歐盟、中國第三方支付立法簡介 科技法律研究所 2013年4月1日 壹、事件摘要 自2010年起,國內便不斷湧現訂立第三方支付專法的呼聲,希望主管機關開放第三方支付相關業務,並立法給予第三方支付明確的法律地位,以提升產業發展環境,滿足產業發展需求。事實上,第三方支付服務在國外已有多國立法規範,如中國、歐盟、日本、美國、新加坡、香港、泰國、馬來西亞等等。有將第三方支付定位為資金傳輸業者,或強調是「非銀行」的金融服務業者,著重於第三方支付服務的支付清算功能。多數國家的第三方支付主管機關為金融監理單位或者是中央銀行,如日本金融廳,英國金融服務局(Financial Service Authority,FSA),新加坡金融管理局(Monetary Authority of Singapore,MAS),中國、馬來西亞、泰國央行。礙於篇幅,本文以下僅就歐洲以及中國規範做介紹。 貳、重點說明 一、歐盟 第三方支付服務為歐盟2007年「支付服務指令(Payment Service Directive,簡稱PSD) 」所規範的「支付服務(payment service)」,第三方支付服務業者為指令所稱之「支付機構(payment institution)」。依照PSD第5條規定,支付機構欲進行營業必須要依照會員國國內法向會員國相關主管機關提出核准申請。以英國而言,英國的主管機關是「金融服務局(Financial Service Authority)」。 以下說明重要規範。 (一)創辦資本(initial capital)最低金額: 依照第6條,支付機構具有最低創辦資本額限制,網路支付機構的最低資本額限制為五萬歐元。 (二)資本維持義務(Own funds): 依照第8條規定,支付機構必須要繼續持有一定數額的資金,至於應持有的金額,以下述三標準判定,如果下述三標準判定出的金額低於前述創辦資本的金額,則以創辦資本的金額為應持有資金的數目: 1.前一年度固定經常費用(overhead)的10%。 2.依照前年月平均處理金額的一定比率決定。 3.依照前一會計年度利息收入、利息支出、所收取的費用以及其他營運收入的總和,按比例提存之。如果實際無前一會計年度資料,可採取預估值。 (三)資金防護義務(safeguarding requirements): 依照第9條規定,支付機構對於自消費者所收取的代收轉付資金,必須要提供下述防護措施,原則上只要滿足其一即可。對於個別支付金額超過600歐元的消費者,指令認為會員國的主管機關可以要求對於這類大額消費者單獨提供防護措施。 1.專用存款帳戶: 消費者的資金不得與其他資金混同,支付機構一旦收取代收轉付資金即須將之存入獨立的帳戶,或者是投資於由會員國指定的低風險、流動性佳的資產。 2.破產隔離: 應依照會員國的國內法,基於消費者的利益做好破產隔離工作,排除支付機構的其他債權人對代收轉付資金主張權利。 3.保險: 為消費者的代收轉付資金投保,或者是提供其他來自保險公司或者是信用機構同等效力的擔保,在支付機構無法履行其財務責任時進行理賠。 (四)資料保存義務(Record-keeping): 依照第19條規定,會員國應要求支付機構妥善保存交易資料,保存義務期限至少五年。 (五)洗錢防制義務: 依照第5條規定,支付機構在申請核准時,需要提供公司治理以及內部控制規劃架構,其中第f款指出,支付機構須提出符合Directive 2005/60/EC以及Regulation (EC) No 1781/2006關於防制洗錢以及恐怖組織金融活動(terrorist financing)的內部控制機制。 (六)書面締約義務: 依照第41條規定,支付服務提供者必須要與支付服務使用者就第42條所規定的事項以紙本或者是其它可永久保存的媒體(durable medium)進行締約。第41條並要求支付服務提供者應在契約中使用淺顯易懂的文字,並以支付服務提供者所在國的官方語言或者是雙方同意使用的語言進行。第42條所規定的契約要項除了雙方的姓名之外,必要規定事項包含費用說明、支付服務使用所需的系統說明等等,除了必要規定事項,雙方也可以約定支付服務的支付金額限制,或者是依照第55條約定服務提供者得基於支付工具安全的理由限制支付工具的使用,例如發生可疑交易或詐欺事件而封鎖使用者,暫停其使用權限。 二、中國 中國人民銀行在2010年發布了「非金融機構支付服務管理辦法」,依照該法第2條規定,網路支付為該法所稱之非金融機構支付服務。