歐盟、中國第三方支付立法簡介

刊登期別
2013年04月10日
 

歐盟、中國第三方支付立法簡介

科技法律研究所
2013年4月1日

壹、事件摘要
  自2010年起,國內便不斷湧現訂立第三方支付專法的呼聲,希望主管機關開放第三方支付相關業務,並立法給予第三方支付明確的法律地位,以提升產業發展環境,滿足產業發展需求。事實上,第三方支付服務在國外已有多國立法規範,如中國、歐盟、日本、美國、新加坡、香港、泰國、馬來西亞等等。有將第三方支付定位為資金傳輸業者,或強調是「非銀行」的金融服務業者,著重於第三方支付服務的支付清算功能。多數國家的第三方支付主管機關為金融監理單位或者是中央銀行,如日本金融廳,英國金融服務局(Financial Service Authority,FSA),新加坡金融管理局(Monetary Authority of Singapore,MAS),中國、馬來西亞、泰國央行。礙於篇幅,本文以下僅就歐洲以及中國規範做介紹。

貳、重點說明
一、歐盟

  第三方支付服務為歐盟2007年「支付服務指令(Payment Service Directive,簡稱PSD) 」所規範的「支付服務(payment service)」,第三方支付服務業者為指令所稱之「支付機構(payment institution)」。依照PSD第5條規定,支付機構欲進行營業必須要依照會員國國內法向會員國相關主管機關提出核准申請。以英國而言,英國的主管機關是「金融服務局(Financial Service Authority)」。
以下說明重要規範。
(一)創辦資本(initial capital)最低金額:
  依照第6條,支付機構具有最低創辦資本額限制,網路支付機構的最低資本額限制為五萬歐元。
(二)資本維持義務(Own funds):
  依照第8條規定,支付機構必須要繼續持有一定數額的資金,至於應持有的金額,以下述三標準判定,如果下述三標準判定出的金額低於前述創辦資本的金額,則以創辦資本的金額為應持有資金的數目:
1.前一年度固定經常費用(overhead)的10%。
2.依照前年月平均處理金額的一定比率決定。
3.依照前一會計年度利息收入、利息支出、所收取的費用以及其他營運收入的總和,按比例提存之。如果實際無前一會計年度資料,可採取預估值。
(三)資金防護義務(safeguarding requirements):
  依照第9條規定,支付機構對於自消費者所收取的代收轉付資金,必須要提供下述防護措施,原則上只要滿足其一即可。對於個別支付金額超過600歐元的消費者,指令認為會員國的主管機關可以要求對於這類大額消費者單獨提供防護措施。
1.專用存款帳戶:
  消費者的資金不得與其他資金混同,支付機構一旦收取代收轉付資金即須將之存入獨立的帳戶,或者是投資於由會員國指定的低風險、流動性佳的資產。
2.破產隔離:
  應依照會員國的國內法,基於消費者的利益做好破產隔離工作,排除支付機構的其他債權人對代收轉付資金主張權利。
3.保險:
  為消費者的代收轉付資金投保,或者是提供其他來自保險公司或者是信用機構同等效力的擔保,在支付機構無法履行其財務責任時進行理賠。
(四)資料保存義務(Record-keeping):
  依照第19條規定,會員國應要求支付機構妥善保存交易資料,保存義務期限至少五年。
(五)洗錢防制義務:
  依照第5條規定,支付機構在申請核准時,需要提供公司治理以及內部控制規劃架構,其中第f款指出,支付機構須提出符合Directive 2005/60/EC以及Regulation (EC) No 1781/2006關於防制洗錢以及恐怖組織金融活動(terrorist financing)的內部控制機制。
(六)書面締約義務:
  依照第41條規定,支付服務提供者必須要與支付服務使用者就第42條所規定的事項以紙本或者是其它可永久保存的媒體(durable medium)進行締約。第41條並要求支付服務提供者應在契約中使用淺顯易懂的文字,並以支付服務提供者所在國的官方語言或者是雙方同意使用的語言進行。第42條所規定的契約要項除了雙方的姓名之外,必要規定事項包含費用說明、支付服務使用所需的系統說明等等,除了必要規定事項,雙方也可以約定支付服務的支付金額限制,或者是依照第55條約定服務提供者得基於支付工具安全的理由限制支付工具的使用,例如發生可疑交易或詐欺事件而封鎖使用者,暫停其使用權限。

