第二节第三方支付平台法律规定概述_第三方支付平台犯罪及刑事责任研究-QQ阅读男生武侠网

上QQ阅读APP看书，第一时间看更新

第二节第三方支付平台法律规定概述

第三方支付平台的出现，打破了银行等传统金融机构支配资金支付结算活动的绝对地位。然而，作为提供资金支付及其移转活动的新型主体，在推动网络经济发展的同时，有必要合理规制。“网络支付系统作为一种市场工具，伴随其不断发展，也为立法者调整法律提供了目标。”[41] 为此，国外不少发达国家、地区和我国已针对第三方支付平台出台了相关法律规定，一定程度上推动了第三方支付平台的规范发展。

一国外关于第三方支付平台的法律规定

在国外，特别是欧洲、美洲和亚洲部分发达国家或地区，第三方支付业务发展较为成熟，为规范第三方支付平台的发展，已逐步形成较完备的法律规范体系。

（一）欧洲发达国家关于第三方支付平台的法律规定

在欧洲，欧盟和英国针对第三方支付平台出台了一系列较成熟的法律规定，为促进第三方支付业务的规范发展提供了法治保障。

1.欧盟关于第三方支付平台的法律规定

其一，关于第三方支付平台市场准入的法律规定。

欧盟要求第三方支付平台若进入支付市场经营支付业务须取得许可证。1998年，欧盟就规定，只有取得电子货币机构许可证的第三方支付平台方可经营支付业务，但实践中由于欧盟成员国的支付发展水平不均衡，各国各自为政，阻碍了第三方支付业务的发展。为此，2000年9月10日，欧盟理事会和欧盟议会制定了《关于电子货币机构业务开办、经营与审慎监管的2000/46/EC指令》（以下简称《2000/46/EC指令》）和《修改〈关于信用机构业务开办与经营的2000/12/EC 指令〉的2000/28/EC 指令》（以下简称《2000/28/EC指令》），两指令的出台，为非金融机构进入电子货币服务领域、确立统一的市场准入规则奠定了规范基础。其中，《2000/46/EC指令》明确指出，电子货币机构仅是此指令适用的主体，[42] 适用的内容主要是电子货币机构发行的电子货币业务，除此以外，仅限于提供与之相关的金融或非金融服务以及代表其他机构存储的电子数据。[43] 此外，该指令还进一步明确了电子货币机构的最低注册资本要求和投资范围。《2000/28/EC指令》仅有4 个条文，主要扩展了信用机构的范围，明确将电子货币机构纳入信用机构的范围。[44] 2007年11月13日，《关于内部市场支付服务的2007/64/EC指令》（以下简称《2007/64/EC指令》）由欧洲议会和欧盟理事会颁布，旨在欧盟范围内构建统一的支付服务法律框架，以营造公平竞争的支付环境。相比前两个指令，该指令首次将新型电子支付服务提供者[45]（payment service provider）纳入调整范围，[46] 进一步扩容了提供支付服务的主体。正如《2007/64/EC指令》指出的那样，“为了消除进入市场的法律障碍，引入新型支付服务提供者是合适的，在一系列严格且全面的规制情形下，对现有类别以外的法人提供授权，以便在整个范围内提供支付服务”。2009年9月16日，欧盟为满足电子支付新的发展需求，欧盟理事会和欧盟议会在修改《2005/60/EC指令》《2006/48/EC指令》，废止《2000/46/EC指令》的基础上，颁布了《关于电子货币机构业务的审查、贯彻与审慎监管的2009/110/EC指令》（以下简称《2009/110/EC指令》），进一步将电子货币机构以外的电子货币发行商的支付活动纳入此指令的调整范围。由此可见，《2007/64/EC指令》和《2009/110/EC指令》是调整第三方支付平台的重要规范，特别是规定内容较为全面的《2007/64/EC指令》，在要求电子货币机构从事支付服务和发行电子货币服务应获营业许可的基础上，对其市场准入又规定了如下内容：

第一，在核准机制上，明确了支付机构的授权申请资格，根据《2007/64/EC指令》第5条的规定，要求其向成员国主管部门提交有关支付服务类型、包含前3个财政年度预算的业务计划、初始资本、行政及会计治理安排、防止洗钱和恐怖主义融资的控制机制、机构管理人员资料、机构章程及其总部所在地等材料。[47]

第二，在注册资金上，分别规定了初始资本金和自有资金的要求，《2007/64/EC指令》第6条规定，“成员国应要求支付机构在授权时持有由《2006/48/EC指令》第57（a）和（b）条规定的项目组成的初始资本”，最低不得低于2万欧元，初始资本金的计算方法，由成员国主管部门根据各国情况作具体规定；《2007/64/EC指令》第7条规定：“根据《2006/48/EC指令》第57至61、63、64和66条的规定，支付机构自有资金不得低于本指令第6 条或第8条规定的金额，以较高者为准。”

第三，在退出机制上，《2007/64/EC指令》第12 条规定了五种主管机关撤销支付机构经营资格的事由：一是12 个月内未开展核准业务、明确放弃授权或已停止从事支付业务超过6个月的；二是以虚假陈述或其他不正当手段获得授权的；三是不符合授权条件的；四是若继续提供支付服务会对支付系统的稳定构成威胁的；五是国内法律规定的其他撤销情形的。随着电子支付的迅猛发展，市场上出现的新型支付方式给当前治理带来挑战。为此，2015年11月25日，欧洲议会和欧盟理事会在修订《2002/65/EC 指令》《2009/110/EC指令》《2013/36/EC法规》《（欧盟）第1093/2010号条例》和废除《2007/64/EC指令》的基础上，制定新的《关于内部市场支付服务的2015/2366/EU指令》（又称PSD2，以下简称《2015/2366/EU指令》）。从2018年1月12日起，《2015/2366/EU指令》在欧盟成员国内正式施行。相比《2007/64/EC 指令》，《2015/2366/EU指令》在核准制度和退出机制上都有变化，具体而言：核准制度上，一是将支付发起服务提供者（payment initiation service provider）和账户信息服务提供者（account information service provider）都纳入支付机构的范围；[48] 二是申请注册时应提交存档、监控和限制访问敏感支付数据的材料和涉及支付服务风险评估的安全政策文件；[49] 退出机制上，将不符授权条件的重大事项未及时告知主管当局的情形视为撤销事由。[50]

