第三方支付可望因行動支付的需求與資訊科技的進步,在線上電子商務與線下實體商店交錯綜合發展。除了金流帶來的過路費利益之外,大數據的經濟效益更是難以估計,必須健全個資保護與資安措施,才能獲得廣泛的信賴而成長茁壯。
隨著電子商務蓬勃成長,為確保交易安全而衍生出第三方支付的機制,由第三方支付業者代收代付交易款項,如美國的eBay拍賣網站所使用的PayPal與中國的阿里巴巴電商平台使用的支付寶。為促進第三方支付的健全經營及發展,我國在今年(2015)1月16日經立法院三讀通過「電子支付機構管理條例」,將開放並管制代收、代付、儲值、匯款等業務,相關子法正由行政機關研議中,俟未來子法建制完畢,母法將正式施行。第三方支付業者(即上開條例所稱之電子支付機構,下同)可包括銀行與非金融機構,在實際運作上既合作又競爭,勢必帶動新一波的產業熱潮。
第三方支付業者除了介入金流之外,也獲取包括交易雙方的個資、交易紀錄等資訊流。在大數據(Big Data)時代,掌握越多資料,越容易進行資料採礦而獲取有價值的資訊以進一步創新應用。固然從瞭解既存及開發潛在客戶的角度而言,第三方支付的資訊流可作為行銷及針對性廣告之用而開發更多商機,使得第三方支付業者除了收取金流過路財之外,還能與廠商合作賺得資訊財,但也可能遭駭客入侵系統或被有心人士非法利用客戶個資。在法制與實務運作上,第三方支付業者也應注重個資保護,才能獲得客戶的信賴與採用,以利產業發展。
實務上常見第三方支付業者標榜其強化個資保護,因買賣雙方的個資不須全部揭露給陌生的對方,轉而透過值得信賴的第三方支付業者處理交易相關的個資,以免個資外洩與詐欺事件的發生。然而一旦第三方支付成為主流,第三方支付業者反而將成為巨量個資的匯集處,駭客集中火力破解即可全部通吃,比起各個擊破更具有破壞力。第三方支付業者為使匯集的資料大到大數據的規模以發揮精準分析與預測的經濟效益,多會致力於擴大營運規模,與更多的交易平台合作,使得其資料庫含量如大江大海,自應構築堅強的資安堤防,以防個資外洩等不法事件的發生。
交易安全機制
第三方支付起因於交易雙方欠缺充分的信賴,買方擔心付款後卻沒收到貨,賣方則擔心出貨後卻收不到款,因此透過第三方支付業者的介入,由其先收受買方付款,賣方再出貨,等買方收貨後,第三方支付業者再轉交款項給賣方。類似的機制其實早已存在,如不動產買賣交易的履約保證機制,而國際信用狀付款機制藉由銀行當中間人建立信用的橋樑,也有異曲同工之處。
第三方支付旨在確保交易安全,主要係藉由將收到的金額交付信託專款專用或是取得銀行足額的履約保證。此外,也有必要建立使用者身份確認機制,以防範冒名偽造情事,且應留存交易紀錄以作為證據並防免虛假交易。依電子支付機構管理條例第24條與25條規定,第三方支付業者應建立使用者身分確認機制,於使用者註冊時確認其身分,並留存確認使用者身分程序所得之資料;另應留存使用者電子支付帳戶之帳號、交易項目、日期、金額及幣別等必要交易紀錄,以及未完成之交易紀錄,至少應保存5年。
個資保護措施
第三方支付業者為確保交易安全而須確認使用者身份及留存交易紀錄,該等資料多會涉及使用者的個資與隱私,例如A先生上網買禮物給B女,但不希望當事人的身份或是禮物的內容被老婆發現。因此第三方支付業者應負有保密義務且建立資安全維護措施。依電子支付機構管理條例第28條與第29條規定,第三方支付業者對於使用者之往來交易資料及其他相關資料,除其他法律或主管機關另有規定者外,應保守秘密;亦應確保交易資料之隱密性及安全性,並維持資料傳輸、交換或處理之正確性,建置符合一定水準之資訊系統。此外,第三方支付業者亦應遵守個資法關於個資的蒐集、處理及利用的規定,且應採行適當之安全措施,防止個資被竊取、竄改、毀損、滅失或洩漏。
鑒於第三方支付的個資處理亦涉及消費者保護,行政院消費者保護會決議通過的第三方支付服務定型化契約應記載及不得記載事項第10條更強化個資的保護,其中規定就第三人破解第三方支付業者資訊系統之保護措施或利用資訊系統之漏洞爭議,由第三方支付業者就該事實不存在負舉證責任,可減輕被害者的舉證責任。
老大哥的問題
當第三方支付業者成長到相當規模而擁有個資及交易紀錄的大數據,政府與企業可能成為背後虎視眈眈的老大哥,命令第三方業者或與其合作而蒐集、處理及利用個資與各種大數據,在以公益之名或鼓勵商業創新同時,亦應依法受到適當的限制。
就政府而言,實務上常見第三方支付業者在與客戶訂定的定型化契約中約定依政府機關的命令或要求,得提供客戶的個資與交易紀錄。另依電子支付機構管理條例第25條規定,稅捐稽徵機關、海關及中央銀行因其業務需求,得要求第三方支付業者提供必要交易紀錄及確認使用者身分程序所得資料,電子支付機構不得拒絕。然而反面解釋該條規定以及基於個資保護的立場,如為該條其他政府機構的要求,第三方支付業者應可據理力爭,要求政府機關提出法律依據。
就企業來說,電子商務中常見企業利用個資進行商業行銷,此亦可由第三方支付業者與外部企業主合作進行。然而在第三方支付的情形,不僅被行銷的當事人有權拒絕接受行銷,更從源頭管制,禁止第三方支付業者利用使用者個資為第三人從事行銷。詳言之,個資法第20條規定非公務機關利用個資行銷者,當事人表示拒絕接受行銷時,應即停止利用其個資行銷,且於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。就供給方而言,依電子支付機構管理條例第28條規定,第三方支付業者不得利用使用者個資為第三人從事行銷行為。此外,第三方支付業者如提供包括個資的大數據分析給企業主,亦應採取去識別性或匿名性的措施,以免違反個資法。
<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>