洲范围内建立统一的“信息社会服务”市场,协调各国的数据保护法律。
出台统一的个人信息保护规定有利于欧盟融合。更严格、统一的个人信息保护办法,使得原先对于数据保护不力的成员国只需要通过转化立法,即可完善其国内法中对于数据保护的法律规定。而对于原先己经有比较完善立法的成员国,则无需担心数据从其国内传输到其他成员国。这不仅提供了欧盟成员国整体的数据保护力度,还为数据在各成员国国内传输提供了极大的便利。尤其在电子支付广泛运用的今天,更需要严格的第三方支付个人信息保护法规,不至于影响越境支付服务的发展和单一欧元支付区域项目的实现。
原有支付指令无法满足新兴业态的发展。原有的支付指令是欧盟2007年制定的支付服务法律,目的是为了鼓励和管理支付系统,简化服务流程提高欧盟地区的支付服务效率。随着科技和经济的发展,为了进一步提高欧盟支付市场的竞争力、创造力以及透明度,同时加强互联网支付以及账户的安全性,覆盖不同的支付手段,填补对于快速增长的零售支付和新的支付服务方面的法律空白,新准则的推出应运而生。
新指令的主要改动
一是新准则将扩展“支付机构”的定义范围,采取“走出去”发展战略,在继续发展欧盟以及冰岛、挪威、列支敦士登等国的境内支付交易的同时,将业务范围扩展至其他地区,不断扩大支付服务范围。新准则不但适用于支付交易服务提供方双方均在欧盟境内的情况,还适用于只有一方支付服务提供方在欧盟境内的支付交易情况。
二是新准则将调整第三方支付服务(TPP)访问和使用数据的要求,包括支付发起服务提供商(PISPs)和账户信息服务提供商(AISPs),禁止信用卡附加费等。
针对支付发起服务提供商(PISPs),对账户信息获取条目进行了补充,增加了严格的限制,要求支付服务提供方在进行支付服务时必须获得授权;不得让任何第三方知悉用户的个人安全凭证;确保用户的其他任何信息只提供给收款人;不得存储与支付服务用户相关的敏感支付数据;不得要求用户提供任何与进行支付无关的信息;不得使用、获取及储存支付服务规定以外的数据。
针对账户信息服务提供商(AISPs),要求必须获得主体授权;只能访问指定的账户信息以及与交易相关的账户信息;除了支付服务使用者指定的账户信息之外,不得使用、访问和存储任何数据。
三是新准则加了线上支付和账户访问的安全性要求。新的支付指令将制定新的电子支付和账户访问的安全性要求,用于应对涉及账户信息服务提供商和支付发起服务提供商。
对我国第三方支付服务中个人信息保护工作的启示
应正确定位消费者与第三方支付企业在消费者个人信息处分上的权限。对第三方支付企业来说,消费者的个人信息是宝贵的资源,对消费者而言,个人信息权是隐私权的变形,是消费者生存所必须具备的应有权利,不可随意剥夺。在二者的冲突中,应该注重对消费者的优位利益进行保护。即使个人信息产生于消费者使用支付平台过程中,是使用支付服务所必须的基本条件,也并不意味着第三方支付平台可以占有、使用或者处分。第三方支付企业的支付服务不能作为换取处分个人信息权的对价。我国法律应对相关问题加以规定,若非基于法律规定或者消费者许可,第三方支付企业不得随意加工或者使用消费者个人信息;对于加工、使用过程、方式,消费者有权知晓,并对于不当的加工、利用提出异议,要求第三方支付企业改进或者终止,还可以进行修改。
应限制第三方支付平台信息收集的范围。目前注册第三方支付平台需要提供的信息种类繁多,涉及消费者的所在区域、个人电子邮箱或者手机号码、姓名、身份证号码、银行卡卡号、职业、住址、身份证使用期限,若发起支付指令,还要包含付款人名称、确定的金额、收款人名称、付款人的开户银行名称或支付机构名称、收款人的开户银行名称或支付机构名称、支付指令的发起日期等,但个人所在区域、地址、职业、身份证使用期限等信息,根本与支付账户、支付过程无关。其中部分信息属于第三方支付平台处于商业上考虑,为了统计、分析消费者习惯,制定营销策略,更多地吸引消费者。对于这类信息,《网络商品交易及有关服务行为管理暂行办法》规定网络服务经营者不得收集与服务无关的信息,因此应当禁止第三方支付企业再要求消费者填写。
应完善民事责任机制。我国《关于加强网络信息保护的决定》对十种侵权行为进行了规定,包括非法获取、非法出售、非法向他人提供、非法泄露、非法篡改、非法毁损、丢失、违法发送、对泄露公民个人电子信息或侵扰他人的电子信息未及时采取补救措施、其他行为等。这些行为可能被追究民事责任、行政责任和刑事责任。但民事责任如何追究,上述《决定》只有原则性规定,目前还只能依据《侵权责任法》的规定,按照过错责任原则,依据一般构成要件进行分析。由于消费者在证据收集方面存在种种障碍,想要证明所有的构成要件,几乎是不可能完成的任务。作为一种特殊侵权行为,应该在今后的法律制定或修改中在责任认定原则、举证责任等方面做出倾斜性规定,对处于弱势地位的消费者进行特殊保护。
来源:《中国征信》2016年第1期。
作者:梁伟,现供职于人民银行广州分行;王翠萍,现供职于人民银行广东省茂名市中心支行;郝玉辰,现供职于人民银行广东省佛山市中心支行。
微博认证号:征信宝
征信宝网站:zhengxinbao.com
微信公众号:征信宝