非金融機構提供支付服務,應當向中國人民銀行申請取得「支付業務許可證」成為支付機構,未按規定申請者將被處以行政罰,嚴重者會被處以刑罰。支付業務許可證的有效期限五年,達五年期限者得於期滿前半年申請續展。 (一)最低資本額要求: 依照第9條規定,想要在中國全國境內提供支付服務者,最低註冊資本額為1億元人民幣;想要在中國單一省,或自治區、直轄市範圍內提供不跨境的支付服務者,最低註冊資本額應達3000萬元人民幣。最低註冊資本額為實繳貨幣資本,應於申請支付業務許可證時全數繳足。 (二)洗錢防制義務: 依照第8條規定,許可證申請人在申請時必須要提出符合相關法令要求的反洗錢措施。依照「非金融機構支付服務管理辦法實施細則」第4條規定,所謂的「反洗錢措施」,包括反洗錢內部控制、客戶身份識別、可疑交易報告、客戶身份資料和交易記錄保存等預防洗錢、恐怖融資等金融犯罪活動的措施。依照第44條規定,支付機構如果沒有履行反洗錢義務,中國人民銀行將可依據相關的反洗錢法規進行處罰,嚴重者得撤銷其支付業務許可證。 (三)服務使用者真實身分查核義務: 支付服務的使用者在註冊時必須要提供真實的身分資料。依照第31條規定,支付機構應該要對於客戶所提出的資料比對其有效的身分證件或者是其它的身分證明文件,並且進行登記。 (四)支付服務協議書面簽約義務: 支付機構應該與客戶就雙方之間的權利義務、糾紛處理原則以及違約責任等等事項簽訂協議。支付協議可以紙本也可以電子方式呈現,依照「非金融機構支付服務管理辦法實施細則」第32條規定,支付服務協議「包括符合法律法規要求、可供調取查用的紙質形式或數據電文形式的合同。」,與我國電子簽章法第四條關於以電子文件作為法律「書面」要件的規定相似。 (五)專用存款帳戶開立義務: 依照第26條規定,支付機構收受服務使用者的資金後,必須要將資金存入在商業銀行所開立的「備付金專用存款帳戶」。一個支付機構只能在一家商業銀行開立一個備付金專用存款帳戶。另外特別指出,依照第24條規定,客戶備付金非支付機構之自有財產,支付機構只能根據客戶的指示轉移備付金,不得自行挪作他用。 (六)資本維持義務: 依照第30條規定,支付機構的實際持有資本不能低於日處理金額的10%,日處理金額以90天內每日日中的平均餘額計之。 (七)資料保存義務: 依照第34條規定,支付機構應該要妥善保管客戶身分資料、支付業務資料以及會計檔案等資料。依照實施細則第39條,資料保存義務至少為五年。 (八)報表提交義務以及受查義務: 依照第20條,支付機構有義務向中國人民銀行提交支付業務統計報表以及財務會計報表。另外依照第35條,支付機構有義務配合中國人民銀行定期和不定期的現場檢查以及非現場檢查。 參、事件評析 綜整歐盟以及中國立法例,管制重點為確保業者具有償債能力和營運能力以及洗錢犯罪防制,要求經營需事先申請許可並另外輔以查核等機制。共通管制規範如下: (一)洗錢防制要求: 皆要求業者必須要具備內部洗錢防制措施,對外則需要與主管機關密切配合。 (二)償債能力備置要求: 要求服務提供者維持一定的資金水位,以避免服務提供者發生賠償責任時無償債能力。歐洲另輔以金融保證或保險,或是以其它方式進行風險隔離。 (三)專用存款帳戶: 歐盟與中國皆要求開立專用存款帳戶,避免與服務提供者的資金混同,明確帳務。 (四)代收資金運用限制: 業者收取之待轉資金限用於服務使用者指示之移轉,如准予用作投資,也僅限投資於低風險產品,且投資總額必須要依一般會計準則將資金水位維持在代收轉付資金的帳面價值之上。 (五)資料保存義務: 為了滿足洗錢防制追查的需求,要求業者對於交易資料進行保存的工作。無獨有偶,歐盟以及中國的保存義務年限都是至少五年。 (六)書面簽約義務: 為了保障消費者,要求業者以契約明確列出服務提供的要項以及雙方的權利義務關係。契約需為書面,以電子方式為之應符合各國以電子為書面的法律要件。
日本內閣閣議決定2021年最新3年期網路安全戰略日本內閣於2021年9月28日閣議決定最新3年期《網路安全戰略》(サイバーセキュリティ戦略)。本戰略係根據網路安全基本法(サイバーセキュリティ基本法),針對日本應實施之網路安全措施進行中長期規劃。日本將從「以數位改革為基礎,推動數位轉型與網路安全」、「在網路空間朝向公共空間化與相互連繫發展下,縱觀全體以確保安全安心」、「加強風險管理措施」三大方向,推動網路安全措施。本戰略重點措施包括: 提升經濟社會活力,並推動數位轉型與網路安全:為達成數位改革,日本經濟社會須完成數位轉型改革。而在推動經濟社會數位化過程中,應將網路安全納入政策推動之考量。 實現國民得安全安心生活之數位社會:所有組織應確保完成任務,並加強風險管理措施。而數位廳將揭示並推動網路安全基本方針,以使政府提供網路安全環境保護國民與社會。 促進國際社會和平安定,並保障日本安全:為確保全球規模「自由、公正且安全之網路空間」,日本須制定展現該理念之國際規範,並加強國際合作。 推動橫向措施:在橫向措施方面,將進行中長期規劃,推動實踐性研究開發,並促進網路安全人才培育。此外,政府亦須與民間共同合作進行推廣宣傳,以強化國民對網路安全意識。
