关于虚拟信用卡监管的法律问题的分析
一、虚拟卡的主要特点
央行1996 年下发的《信用卡业务管理办法》中,将信用卡按载体材料区分为磁条卡和智能卡两类,没有给出过虚拟卡的定义。阿里和腾讯公司准备发行的虚拟卡在本质上仍是信用卡,只不过形式上是互联网化的信用卡。据已披露的信息,虚拟卡在用户资格审核、发放模式等方面与传统信用卡大相径庭,主要特点体现在以下几个方面。
1、数字信息化。虚拟卡被视为实体卡去介质化的尝试, 它用特定的数字信息代替了有形的物质载体。用户开通虚拟卡后,银行会发放卡号给客户,用该卡号即可开通支付宝快捷支付,进行各项网络或移动支付的消费。虚拟卡节省发卡成本,实体卡单张发卡成本约近百元。
2、以大数据为支撑。虚拟卡无需客户前往银行营业网点填写个人信息,它依据的是互联网背后的大数据。实体卡主要依据客户的资产状况、收入等线下的信用记录确定信用额度。虚拟卡主要根据用户网络消费记录和信用记录来审定额度。据此,阿里拟推出虚拟卡的授信额度由200 元起步,信用额度的依据是用户在网络上积累下的实名制信息和消费数据,即根据个人网络信用度确定额度。这是信用卡发卡制度的重大创新与变革。上述两个特点应当是虚拟卡的最重要特点,应是其被称为虚拟的由来。
3、用户主体资格的双重性。阿里拟推出的信用支付业务主要为持手机、平板电脑等移动终端的支付宝用户在淘宝和天猫商城购物的消费行为提供消费贷款。该业务拟只对实名注册的支付宝客户开放。
一方面,用户的适格条件较为宽松。实体卡对用户资格严格限制,银行不能给大学生发实体卡,但是支付宝虚拟卡不受这个政策限制。另一方面,客户范围有局限性。虚拟卡的消费局限于特定的网络,比如阿里虚拟卡局限于阿里巴巴客户范围内。阿里巴巴酝酿的虚拟卡业务,建立在其阿里体系之内,在淘宝、天猫上用支付宝购物的客户才可能开通信用支付。而传统的银行卡的用户和使用范围不限于此。
4、互联网渠道发行。虚拟卡通过互联网发行,即申请、即发卡、即支付,无年费。客户申请办卡只要符合条件,少则一分钟至多十几分钟即可拿到卡。在线即时申请发行省去了实体卡从客户提交书面申请到客户经理现场确认、确定信用额度和寄送等长达月余的繁琐程序。
5、运用担保制度或保险公司分散风险。虚拟卡支付业务的资金由发卡银行提供,阿里为此特别成立了一家担保公司--商诚融资担保有限公司,为持卡人信用进行担保。当持卡人一个月后不能按约定偿还虚拟卡项下的欠款时,由阿里担保承担还款责任。但是,该担保公司所提供的整体担保额度是有限的。重庆市工商局注册信息显示,阿里担保注册资本3 亿元。若按照最大担保额度不能超过资本金10 倍算,阿里担保目前能提供的额度为30 亿元。另外,腾讯虚拟卡准备引入保险公司对虚拟卡的欠款提供保险理赔。
6、持卡人违约的法律后果有所不同。实体卡如果逾期不还,银行会收高额利息,产生信用卡滞纳金,产生不良信用记录计入人民银行征信系统,可依法追究民事偿还责任甚至赔偿责任,恶意透支则应当承担刑事责任。而虚拟卡的逾期后阿里担保会先对发卡人进行垫付,再对持卡人进行催收。如果催收一年仍没有还款,支付宝账户将被注销以示惩罚。从理论和法律制度来说, 阿里担保有权对持卡人追究民事赔偿责任,但由于虚拟卡的信用额度较小,违约欠款的数额较低,诉讼成本相对较高,可行性较差,因此违约的持卡人被实际追究民事赔偿责任的可能性不大。
二、虚拟卡的主要当事人的法律关系
信用卡业务涉及的基本当事人包括持卡人,发卡机构,特约商户与担保人。在阿里等虚拟卡业务中,发卡人表面上是中信银行和阿里或腾讯,持卡人为开通虚拟卡业务的用户, 特约商户为阿里旗下的淘宝商户。实体卡当事人的法律关系非常复杂,存在很大争议,但是持卡人、发卡人和特约商户三者间的法律关系是实体卡最基本的三种法律关系1。虚拟卡的法律关系也不例外。
1、中信银行与阿里和腾讯等互联网企业的法律关系。虚拟卡发卡机构表面上为阿里与中信银行联合发行,但实际发卡人应当是银行。阿里等第三方支付机构实际上是提供数据、技术支持,提供销售渠道和销售平台,或提供担保人,阿里和中信银行的合作本质上是基于数据的合作。即中信银行结合阿里提供的数据,参照中国人民银行的征信系统审核用户资料, 决定信用额度,直接向用户授信,包括确定免息期后的利率。坏账风险由中信银行承担,网络平台概不负责。
所以虚拟卡仍通过商业银行发行,风险管理技术和征信技术仍依靠商业银行,支付宝方面配合中信银行收集数据,并通过网上渠道销售,实质上是由银行发行与管理。