其二，关于第三方支付平台客户资金管理的法律规定。

《2007/64/EC指令》第9条规定，客户资金和支付机构自有资金不能混在一起，客户资金账户和自有资金账户必须分离，该规定在《2015/2366/EU指令》第10 条中也得到明确。同时，《2009/110/EC指令》第7 条第2 款严格要求限制客户资金的投资范围，安全、低风险的资产才属于电子货币机构的投资项目。此外，《2009/110/EC指令》第11 条规定了电子货币的赎回制度（redeemability），即成员国应确保电子货币发行人在收到资金时以票面价值发行电子货币；成员国应确保电子货币发行人应电子货币持有人的要求，实现票面价值与电子货币的货币价值的随时兑换；电子货币的发行人和持有人在签订合同时，应明确赎回条件及费用，并在签约前应向持有人告知这些条款内容。

其三，关于第三方支付平台客户信息保护的法律规定。

2006年3月15日，欧洲议会和欧盟委员会在修改《2002/58/EC指令》的基础上，颁布《关于保留、提供公共电子通信服务或公共通信网络有关数据的生成或处理的2006/24/EC指令》，旨在协调成员国保留、提供电子通信服务或公共通信生产、处理的数据，以确保数据可用于调查、方便犯罪的起诉与规制，但该指令并未保护支付领域的客户信息，因而缺乏针对性。尽管《2007/64/EC指令》是首个调整内部市场的支付服务规范，但保护客户信息的力度明显不够。基于此，也就为《2015/2366/EU指令》的诞生创造了条件，《2015/2366/EU指令》的最大特色在于加大了客户信息的保护力度。“有必要建立一个明确的法律框架，要求支付发起服务提供者和账户信息服务提供者可在账户持有人同意的情况下提供服务，同时应遵守本指令所规定的数据保护和安全的要求。”[51] 根据《2015/2366/EU指令》的规定，就支付发起服务提供者而言，其应在获得授权的条件下提供支付服务，提供服务时不得让他人无故知晓客户的个人安全凭证信息，确保客户支付的相关信息仅提供给收款人，违背要求存储客户的敏感支付数据、要求客户提供与支付无关的信息以及利用、获取和存储支付服务规定以外的数据或信息的，都应给予否定评价；就账户信息服务提供者而言，其只有在获得权利主体授权的情况下才能访问指定的账户信息以及与交易相关的账户信息（包括支付服务使用者指定的账户信息），除此以外，不得使用、访问和存储任何信息或数据。与此同时，2018年5月25日正式生效的《欧盟数据保护通用条例》也给包括客户信息在内的相关数据提供了更为全面的法律保护，其中以专章明确数据控制者和处理者的义务和权限，特别明确，采取适当技术和组织措施的控制者只有基于特定处理目的才可处理个人数据。[52]

其四，关于第三方支付平台反洗钱和反恐怖融资的法律规定。

2005年10月26日，欧盟理事会和欧洲议会为打击洗钱和资助恐怖主义行为，颁布《防止以洗钱和资助恐怖主义为目的使用金融系统的 2005/60/EC 指令》（以下简称《2005/60/EC 指令》），《2005/60/EC指令》共计47 个条文，其中第3 条规定，包括电子支付机构在内的信用机构受《2005/60/EC指令》调整。这意味着电子支付机构负有防止洗钱和资助恐怖主义的义务，具体包括客户尽职调查、洗钱和资助恐怖主义报告、相关记录保存、配合执法等义务。2015年5月20日，《关于防止将金融系统用于洗钱或恐怖主义融资目的的2015/849/Directive（EU）指令》[以下简称《2015/849/Directive（EU）指令》]被欧洲议会和欧盟理事会通过。相比《2005/60/EC指令》，《2015/849/Directive（EU）指令》明确将电子货币纳入监管范围。对于金融机构而言，若其分支机构或子公司位于反洗钱监管不利的第三国或其他成员国时，则应遵守金融机构总部或母公司所在地的有关反洗钱和反恐怖融资的法律规定。

2.英国关于第三方支付平台的法律规定

一是有关第三方支付平台市场准入的法律规定。

为规范金融服务和市场监管，2000年6月14日，英国议会颁布《金融服务与市场法》（Financial Services and Markets Act 2000），该法第40 条规定，不论是个人、法人，还是合伙、非法人组织，只要从事一项或多项受监管的金融活动的，都应向管理局（Authortity）提出许可申请，未经许可不得从事金融业务。2009年2月9日，英国议会制定《支付服务条例》（Payment Services Regulations 2009），这对规范英国支付服务发挥着积极作用，具体而言：

在核准机制上，《支付服务条例》第4条规定，包括被授权支付机构和小型支付机构在内的支付服务提供者的成立须登记注册，未经许可不得成立，要求授权成立支付机构时应提交涉及支付服务类型的业务计划、包括前3个财政年度的预算计划、持有初始资本金证明、保障为客户提供资金的说明、机构治理安全和内部控制机制的说明、申请主体结构组织的说明、管理人员身份以及申请主体总部所在地等材料。[53]

在注册资金上，成立支付机构的初始资本金不得少于2 万欧元。[54] 在退出机制上，《支付服务条例》第10条规定，支付机构若出现超过12 个月不提供支付服务、申请人要求或同意取消授权、以虚假陈述或其他不正当手段获得授权、不符注册资金条件、超出授权以外提供支付服务、停止商业活动超过6个月、提供对支付系统稳定性构成威胁的支付服务业务、为保护消费者利益只得取消授权以及有提供其他非法支付服务9种事由之一的，管理局即可取消授权。