二、中國
  中國人民銀行在2010年發布了「非金融機構支付服務管理辦法」,依照該法第2條規定,網路支付為該法所稱之非金融機構支付服務。非金融機構提供支付服務,應當向中國人民銀行申請取得「支付業務許可證」成為支付機構,未按規定申請者將被處以行政罰,嚴重者會被處以刑罰。支付業務許可證的有效期限五年,達五年期限者得於期滿前半年申請續展。
(一)最低資本額要求:
  依照第9條規定,想要在中國全國境內提供支付服務者,最低註冊資本額為1億元人民幣;想要在中國單一省,或自治區、直轄市範圍內提供不跨境的支付服務者,最低註冊資本額應達3000萬元人民幣。最低註冊資本額為實繳貨幣資本,應於申請支付業務許可證時全數繳足。
(二)洗錢防制義務:
  依照第8條規定,許可證申請人在申請時必須要提出符合相關法令要求的反洗錢措施。依照「非金融機構支付服務管理辦法實施細則」第4條規定,所謂的「反洗錢措施」,包括反洗錢內部控制、客戶身份識別、可疑交易報告、客戶身份資料和交易記錄保存等預防洗錢、恐怖融資等金融犯罪活動的措施。依照第44條規定,支付機構如果沒有履行反洗錢義務,中國人民銀行將可依據相關的反洗錢法規進行處罰,嚴重者得撤銷其支付業務許可證。
(三)服務使用者真實身分查核義務:
  支付服務的使用者在註冊時必須要提供真實的身分資料。依照第31條規定,支付機構應該要對於客戶所提出的資料比對其有效的身分證件或者是其它的身分證明文件,並且進行登記。
(四)支付服務協議書面簽約義務:
  支付機構應該與客戶就雙方之間的權利義務、糾紛處理原則以及違約責任等等事項簽訂協議。支付協議可以紙本也可以電子方式呈現,依照「非金融機構支付服務管理辦法實施細則」第32條規定,支付服務協議「包括符合法律法規要求、可供調取查用的紙質形式或數據電文形式的合同。」,與我國電子簽章法第四條關於以電子文件作為法律「書面」要件的規定相似。
(五)專用存款帳戶開立義務:
  依照第26條規定,支付機構收受服務使用者的資金後,必須要將資金存入在商業銀行所開立的「備付金專用存款帳戶」。一個支付機構只能在一家商業銀行開立一個備付金專用存款帳戶。另外特別指出,依照第24條規定,客戶備付金非支付機構之自有財產,支付機構只能根據客戶的指示轉移備付金,不得自行挪作他用。
(六)資本維持義務:
  依照第30條規定,支付機構的實際持有資本不能低於日處理金額的10%,日處理金額以90天內每日日中的平均餘額計之。
(七)資料保存義務:
  依照第34條規定,支付機構應該要妥善保管客戶身分資料、支付業務資料以及會計檔案等資料。依照實施細則第39條,資料保存義務至少為五年。
(八)報表提交義務以及受查義務:
  依照第20條,支付機構有義務向中國人民銀行提交支付業務統計報表以及財務會計報表。另外依照第35條,支付機構有義務配合中國人民銀行定期和不定期的現場檢查以及非現場檢查。

