二、支付领域
在支付领域,金融科技的应用涉及第三方支付、数字货币、分布式账本技术应用,新技术的应用也使支付领域的法律风险和问题涌现。
(一)第三方支付
近年来,购物“扫码”、坐车“扫码”甚至买菜也“扫码”,告别了携带现金、携带银行卡的时代,越来越多的人尝试出门只带一个手机,第三方支付已经成为人们生活中不可或缺的一部分。第三方支付涉及买方、卖方、银行与第三方平台,第三方支付的作用在于消除交易方之间的不信任与降低银行的成本。通过加密传输安全证书与数字签名,对银行系统中的数据进行分析,以确保客户账户交易的安全性。然而,支付的便利化,也随之带来了资金安全与个人隐私数据泄露等法律风险。
1.资金安全
当前,生物信息技术的应用成为第三方支付的主流,主要包括人脸、指纹、声纹、虹膜等,其中人脸识别支付与指纹支付使用最为广泛。生物信息技术以其唯一性,相比传统的密码验证,在安全性与便捷性上有跨越式提升。
然而,生物信息技术存在被黑客盗用的风险。黑客通过破解第三方支付平台的数据库,或者通过设置木马小程序来“钓鱼”。例如,黑客通过“人工智能测面相”等具有趣味性的小程序,用户在进行所谓“游戏”之后,黑客即采取到了用户“人脸”的信息,通过“人脸”以实现“刷脸”支付以盗窃用户的资金。
2.个人隐私数据泄露
从本质上说,第三方支付是银行与用户(买方、卖方)之间的中介平台,在用户使用的过程中,一般会要求用户提供比较重要的个人信息,包括用户的影像(人脸识别技术采集)、证件号码、联系方式(电话或邮箱)、家庭住址等个人信息。一般而言,第三方支付公司可以掌握用户的基础隐私信息,由这些信息形成的数据,形成重要的商业价值,第三方支付公司可以在数据分析的基础上,精准地向用户提供商业信息。信息本身蕴含着法律所保护的公民的基本人身权利之法律价值的同时,也蕴含着巨大的商业价值、潜在的商业信息和商业机会。[5]
随着第三方支付业务的发展,第三方支付除了支付业务之外,还提供理财产品、小额贷款等服务。如果用户需要使用这些服务,则需要向第三方支付“授权” 更多的用户信息,包括地理定位、访问用户通讯录、运动数据、获得用户声音等,特别在生物技术应用下,用户的人脸识别、指纹、虹膜都成为新的数据形式,用户在第三方支付平台的面前,逐步变为了“透明人”。
中国支付清算协会(简称“支付清算协会”)公布了《2018年移动支付用户调研报告》。报告显示,个人信息泄露是用户使用移动支付过程中最常遇到的安全问题。用户认为在支付过程中遇到的安全问题排名第一位是个人信息被泄露,占比为81.0%;排名第二位是手机扫描到伪假条码,占比为70.1%;排名第三位是账户资金被盗用,占比为67.5%;最后是付款码发送给他人,占比为41.2%。[6]数据泄露使个人的隐私信息暴露于公众之间,甚至威胁到企业与政府机构。
2017年《中华人民共和国网络安全法》(下文简称《网络安全法》)生效,明确“个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。并对网络运营者对个人信息使用与法律责任作出了明确规定,要求经被收集者同意。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下文简称《若干问题的解释》)对“未经收集者同意”与“拒不履行网络安全义务” 可能涉嫌“侵犯公民个人信息罪”与“拒不履行信息网络安全管理义务罪”。
尽管《网络安全法》与《若干问题的解释》对“个人信息”使用范围与法律责任进行了规定。但是,关于“个人信息”的保护还未形成法律体系,分散于《网络安全法》《若干问题的解释》《民法总则》之中。由于“个人信息”涉及个人权利、行政、司法三个维度的问题,如私主体“个人信息”的侵权责任问题,行政主体处理公民“个人信息”权利与义务的范围,司法机关侵犯对“个人信息”的法益达成《刑法》规定程度的责任追究。因此,我国需要制定以生物信息保护为主体的涵盖民事、刑事、行政、行业规范的个人信息保护法。