2011年1月19日，英国议会颁布《电子货币条例》（Electronic Money Regulations 2011），对电子货币机构的市场准入作了规定。其中，在核准机制上，要求申请授权成立电子货币机构时应提交涉及电子货币发行类型的业务计划、包括前3 个财政年度的预算计划、持有初始资本金证明、保护电子货币持有人的说明、机构治理安排和内部控制机制的说明、遵守2007年《洗钱条例》构建的内部控制机制的说明、管理人员身份等申请材料，[55] 管理局应在收到申请材料3个月内决定是否核准成立电子货币机构。在注册资金上，作为电子货币机构授权的申请人持有的初始资本金不得少于35 万欧元；[56] 在退出机制上，电子货币机构若出现诸如12个月内未按要求发行电子货币、停止从事商业活动超过6个月、以虚假陈述或其他不正当手段获得授权、申请人要求或同意取消授权、超出授权范围发行电子货币或提供付款服务、发行或提供对支付系统稳定性构成威胁的电子货币或支付服务、为了保护消费者利益只得取消授权以及有其他非法行为等情形之一的，管理局可撤销授权。[57]

2012年7月10日，英国议会修改《支付服务条例》，明确将合伙企业、非法人团体纳入申请小额支付机构的主体范围。2017年7月19日，英国再次修改《支付服务条例》，相比之前的《支付服务条例》，关于市场准入的变化主要表现在，在核准机制中增加了部分内容，如扩展了支付服务提供者的范围，将账户服务支付服务提供者（account servicing payment service provider）和账户信息服务提供者纳入支付服务提供者范围；在申请授权时增加了事故报告、敏感支付数据的监控和限制访问、收集使用数据的原则性说明、非法使用敏感数据的风险评估等内容。

二是有关第三方支付平台客户资金管理的法律规定。

2011年《电子货币条例》以专章的形式规定了电子货币的发行和赎回。其中，该条例第39 条规定，电子货币发行人收到资金后，应立即以票面价值发行电子货币，或应电子货币持有人要求随时以票面价值赎回所持电子货币的货币价值；该条例第40条规定，电子货币发行人与电子货币持有人应以合约的形式说明赎回的条件及其产生的赎回费用，且应确保电子货币持有人在受合约约束前应让其知晓相关条件的内容。

三是有关第三方支付平台客户信息保护的法律规定。

由于受《2015/2366/EU指令》的影响，2017年《支付服务条例》明确了支付服务提供者对客户信息的保护要求。根据2017年《支付服务条例》第69条第3款的规定，账户发起服务提供者在客户未明确同意的情况下，不得向他人提供客户的支付相关信息，也不得存储客户的敏感支付信息，除了在支付服务中提供必须提供的信息以外，不得以启动支付服务为由要求提供其他信息。根据2017年《支付服务条例》第70条第3 款的规定，账户信息服务提供者未经客户同意不得向他人提供与支付账户相关的信息，应确保客户在支付中通过安全有效的渠道进行安全认证，除了提供账户信息服务所必要的信息外，未经许可不得访问客户的敏感支付信息，不得以其他目的利用、访问、存储客户的支付相关信息。

四是有关第三方支付平台反洗钱和反恐怖融资的法律规定。

《2000年金融服务和市场法》赋予管理局以减少犯罪为法定目标。为实现这一目标，管理局要求受其监管的机构了解自身业务存在的洗钱风险、采取措施预防金融犯罪，并协助监测和调查犯罪。2007年7月25日，英国作为欧盟成员国，在考虑遵守欧洲议会和欧盟理事会《关于防止滥用金融系统洗钱和恐怖融资的指令》（2005/60/EC 指令）的基础上，颁布了《反洗钱条例》（Money Laundering Regulations，2007）。此条例，相比2003年的《反洗钱条例》，在界定金融机构上有所突破，不仅将为自己的利益从事金融交易的情形排除在该条例适用范围之外，而且进一步明确了货币服务业务属于金融机构的业务范围。2017年6月22日，英国议会出台《反洗钱、恐怖主义融资和资金转移条例》，该指令旨在落实欧盟《2015/849/Directive（EU）指令》和反洗钱金融行动特别工作组（Financial Action Task Force，以下简称FATF）的具体要求，明确将支付服务提供者列为反洗钱和反恐怖融资的义务主体。

（二）美洲发达国家关于第三方支付平台的法律规定

在美洲，美国和加拿大针对第三方支付平台制定了一系列法律规范，尤其是美国，有关第三方支付平台的法律法规较完备。

1.美国关于第三方支付平台的法律规定

首先，关于第三方支付平台市场准入的法律规定。

在核准机制上，根据《美国法典》第31 卷第5330 条的规定，从事货币转移业务的主体应在180天内向财政部长登记注册，[58] 注册时应提交如下信息：业务的名称与地点、拥有或控制业务的人员和企业的董事或高级职员的姓名与地址、企业所在的存款机构名称及地址、来年的业务量预计报告以及财政部长要求的其他信息。根据《美国法典》第18卷第1960条的规定，未经许可故意从事、控制、管理、监督、指导或拥有部分或全部货币转移业务的，并处或单处罚款，或处5年以下监禁。[59]

依照 1999年《金融服务现代化法案》（Gramm-Leach-Bliley Act）的规定，联邦储备理事会应按照本法的宗旨，以条例或命令的形式，界定出金融性或辅助性金融活动的范围。其中，具体范围涉及三类：一是借贷、转账调拨、汇兑、投资，或者保管货币、证券以外的金融资产；二是提供调拨货币或其他金融资产的办法或者工具性手段；三是为第三方的金融交易作出安排、并促成其实现。[60]由此可知，第三方支付平台的货币转移业务属于金融活动范围。