參、事件評析
  綜整歐盟以及中國立法例,管制重點為確保業者具有償債能力和營運能力以及洗錢犯罪防制,要求經營需事先申請許可並另外輔以查核等機制。共通管制規範如下:
(一)洗錢防制要求:
  皆要求業者必須要具備內部洗錢防制措施,對外則需要與主管機關密切配合。
(二)償債能力備置要求:
  要求服務提供者維持一定的資金水位,以避免服務提供者發生賠償責任時無償債能力。歐洲另輔以金融保證或保險,或是以其它方式進行風險隔離。
(三)專用存款帳戶:
  歐盟與中國皆要求開立專用存款帳戶,避免與服務提供者的資金混同,明確帳務。
(四)代收資金運用限制:
  業者收取之待轉資金限用於服務使用者指示之移轉,如准予用作投資,也僅限投資於低風險產品,且投資總額必須要依一般會計準則將資金水位維持在代收轉付資金的帳面價值之上。
(五)資料保存義務:
  為了滿足洗錢防制追查的需求,要求業者對於交易資料進行保存的工作。無獨有偶,歐盟以及中國的保存義務年限都是至少五年。
(六)書面簽約義務:
  為了保障消費者,要求業者以契約明確列出服務提供的要項以及雙方的權利義務關係。契約需為書面,以電子方式為之應符合各國以電子為書面的法律要件。

※ 歐盟、中國第三方支付立法簡介, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=6083&no=64&tp=1 (最後瀏覽日:2026/07/08)
引註此篇文章
你可能還會想看
德州法院判美大藥廠默克賠償2.53億

  一名美國德州男子由於服用止痛藥偉克適 (Vioxx) 不幸喪命後,其遺孀向法院控告全美第三大藥廠默克 (Merck & Co.) 並要求索賠。美國德州地方法院本 (8) 月 19 日判決默克應賠償 2.53 億美元,默克決定提出上訴。   根據醫學研究報告顯示,長期使用偉克適的病人發生心臟病、中風的機會將相對提高一倍, 2004 年 9 月默克藥廠已宣布回收全球市場的偉克適藥品。 59 歲德州男子 Robert Ernst 原為馬拉松選手,因肌腱炎問題服用偉克適長達 8 個月後, 2001 年心臟病死亡,經解剖後發現死因為心律不整。其遺孀向法院控告默克藥廠,認為導致其丈夫死亡主要因素,是藥廠隱瞞偉克適有致命危險性此點過失,並指出默克為了與勁敵輝瑞 (Pfizer Inc.) 的同類產品 Celebrex 競爭,急於推出偉克適上市,卻未先進行適當的安全測試,對於該藥品可能引發的心臟問題,也以輕描淡寫方式處理,因此藥廠應該負擔全責。   德州法院陪審團做出判決,認為默克藥廠應對 Ernst 死亡負擔責任,給付 2400 萬美元的損害賠償,以及 2.29 億美元的懲罰性賠償。默克藥廠的委任律師表示,將繼續提出上訴。   Miller Tabak & Co. 醫療保健類股策略師 LesFuntleyder 表示,這項判決會鼓勵更多人提出控告,時間將長達 10 年。