(二)数字货币
欧洲银行业管理局将数字货币定义为:价值的数字化表示,不由央行或当局发行,也不与法币挂钩,但由于被公众所接受,所以可作为支付手段,也可以电子形式转移、存储或交易。[7]数字货币的特点在于依靠点对点网络和加密性,没有政府信用作为货币的支撑,也没有得到法律上的认可,但以其具有很高的流动性与较低的交易成本受到青睐。国际货币基金组织IMF将数字货币视为价值的数字化表现,由私人机构发行的自有记账单位,实际是承认数字货币发挥了类似货币的价值标尺的功能。[8]区块链是数字货币最重要的技术,其通过密码学提供的安全性、完整性和不可篡改性的特性,如实现票据防伪、提高资金清算效率、降低结算成本等目标[9],可在一定程度上满足数字交易的要求。
尽管数字货币对于金融科技而言,作为一种创新协议,未来可能应用于分布式交易、智能合约、去中心化系统、物联网等,有比较广阔的想象空间。但是数字货币的法律地位以及存在的法律风险,使如何监管数字货币成为一个重要的问题。“去中心化”是数字货币的显著特征,基于复杂的算法,可以绕开银行体系,独立完成资金循环,以实现支付功能,为犯罪行为提供变现的途径,使得当前的法律体系无法规制这样的技术性漏洞,存在明显的滞后性。
数字货币除存在洗钱的法律风险外,更严重的是由洗钱便利化引发的更严重的新型犯罪行为。例如,2019年9月的一个案件也反映出对数字货币监管的盲区,一名中国留学生在澳大利亚遭遇绑架,嫌疑人向受害人家属索要80个比特币作为赎金,80个比特币相当于当时市价近570万人民币。索要的“赎金” 从真实货币到数字货币,由此引发在法律适用上的一些问题。对绑架罪认定的是“以勒索财物为目的”,就涉及数字货币的法律性质问题。数字货币能否被视为财物?这个问题直接影响到对案件的定罪与量刑。首先,如果对“财物”进行广义,承认数字货币的财产属性,市价近570万人民币,则被我国《刑法》认为是犯罪行为,最低判刑在3年以上,如果嫌疑人是外国公民,我国可以行使保护管辖,如果嫌疑人是中国公民,我国则可以行使属人管辖,这都有利于保护我国公民的权利。但是,如果我国不承认数字货币的财产属性,中国留学生遭到“绑架”,嫌疑人则可能被认定为涉嫌非法限制他人人身自由的非法拘禁罪,非法拘禁罪如果没有加重情节,可能只判处3年以下有期徒刑。因此,对数字货币的法律定义,在金融科技应用的大背景下,涉及诸多法律保护的问题。
关于数字货币的法律地位,曾经在美国也引起很大的关注,数字货币与美国现有法律的冲突与调适,其解决思路值得参考。由于美国《宪法》规定“发行货币的专有权”,货币发行属于联邦政府的垄断权力,但是货币发行属于纸质货币,数字货币属于在互联网上流通,与“发行货币的专有权”并不冲突,从《宪法》层面给数字货币的发展留有空间。对于数字货币的监管,美国主要有两条依据:第一,美国《银行保密法》(Bank Secrecy Act)规定“未经监管的金融机构需要向政府登记,实施反洗钱程序,并保存数据”。换言之,美国数字货币的运营机构也有义务按照《银行保密法》进行登记,并实施反洗钱程序,否则必须承担法律责任;第二,数字货币的交易被定性为“投资合同”,广义上属于美国《证券法》一般反欺诈条款适用的对象。该法案规定:“任何人在证券的发行或者销售中,直接或间接地通过州际之间商业交通往来、通信方式或其他媒介,或者通过邮政方式,从事下列情形之一者,都是违法行为:(1)采用任何设备、方案或手段进行欺诈的;(2)通过对重要事实进行虚假陈述或者疏于对必要的重要事实进行陈述的(该陈述若以适当形式做出,不会给人以误导),从而获得金钱或者财产;(3)以欺诈或者欺骗购买者的方法已经从事或者将要进行某种交易、商业惯例,或者商业流程行为。[10]因此,数字货币法律地位未明确的情况下,如果存在洗钱嫌疑、算法欺诈、虚假陈述都可以援引一般反欺诈条款用于规制其存在的问题。