依照2004年《统一货币服务法》（Uniform Money Services Act）第201条的规定，任何人从事汇款、广告推广或资金转移业务的，应取得许可证。另外，美国各州对第三方支付平台的核准也作了不同规定，这点在货币服务商要在不同州申请不同的货币转移业务许可证上已得到印证，如PayPal目前已取得了包括亚利桑那、加利福尼亚、科罗拉多在内的33 个州监管当局的业务经营许可。在注册资金上，《统一货币服务法》第207条规定，“获得许可证的经营主体的资产净值应不少于2.5 万元”。由于该法是示范法，各州可参考该法基于州情设定不同的资产净值要求。在退出机制上，《统一货币服务法》第801条规定了8种撤销事由：（1）被许可人触犯本法或依照本法制定的规则或发布的命令；（2）被许可人拒绝配合检查或调查；（3）被许可人故意从事欺诈、虚假陈述或暴力行为；（4）被许可人违反反洗钱法规；（5）被许可人提供的货币服务危及公共利益；（6）被许可人实施的行为不安全、不可靠；（7）被许可人破产、暂停履行货币转移业务或为债权人利益转让其资产；（8）被许可人在授权代表违反本法规定时未免去其授权职务。而在同时，该法在第801条“评述”中指出，州监管部门可发布禁止令（cease and desist order），为保证禁止令的效力，州可提供更为详细的标准。

其次，关于第三方支付平台客户资金管理的法律规定。

尽管《统一货币服务法》第701条允许货币服务商投资，但第702条第2款将其允许投资的范围限定为银行储蓄、有较高评级的债券、股票、票据以及主管部门指定的其他投资类型，而且在第702条第3款中明确允许投资的金额不得超过可投资总额的50%。2017年7月19日，《虚拟货币业务统一监管法》在加利福尼亚州通过，作为一部较完善的虚拟货币监管规范，对推动美国数字货币的规范化发挥着积极作用，其中该法就明确了虚拟货币控制服务供应商有管理虚拟货币的义务。

再次，关于第三方支付平台客户信息保护的法律规定。

根据《电子资金划拨法》（Electronic Fund Transfer Act）和E条例的规定：“故意提供虚假、不真实信息或未依法披露信息的，单处或者并处5000 美元以下罚金或1年以下监禁。”[61] 2015年美国《消费者隐私保护法》（Consumer Privacy Protection Act）第2条第5款指出：“部分公司企业拥有收集、使用、存储或发布个人身份敏感信息的权利，因此遵循合理的政策、程序来确保个人身份敏感信息的安全和隐私是至关重要的。”该法第202 条明确了消费者（客户）隐私和数据安全计划的要求，其中在该条第1款第2项中具体列明了三点：一要确保敏感个人身份信息的隐私和安全；二要防止任何预期的敏感个人身份信息的隐私和安全的漏洞；三要防止未经授权的访问、获取、披露或使用敏感的个人身份信息。

最后，关于第三方支付平台反洗钱和反恐怖融资的法律规定。《统一货币服务法》第606条规定，被许可人和授权代表应向总检察长提交货币报告、记录保存和有关洗钱等可疑交易报告所要求的文件。根据美国2001年《爱国者法案》（Uniting and Strengthening America by Providing AppropriateTools Required to Intercept and Obstruct Terrorism Act，简称USA PATRIOT Act）第31编第103条的规定，货币服务机构应构建有效的反洗钱工作规程以防止为洗钱、恐怖主义融资活动提供渠道。反洗钱工作规程须以书面形式表达，并应包括四方面内容：一是合理规划公司政策、流程和内部控制机制；二是确定专人负责日常行为是否符合BSA法案和反洗钱工作规程的要求；三是开展专业培训，培养合格的反洗钱人员；四是保障反洗钱工作规程的顺利实施。

2.加拿大关于第三方支付平台的法律规定

第一，关于第三方支付平台市场准入的法律规定。

2012年加拿大《货币服务商业法》（Money-Services Business Act）第1条就规定：“本法适用于任何从事货币服务业务的主体。货币服务涉及：货币汇兑、资金转移、旅行支票、汇票或银行汇票的发行与赎回、支票兑现以及自动柜员机的操作。”在核准机制上，“为营利从事货币服务业务的个人或实体必须持有合适类别的许可证”。[62] 从事货币汇兑、资金转移、旅行支票、汇票或银行汇票发行与赎回、支票兑现以及自动柜员机操作部分或全部业务的主体应向金融市场管理局（Autorité des marchés financiers）申请获得许可证。[63] 根据该法第6条的规定，申请许可证时，应提交实际控制人的身份信息、与之交易的金融机构一览表、业务计划、上一年度财务报表等材料；在退出机制上，出现转让财产、无力偿债或破产、在过去10年中本国或外国货币服务监管机构撤销经营权、管理人员小于18岁或者过去3年内因从事货币服务被撤销经营权等情形时，金融市场管理局有权拒绝向货币服务申请主体颁发许可证。

第二，关于第三方支付平台客户信息保护的法律规定。

货币服务商须核实客户身份，并作为其业务往来的必要部分，同时也应按要求核实其他缔约方的身份。[64] 货币服务商须保存和更新已进行的交易信息，包括交易中涉及的客户身份信息。[65] 而在同时，该法第30条规定，货币服务商在收集客户信息后，应保存客户信息，期限为6年。

第三，关于第三方支付平台反洗钱和反恐怖融资的法律规定。

2000年，加拿大在 FATF 修订《40 条建议》的基础上出台《犯罪收益（洗钱）和恐怖融资法》[Proceeds of Crime（Money Laundering）and Terrorist Financing Act]，该法旨在对从事洗钱和恐怖融资的金融服务提供者及其他从事商业活动的企业或个人构建记录保存与客户身份识别机制。《犯罪收益（洗钱）和恐怖融资法》第5条明确将“从事外汇交易、利用电子资金转移网络汇款或转账以及发行或赎回汇票、旅行支票或其他类似流通票据（支付给特定个人或实体的支票除外）的个人或实体”纳入监管对象的范围。而在同时，该法第9条规定了金融交易报告制度，其中第5款就涉及电子资金转移的报告，即规定任何个人或实体在电子资金转移过程中，应按要求移交客户姓名、地址、账号或关联号码以及其他规定的信息，并采取合理的或要求的措施顺利移交上述信息。