M2M時代下的資料保護權利之進展-歐盟與日本觀察

英國政府擬限制18歲以下孩童於社群軟體按讚功能

  英國資訊委員辦公室(Information Commissioner’s Office, ICO)於今(2019)年4月15日發布「合適年齡設計:網路服務行為準則」(Age appropriate design: a code of practice for online services)諮詢報告,針對18歲以下孩童使用網路服務所涉及個人資料之相關議題提出遵循標準,要求網路服務提供商應受遵循以保障孩童隱私資訊。   本次諮詢報告主要針對網路服務如何適當確保孩童個人資料,同時符合歐盟《一般資料保護規則》(General Data Protection Regulation, GDPR)以及《隱私及電子通訊規則》(Privacy and Electronic Communications Regulations, PECR),若網路服務提供商未依循該行為準則,將很難證明符合GDPR、PECR規定,ICO亦採取監管措施(regulatory action),包含警告、譴責、執行通知、罰款等。於諮詢報告中,臚列涉及個人資料事項,包括資料共享、地理定位(geolocation)、家長監控(parental controls)、輕推技術(nudge techniques)、默認裝置(default settings)、側寫(profiling)等多達16項遵循標準,其中輕推技術引發抑制網路科技發展、過度監管爭議。   所謂「輕推技術」是指專為引導用戶或鼓勵用戶決策時可以點選之程式以表示用戶想法,簡而言之Facebook、Instagram按「讚」功能、社群軟體Snapchat「Streaks」互動功能,或是新聞網頁常見「是」或「不是」選擇性問題視窗等即是輕推技術應用。由於輕推技術之設計會蒐集用戶瀏覽網頁習慣,甚至透露其個人性格、生活狀態給廣告商或社群媒體等。   諮詢報告指出,依據GDPR前言第38點規定,因孩童對於其個人資料處理之可能風險、結果及相關保護措施及其權利認知較低,同時依GDPR第5條規定個人資料之蒐集處理與利用,對資料主體者應為合法、公正及透明(lawfulness, fairness and transparency)。但輕推技術的運用將會促使資料主體者更容易地提供其個人資料,同時,尤其會誘導兒童去選擇隱私保護較低的選項設定或花費更多時間在這些服務上,而此一技術之運用正是利用資料主體者之心理偏差(psychological bias),而違反了公平與透明原則。因此諮詢報告書要求網路服務提供商應主動限制孩童使用輕推功能。ICO於諮詢文件更詳細依0-5歲、6-9歲、10-12歲、13-15歲、16-17歲不同年齡層限制輕推技術應用之程度,或在何種情況須有家長陪同,以保障孩童隱私。   此項標準引來正反兩派意見,主張自由市場(free market)人士批評,認為有過度監管之嫌並阻礙科技發展,輕推技術本身不是問題,而是在於蒐集個人資料後要做那些運用,同時要如何執行限制技術之應用亦將是問題所在。而贊成者認為廠商如提供網路服務給所有年齡層時,應有特別措施以保護不同年齡層之人,因此對於孩童與成人間之監管程度應有區別。該諮詢報告於今(2019)年5月31日截止公眾諮詢階段,並預計2020年初施行該行為準則。

數位基礎建設的挑戰與未來-以歐盟「如何掌握歐洲的數位基礎建設需求?」白皮書為中心

數位建設在數位化浪潮以及AI來臨的年代,顯得非常重要,也是世界各國重視的議題之一,歐盟於2024年2月提出了「如何掌握歐洲的數位基礎建設需求?」(WHITE PAPER How to master Europe's digital infrastructure needs?)白皮書來匯集專家意見至6月30日止。 數位基礎建設所涵範圍甚廣,包含資訊科技所有的技術系統以及網際網路等等。如果沒有這些建設,將無法順利完成數位轉型及提升競爭力,況且人工智慧以及物聯網時代的到來,正在改變全球消費者的習慣,因此落實數位基礎建設佈建具有相當之必要性。白皮書開門見山地提到數位基礎建設的諸多優點,但要完成目標,需克服許多難題。 數位基礎建設的佈建需投入大量資金,更需仰賴公私協力才可順利達標,因此難題主要圍繞在企業實力以及是否能夠有相當之吸引力,促使企業投資者以龐大的金流支援,而企業投資者之目標以獲利為原則,因此如果要吸引大量投資人進場,必須提出成功施行並獲利的案例來拋磚引玉。白皮書內也提到,歐洲境內固網行動匯流尤其光纖及5G網路覆蓋率較世界各國來的低,且歐盟因為成員國眾多,缺乏單一的市場,難統籌規範,更何況歐盟對於複雜的數位基礎建設生態中,針對參與者沒有明確規範,諸如投入電子通訊網路建置之雲端供應商其權利義務關係,使得參與者無所適從,如何去克服這些絆腳石將會是歐盟的重大挑戰。 為克服數位基礎建設的難題,白皮書建議以三個支柱作為框架,其一為打造共同連結的運算網路系統(Connected Collaborative Computing)作為歐盟經濟體的中樞神經;其二為建立單一的數位市場,整合各國市場機制並建立完善法規制度;最後為所有數位基礎建設須安全且富有韌性,否則遭到攻擊,將會威脅歐盟各國。 數位化的時代,不僅可提提升運作效能,更能促進永續發展,然而工欲善其事,必先利其器,數位基礎建設為不可少之一環,鑒於我國推動數位建設佈建也可能面臨投資誘因的難題,歐盟白皮書所提到的建議以及後續的發展,或許值得我國持續關注。

TOP