美國病歷健康資訊科技化政策可望於10年內節省220億美元用藥支出美國「2009年經濟復甦暨再投資法」(America Recovery and Reinvestment Act, ARRA),將醫療產業中的醫療資訊科技列為重點發展項目之ㄧ。以國內全面採行「電子病歷健康記錄」(electronic health records, EHRs)系統為目標,共挹注190億美元的經費,透過聯邦醫療保險或醫療補助計畫的機制支付獎勵金,鼓勵醫師或醫療院所採購並建置院內的電子醫療資訊系統。自2011年至2015年,醫師或醫療院所符合實質EHR使用者(meaningful EHR user)的標準,至多可獲得44000美元的獎勵金;倘於2015年後,其尚未成為實質EHR使用者,則將以每年多1%的比例,逐年減少其醫療保險補助額,直至2019年將減少5%。為了施行此政策,ARRA規定主管機關須於2009年12月31日前確立EHR的標準,包含了相互運用性(interoperability)、臨床功能性(clinical functionality)及安全性等標準。 EHR系統的基礎,也就是電子醫囑(e-prescribing)所涵蓋的功能,能提供臨床及藥費的即時資訊,供醫師判斷何種藥物(包含學名藥)最為安全,且可符合病患經濟負擔;亦可顯示該病患用藥紀錄,及其他醫生曾開立的處方,供醫師比對並觀察病患潛在的藥物過敏現象,若系統偵測出藥物間相斥的情形,亦將自動發出安全警示。此外,以電腦輸入處方並自動傳送至領藥處的模式,不僅可省卻病患冗長的等候領藥時間,亦能減少藥劑師因難以判讀字跡所導致的配藥錯誤。 一項由美國藥物照顧管理協會(Pharmaceutical Care Management Association, PCMA)所贊助的調查研究指出,ARRA中的病歷健康資訊科技化措施,將使e-prescribing的運用率,在未來五年內增加75%;而在往後10年,此將減少約3500萬筆的用藥指示錯誤,消弭因服藥錯誤導致的死亡事件,並能節省220億的用藥支出;其所帶來的效益實遠超過政府所挹注的經費。
美國上訴法院:行為人不得以「主觀上對犯罪行為之無意識」阻卻著作權之侵害在電腦與網際網路普及與便利的今日,只要上網搜尋一些特定軟體,非常容易就能下載侵害智慧財產權的音樂或是影片,這樣的行為當然是非法的,但在美國出現爭議,若未成年人利用電腦非法下載,可否用「不知道這是犯罪行為」來抗辯侵權呢? 美國就發生了這樣的案例,現年22歲Whitney Harper,於2004年被美國唱片業協會(The Recording Industry Association of America,RIAA)控告其使用Kazaa分享軟體,下載阿姆(Eminem)、瑪麗亞凱莉(Mariah Carey)等37首歌曲,並將該37首歌曲透過線上分享軟體讓其他使用者亦得下載,RIAA認為此行為侵害了這些歌曲的智慧財產權,要求Whitney Harper每首歌曲需付750美元懲罰性賠償。 在訴訟中,唱片公司主張,其已於每張CD上貼上警示標籤;而Whitney Harper則抗辯自己不應該負擔如此高的罰款,係因當時她只有16歲,沒有意識到未經授權下載歌曲是違法行為,且認為下載就像利用網路聽收音機節目一樣,應該是免費的,認為自己無罪。 雖然有一些法官支持Whitney Harper的爭辯,不過第五巡迴上訴法院認為,無論Whitney Harper是否知悉其下載音樂之行為係屬違法,只要唱片公司有公告未經授權之重製行為即侵害著作權,與被告Whitney Harper之主觀意識無關。最後第五巡迴上訴法院確認Whitney Harper有罪,並判定 Whitney Harper共需賠償27,750美元。 Whitney Harper不滿其判決結果,向美國最高法院提起上訴,但法院拒絕其上訴。