（三）亚洲发达国家关于第三方支付平台的法律规定

在亚洲，相比欧美发达国家，尽管各国对第三方支付业务的监管仍处于探索阶段，但在制定第三方支付平台法律规范方面，日本和新加坡相比其他亚洲国家已走在了前列。

1.日本关于第三方支付平台的法律规定

在日本，支付业务分三类：一是预付款，该种支付不需要身份验证即可向他人转账；二是资金移动业务，需要身份验证方可转账；三是代收费，不需要身份验证，由于法律上并未明确，目前基本上可向他人转账。除了代收费业务外，其他两类业务，2009年6月20日，日本议会颁布的《资金结算法》都已作了详细规定。其中，有关从事资金移动业务的资金移动业者的法律规定涉及以下内容。

其一，关于资金移动业者市场准入的法律规定。根据《资金结算法》第37条的规定，从事资金移动业务须登记，未经许可不得从事此业务。注册登记时，登记申请书应载明公司名称和地址、资本金、与资金移动业务有关的销售办事处的名称与地址、高级管理人员身份信息等事项。[66] 同时，《资金结算法》第40条对外国资金移动业公司在日本从事资金移动业务的也作了规定，无疑为扩大资金移动业务的市场提供了规范保障。

其二，关于资金移动业者资金管理的法律规定。“资金移动业者可从事转账和外汇买卖业务”，但规定了限制条件，“每次转账金额不得超过100万日元；须全额缴纳转账途中的金额为保证金；需要向政府登记”。同时，为了防止挪用客户资金，《资金结算法》要求客户资金只限于低风险领域的投资，如作为储蓄机构的存款、限于与特定金融机构签订协议所规定的交易，以及经监管部门认定的具有较高安全的资产。[67] 为了强化对资金的管理，特别是对虚拟货币的管理，2016年5月，日本内阁进一步出台了《资金结算修正法案》，明确将虚拟货币列为被调整的对象，并规定了虚拟货币的支付和交易。《资金结算修正法案》规定，只有金融厅授权的从业者才可在日本从事虚拟货币交换业务。而在同时，根据《资金结算法》第63条第2项的规定，在内阁总理大臣未同意登记注册的情况下，资金移动业者不得擅自交换虚拟货币，若擅自交换的，或以不正当手段登记注册的，则应依照本法第107 条第1 款第2 项、第5项的规定，判处3年以下有期徒刑，并处或单处300万日元以下罚款。

其三，关于资金移动业者客户信息保护的法律规定。《资金结算法》第51条规定，根据《内阁办公室条例》的规定，为防止客户误认为是银行等机构的交易信息，从事资金移动的主体应向客户说明资金性质，并告知资金移转合同的其他内容。同时，政府应采取必要措施保护其他享受资金转移业务的客户，确保资金转移业务的正确、可靠执行。

其四，关于资金移动业者反洗钱和反恐怖融资的法律规定。日本的反洗钱立法主要有《反毒品特例法》（1992年）、《有组织犯罪处罚法》（2000年）、《向恐怖活动犯罪提供资金的处罚法》（2002年）、《本人身份确认法》（2003年）和《防止转移犯罪收益法》（2007年）。其中，按照《本人身份确认法》的规定，金融机构识别客户身份时，要保存客户身份信息及交易记录，同时要确认本人（客户）从事超过200 万日元的现金交易以及本人信息（如姓名、住址、出生年月等）存在可疑之处的交易。2007年，日本通过《防止转移犯罪收益法》，而《本人身份确认法》从此终止施行。《防止转移犯罪收益法》基本继承了《本人身份确认法》的内容，而且进一步明确将货币兑换商列为反洗钱的义务主体。本质上而言，资金移动业者充当货币兑换商的角色，《防止转移犯罪收益法》对其洗钱无疑起规制作用。

2.新加坡关于第三方支付平台的法律规定

首先是关于第三方支付平台市场准入的法律规定。2007年7月31日，新加坡出台《支付系统监督法》[Payment Systems（Oversight）Act]，该法将第三方支付平台提供的支付服务视为储值支付工具（Stored Value Facility）。《支付系统监督法》第2条规定，储值支付工具，是指客户用于购买商品或接受服务能储存一定数额资金的工具。在核准机制上，根据《支付系统监督法》第33 条的规定，金融管理局（Monetary Authority of Singapore）有权限制储值支付工具的储值数额，一般不得超过3000 万美元。同时，该法第30条规定，对于一般用途的储值支付工具，金融管理局可另行制定规章，但对于多用途的储值支付工具，金融管理局则实行严格的核准机制。[68] 在退出机制上，《支付系统监督法》第38条规定，当出现持有者申请撤销或持有者违反条件不能继续提供支付服务的，对于多用途的储值支付工具，金融管理局有权作出核准取消的决定。

其次是关于第三方支付平台客户资金管理的法律规定。金融管理局《储值支付工具指南》（Stored Value Facility Guidelines）规定了及时赎回的机制，即“为了满足客户及时赎回储值，储值支付工具持有人应有足够的资金满足储值数额的全部赎回。持有人应每日保持一定数额的现金和流动资产，以确保足够的流动性”。[69] 同时规定，“持有人应确保客户在申请储值退款时能及时退还储值，持有人应为客户提供适当的退款设施”。[70] 在储值保存中明确规定，“持有人应谨慎管理储值，以免损害客户及时兑换的能力。为尽量减少操作风险，建议持有人应将储值存储的账户与营运资金的账户分开，或将储值存入客户信任的银行账户中”，[71] 若持有人选择用储值投资时，为了确保资金保值，应投资像定期存款、政府国库券那样的高流动性和低风险的资产。[72]

再次是关于第三方支付平台客户信息保护的法律规定。《支付系统监督法》并未明确规定要保护客户信息，但《储值支付工具指南》在“持有人应披露客户的权利和义务”中指出，“持有人应在协议中充分告知客户的权利和义务，并应确保向客户提供与使用有关的其他相关信息”。[73]

而后是关于第三方支付平台反洗钱和反恐怖融资的法律规定。《储值支付工具指南》在“持有人应采取适当措施防止利用储值洗钱和恐怖主义融资”中强调，储值交易的便捷性、匿名性可使持有人为洗钱和恐怖主义融资提供便捷的工具。因此，持有人应充分考虑完善储值支付工具以降低、消除洗钱和恐怖主义融资的机会和诱因。[74]“持有人应确保其储值遵守与反洗钱和反恐怖融资相关的法律法规，特别是《反腐败、贩毒和其他严重犯罪（没收所得）法》和《反恐怖主义（抑制融资）法》的规定。”[75]

3.韩国关于第三方支付平台的法律规定

2007年4月27日，为明确电子金融交易的法律关系、确保电子金融交易的安全性与可靠性，韩国议会颁布《电子金融交易法》，对规范韩国电子金融市场的发展起到了一定的积极作用，但由于包括第三方支付业务在内的电子金融交易业务发展过快，适用《电子金融交易法》应对电子金融交易中的新问题会面临困境，因此，该法被多次修改。据美国波士顿咨询公司统计，2017年韩国的手机支付占该国电子支付领域份额的70%，为此，韩国先后5次修改《电子金融交易法》，[76] 其中，最近的一次修改是2017年4月18日。根据最新修改的《电子金融交易法》的规定，第三方支付平台属于电子金融公司，相关的法律规定主要涉及以下方面：

第一，关于第三方支付平台市场准入的法律规定。在核准机制上，根据《电子金融交易法》第28条的规定，从事电子资金转账、电子支付结算代理、发行和管理直接付款工具和预付电子支付工具等相关业务的，应向金融委员会登记。注册登记时，电子金融公司的出资总额应达20 亿韩元以上，且不得低于总统令规定的数额。凡获得登记的电子金融公司，应有足够的专业人员和计算机设备等物质设施、符合总统令规定的财务健全标准、合理健全的工作计划以及具备充足的出资能力、健全的财务状况和社会信用。[77] 在退出机制上，出现以虚假和其他不诚实的方式登记、违反停止工作命令、没有正当理由连续营业1年以上以及法人合并、破产、停业等终止营业的情形时，电子金融公司可被金融委员会依法撤销。

第二，关于第三方支付平台客户资金管理的法律规定。《电子金融交易法》规定，电子金融公司应根据与付款人或受款人达成的协议，将付款人或受款人指示的金额转交电子金融公司，以便付款。[78] 同时要求电子金融公司应作为良好的管理者谨慎行事，确保电子金融交易的安全进行。[79]

第三，关于第三方支付平台客户信息保护的法律规定。《电子金融交易法》重视保护客户信息。其中，该法第21 条第4 款规定，任何没有访问权限的人不得进入电子金融基础设施，或拥有访问权限的人不得操纵、销毁、隐藏或泄露超出权限存储的信息（数据）。该法第26 条规定，履行与电子金融交易相关的业务时，凡知悉使用者主体事项或客户账户、存取媒体和电子金融交易内容和业绩信息的人，未经客户同意，不得向他人泄露或将其用于业务目的。对违反第21 条第4 款、第26 条的，规定了处罚措施，即向他人提供或泄露电子金融交易信息，或将其用于业务目的以外其他用途的，可处10年以下有期徒刑或1 亿韩元以下罚款。[80]

第四，关于第三方支付平台反洗钱和反恐怖融资的法律规定。在韩国，有关反洗钱和反恐怖融资的法律主要集中在《犯罪所得法》（the Proceeds of Crime Act）和《金融交易报告法》（Financial Transaction Reports Act）两部规范上。其中，《犯罪所得法》第3条规定，掩饰或处置犯罪所得、掩饰犯罪所得的来源、为实施上游犯罪或合法化所得而隐藏犯罪所得的，处5年以下有期徒刑，并处或单处3000万韩元的罚金。而《金融交易报告法》最大的特点是以列举方式对金融机构下了定义，特别是以兜底方式明确了“所有其他从事金融交易的公司”属于该法调整的主体。同时规定，这类主体有履行金融交易报告、以书面形式记载怀疑事由和保存客户真实姓名、金融交易有关文件等义务。

二我国关于第三方支付平台的法律规定

我国有关第三方支付平台的法律规定，[81] 主要涉及两方面：一是大陆地区关于第三方支付平台的相关规范；二是我国香港、台湾地区有关第三方支付平台的规定。

（一）大陆地区关于第三方支付平台的相关规范

截至目前，为规范第三方支付平台及其活动，央行等监管机关已陆续出台不少法律规范。为弄清现有规范的优势与不足，有必要梳理相关规范的制定概况及规制现状。

1.我国大陆地区关于第三方支付平台规范的制定概况

自2004年阿里巴巴的支付宝诞生以来，我国第三方支付平台步入快速发展的阶段，针对第三方支付平台的立法也走向正轨。

2004年8月，为规范电子签名行为，确立电子签名的法律效力，全国人大常委会制定了《电子签名法》。2005年1月，国务院办公厅为处理好“政府与企业、虚拟经济与实体经济、重点发展与协调均衡、加强发展与加强管理、支付环境建设与推动应用”五方面关系，出台了《关于加快电子商务发展的若干意见》。

2004年6月，央行为规范支付清算活动、防范支付清算风险，出台了《支付清算组织管理办法（征求意见稿）》，首次将依法在境内设立并向参与者提供支付清算服务的法人组织界定为支付清算组织，且从设立与变更、业务管理、风险监督、接管与终止以及罚则方面完善对支付清算组织的管理。同年10月，为规范和引导支付的健康发展、防范支付风险，央行制定《电子支付指引》（第一号），对银行从事电子支付活动以及银行与客户确立权利义务关系时所涉及的交易活动提出具体要求。

2005年11月，银监会为规范商业银行的网上业务、管控电子银行的业务风险以及维护业务参与各方的权益，颁布了《电子银行业务管理办法》，从规范上完善了对包括网上银行、电话银行、手机银行、自动取款机在内的电子银行业务的管理。

2010年6月，央行为促进支付市场健康发展、规范支付业务行为，正式颁布了《非金融机构支付服务管理办法》。如前所述，此规范的颁布，意味着第三方支付平台在我国已步入规范发展阶段，为开展合法、正当的支付业务提供了规范依据。同年12月，为增强《非金融机构支付服务管理办法》规范适用的可操作性，央行又制定了《非金融机构支付服务管理办法实施细则》，进一步规范了第三方支付平台支付业务的管理。

2012年1月，为规范网络支付业务、防范支付风险和促进网络支付业务健康发展，央行颁布《支付机构互联网支付业务管理办法（征求意见稿）》，向社会公开征求意见。同年3月，央行为建立健全统一的反洗钱和反恐怖融资内部控制制度，制定《支付机构反洗钱和反恐怖融资管理办法》，进一步从规范性文件层面细化第三方支付平台的反洗钱和反恐怖融资的义务。

2013年6月，为维护客户的正当权益、促进支付业务的有序发展，央行制定《支付机构客户备付金存管办法》，不仅规范了备付金账户的管理，也在规范客户备付金的使用与划转、监管客户备付金的存管业务上取得了良好效果。

2015年12月，央行为规范网络支付业务、防范支付风险、维护客户正当权益，颁布了《非银行支付机构网络支付业务管理办法》，这对规范支付业务市场的发展具有重要意义。

2016年4月，为推动支付市场健康发展、提高支付服务效率和质量、防范支付风险，央行联合工业和信息化部、公安部、最高人民法院（以下简称最高院）、最高人民检察院（以下简称最高检）等十余个部门出台《非银行支付机构风险专项整治工作实施方案》。

2016年9月，为防范电信网络新型违法犯罪，央行结合支付结算管理有关事项颁布了《关于加强支付结算管理防范新型违法犯罪有关事项的通知》，确立紧急止付、快速冻结机制和责任追究机制的同时，也规范了账户实名制、转账、银行卡业务、无证机构的管理（具体规范参见表1-2）。

表1-2 我国关于第三方支付平台相关规范的汇总

表1-2 我国关于第三方支付平台相关规范的汇总续表

2.我国大陆地区关于第三方支付平台规范的规制现状

我国大陆地区关于第三方支付平台规范的规制现状，同上述发达国家、地区类似，也主要涉及市场准入、客户资金管理、客户信息保护、反洗钱和反恐怖融资四个方面。

第一，关于第三方支付平台市场准入的规定。《非金融机构支付服务管理办法》，作为基础规范，有关第三方支付平台市场准入的规定较全面。具体而言，在核准机制上，《非金融机构支付服务管理办法》第3条要求，第三方支付平台从事支付业务时应取得支付业务许可证，未经央行批准的，不得擅自从事支付业务。而且进一步要求，申请取得支付业务许可证时应符合如下条件：一是在申请人所具备的人员条件上，应为依法设立的公司，且为非金融机构法人；出资人在相关领域应有从业经验、连续盈利2年以上以及3年内无违法犯罪记录；存在5 名以上熟悉支付业务的高级管理人员。二是在申请人所具备的措施或设施条件上，有符合要求的反洗钱措施，如《非金融机构支付服务管理办法实施细则》第4条规定的反洗钱内部控制、客户身份识别、可疑交易报告和交易记录保存等措施，也要有符合要求的支付业务设施，如《非金融机构支付服务管理办法》第5条规定的业务处理系统和网络通信系统及其容纳这些系统的专用机房以及健全的组织机构、内部控制制度和风险管理等措施。在注册资金上，《非金融机构支付服务管理办法》第9条规定，第三方支付平台若在全国从事支付业务的，其最低注册资本限额为1亿元，省内从事支付业务的为3000 万元，外商投资支付机构的出资比例则由央行另行规定。在退出机制上，当第三方支付平台出现累计亏损超过实缴资本50%、重大经营风险或重大违法违规行为时，其全部或部分的支付业务可被央行责令停止开展。

第二，关于第三方支付平台客户资金管理的规范规定。《非金融机构支付服务管理办法》第24 条规定，客户备付金不归第三方支付平台所有，第三方支付平台仅能根据客户的指令转移客户备付金。而且强调，第三方支付平台只能在一家商业银行申请开立客户备付金的存款账户。与此同时，《非金融机构支付服务管理办法》第30条也要求，第三方支付平台的实缴货币资本与客户备付金日均金额的比例应高于10%。

第三，关于第三方支付平台客户信息保护的规范规定。根据《非金融机构支付服务管理办法》的规定，第三方支付平台应妥善保护客户的商业秘密[82]、客户的身份基本信息和支付业务信息等[83]。此外，《非金融机构支付服务管理办法实施细则》也进一步强调了对客户信息的保护。例如，该实施细则第28 条规定，第三方支付平台不仅要保护客户的隐私，也要保护客户的身份信息。

第四，关于第三方支付平台反洗钱和反恐怖融资的规范规定。第三方支付平台应遵守反洗钱的规定、履行反洗钱的义务，这是《非金融机构支付服务管理办法》第6 条的明文规定。为了更好地履行反洗钱和反恐怖融资的义务，《支付机构反洗钱和反恐怖融资管理办法》针对第三方支付平台确立了不少有关反洗钱和反恐怖融资的制度，其中，最为重要的就是构建统一的反洗钱和反恐怖融资内部控制制度。详言之，在客户身份识别上，根据“了解你的客户”原则，针对不同的客户、业务关系或交易采取适宜的反洗钱或反恐怖融资措施，[84] 在为同一客户开立多个支付账户时，应明确支付账户间的关联关系，并统一管理；[85] 在客户身份资料保存上，第三方支付平台应保存客户身份信息、辅助证明客户身份以及反映客户身份识别工作情况的资料；[86] 在交易记录保存上，第三方支付平台应保存交易中涉及的交易双方名称、交易金额、交易时间、交易双方开户行或支付机构名称以及记录资金来源、去向的号码等资料；[87] 在配合反洗钱和反恐怖融资调查上，央行等监管机关实施反洗钱和反恐怖融资调查时，第三方支付平台应积极配合，[88] 并按规定提供文件和资料，在保证文件和资料真实、准确和完整的同时，不得以各种方式抗拒监督检查、拒交相关证据材料。[89]

（二）我国港台地区关于第三方支付平台的法律规定

虽然我国港台地区与大陆地区在第三方支付业务发展程度上有差别，但我国港台地区已认识到完善支付相关立法的重要性，开始修改现有规范或颁布新规范，以规范支付业务的管理。

1.我国香港地区关于第三方支付平台的法律规定

2015年11月4日，香港立法会修订《结算及交收系统条例》，通过了《2015年结算及交收系统（修订）条例》（又称为《支付系统及储值支付工具条例》）。[90] 此条例的颁布，丰富了第三方支付平台，即非实体形式的储值支付工具（stored value facility）和零售支付系统的法律规定。具体而言，涉及以下法律规定：

第一，关于第三方支付平台市场准入的法律规定。在核准机制上，为确保储值支付工具安全稳健，并保障客户的储值金额，规定了储值支付工具发牌制度。《支付系统及储值支付工具条例》规定：“除非某人持有牌照，而该牌照授权发行某储值支付工具，否则该人不得发行该工具。”[91] 同时，要求持牌人缴纳牌照费。[92] 在注册资金上，申请人须有足够的财政资源，以运作其储值支付工具计划，已缴付的股本总额不得少于2500万港元。[93] 在退出机制上，持牌人出现无力偿债、无能力履行业务、书面要求撤销情形时，金融管理专员按照规定可撤销持牌人牌照。[94]

第二，关于第三方支付平台客户资金管理的法律规定。《支付系统及储值支付工具条例》在“储值金融及工具按金的管理”中规定，[95] 储值金额及工具按金须与其他资金分离，持牌人应有足够的措施保障储值金额的安全。

第三，关于第三方支付平台客户信息保护的法律规定。根据《支付系统及储值支付工具条例》第80条的规定，“持牌人须确保，根据其牌照发行或促进发行的任何储值支付工具的运作，是以安全而有效率的方式进行，以期尽量减低对该工具发挥功能造成干扰的可能性”。其中重点谈到，要求持牌人保证储值支付工具内所持有资料的完整性。[96]“适用公司须订有适当的风险管理政策及程序……包括足够的保安及内部管控，以确保资料（尤其是个人资料）及记录的安全及完整性。”[97]

第四，关于第三方支付平台反洗钱和反恐怖融资的法律规定。第三方支付平台（储值支付工具持牌人）设定储值支付工具计划时，要有健全和适当的管控制度，以防止和打击洗钱、恐怖主义融资。[98] 同时特别强调：“《打击洗钱及恐怖分子资金筹集条例》适用于该公司的条文。”[99]

2.我国台湾地区关于第三方支付平台的法律规定

2015年2月4日，我国台湾地区颁布《电子支付机构管理条例》，2018年1月31日，为了适应第三方支付平台（电子支付机构）支付业务的发展，我国台湾地区修正了该条例的部分规定。作为我国台湾地区调整支付业务最为重要的法律规范，具体规定的内容包括以下四个方面：[100]

第一，关于第三方支付平台市场准入的法律规定。在核准机制上，电子支付机构的设立推行许可制。根据《电子支付机构管理条例》第3条的规定，电子支付机构在收付款方之间从事代理收付交易款项、收受储值款项以及移转电子支付账户间款项时，应经主管机关的许可。电子支付机构不得经营未经主管机关核定的业务。[101]申请成立电子支付机构时，应向主管机关提交包括申请书、股东名册、发起人会议记录、资金来源说明、公司章程、营业计划书、经营业务所需的资讯系统及安全管控作业说明等在内的申请材料。在注册资金上，依照《电子支付机构管理条例》第7条的规定，电子支付机构的最低实收资本额为5亿新台币，若只经营代理收付实质交易款项的，其最低实收资本额为1亿新台币。在退出机制上，专营的电子支付机构取得营业执照后，经发现原申请有虚伪事项且情节恶劣的，或其未按规定期限经营的，主管机关应撤销其许可及营业执照。[102]

第二，关于第三方支付平台客户资金管理的法律规定。[103] 此项法律规定主要体现在专营之电子支付机构如何按规定管理使用者的支付款项。依照《电子支付机构管理条例》的规定，为了保障使用者支付款项的安全，专营之电子支付机构应将其存入在银行开立的专用存款账户中。[104] 专营之电子支付机构除了依使用者指示转移、提领、分配和收取支付款项及其所生孳息或其他收益外，不得擅自动用或指示专用存款账户银行动用支付款项。专营之电子支付机构可对储值的支付款项进行低风险投资，如作为银行存款，又如购买政府债券、国库券或经主管机构核准的金融商品等。[105]

第三，关于第三方支付平台客户信息保护的法律规定。《电子支付机构管理条例》第24 条规定，专营之电子支付机构在使用者注册或变更身份资料时，应保存确认其身份程序所得的资料，且保存资料的时间不少于5年。此外，对与客户信息密切相关的资料保护，《电子支付机构管理条例》也作了规定。对于使用者的往来交易及其相关资料，专营之电子支付机构应做好保密工作，[106] 确保交易资料的隐秘性与安全性，并维持资料传输、交换或处理的正确性。[107] 对于交易记录材料，专营之电子支付机构应在使用者停止或完成交易后留存，且留存的期限不少于5年。[108]

第四，关于第三方支付平台反洗钱和反恐怖融资的法律规定。有关电子支付机构反洗钱和反恐怖融资，虽然《电子支付机构管理条例》未明确规定，但其却强调出现这些不法行为时，可适用《洗钱防制法》的规定。[109] 为了稳定金融秩序、健全防制洗钱体系，2016年12月28日，我国台湾地区修正了“洗钱防制法”，明确将意图掩饰或隐匿未按规定向主管机关申请许可经营电子支付业务的犯罪所得来源，或使他人逃避刑事追诉而移转或变更未按规定向主管机关申请许可经营电子支付业务的犯罪所得的情形，纳入调整范围。