2、发卡银行与持卡人的法律关系。发卡行与持卡人的法律关系因为信用卡的不同功能而有所变化。第一种是储蓄关系。虚拟卡具有储蓄功能,用户可以随时存入或取出一定金额,在这个意义上,持卡人与发卡机构之间有储蓄关系。第二种是借贷关系。虚拟卡允许用户透支一定限额,即提供一种信贷关系,持卡人与发卡机构之间是借贷关系。该种法律关系是实体卡也是พ虚拟卡中最重要的法律关系,也是虚拟卡被监管机构最担心出问题的地方,这是虚拟卡被叫停的敏感点。第三种是代理关系,持卡人在消费过程中转账结算时,持卡人将结算事项交由发卡行处理,发卡机构在授权范围内行为产生的权利义务由持卡人承担,并有权得到相应报酬。但超过授权范围的事项产生的结果由发卡机构承担。在这一层意义上,发卡机构与持卡人之间是委托代理关系。实体卡通常还存在发卡机构与持卡人间的抵押担保关系,即发卡机构要求持卡人提供的信用卡担保机制。而虚拟卡只有资格审查和注销账户的惩罚, 尚没有要求持卡人提供担保措施。总之,发卡人与持卡人之间是上述多种法律关系的混合体。
3、发卡银行与特约商户的法律关系。特约商户之所以接受信用卡支付方式,是基于其与发卡机构之间的协议。因此,发卡机构与特约商户形成代理关系,发卡机构是委托人,特约商户是受托人,特约商户按照发卡机构的指示完成信用卡相关委托事宜后,特约商户可以获得发卡机构的付款。对于阿里虚拟卡,发卡机构为中信银行,特约商户仅限于阿里旗下的接受支付宝快捷消费的商户。
4、持卡人与特约商户的法律关系。持卡人与特约商户之间主要是基于商品买卖合同的基础关系。同时,持卡人委托特约商户通过其信息交换系统获得发卡人的授权与支付款项的承诺,即持卡人对特约商户的授权。但二者之间的买卖关系独立于信用卡交易关系,持卡人与特约商户之间的诸如质量纠纷,服务纠纷等基于买卖合同产生的问题,通常不得成为拒绝支付信用卡款项的理由。但持卡人享有的权利对商品款项的支付有一定的影响,如持卡人行使消费者的合同撤销权后,未支付的款项停止支付,已经支付的要退还持卡人。
5、担保公司与发卡银行的法律关系。担保人与发卡人是保证人与债权人之间的保证关系,保证持卡人履行其对发卡机构的还款义务,如果持卡人不履行义务,则发卡机构有权要求担保人承担责任。担保人代持卡人履行义务后有权向持卡人行使代位求偿权。阿里虚拟卡中的阿里担保即是发卡人的担保人。另外,在虚拟卡中引入的保险公司的性质与担保人的性质相似,主要是由保险公司赔偿持卡人未能按照约定偿还的对发卡人形成的信用卡项下的欠款。
三、虚拟卡争议的主要法律问题及对策
虚拟卡与实体卡的本质一样,都需要接受央行的监管,避免造成系统性风险。与实体卡业务相比,虚拟卡涉及不少新的技术和新的发卡程序。虚拟卡的风险隐患和争议主要存在以下方面。
合规性问题
1、发卡人主体资格的合规性质疑。国际上信用卡是由银行或者专门的信用卡公司发行的,国内没有专门的信用卡公司。根据我国《信用卡业务管理办法》,信用卡都是由银行发行的。
通过前述分析, 虚拟卡实际发卡人是商业银行,其主体资格的合法性没有问题。虽然虚拟卡在某些方面突破了现有规定,对于这样的金融创新,在能够控制风险的情况下,应当试点发展。
《信用卡业务管理办法》在1996 年制定,那是针对的是实体卡管理,互联网还未普及,更谈不上互联网金融创新,当时根本无法想象虚拟卡的创新。如果硬要采用过时的制度管制近二十年后的互联网金融,无疑是削足适履。
2、发卡程序的合规性质疑。银监会2011 年1 月印发了《商业银行信用卡业务监督管理办法》,对包括业务准入、发卡、收单、风控等内容进行了详细的规定。虚拟卡发卡程序与上述规定差距较大。
第一,申请材料环节突破面签要求。根据该办法第三十七条规定,发卡银行印制的信用卡申请材料文本应当包含申领人信息、合同信息、费用信息和其他信息。其他信息包括申请人声明、申请人确认栏和签名栏等内容,特别是申领人确认栏中应当载明以下语句,并要求客户抄录后签名,本人已阅读全部申请材料, 充分了解并清楚知晓该信用卡产品的相关信息,愿意遵守领用合同的各项规则。其第三十八条还明确规定,信用卡主卡申请材料必须经由申请人♡本人亲自签名。
上述规定是对实体卡的纸质申请和签名的要求,并且属于部委规章,法律效力较低。但是法律效力更高的我国《合同法》、《电子签名法》等对网络电子合同及其签名都明确承认。因此不存在网络申请和签名的法律障碍。
第二,身份识别问题。上述管理办法第四十一条规定,发卡银行需确认申请人拥有固定工作、稳定的收入来源或可靠的还款保障。虚拟卡以网络消费记录为授信依据, 发卡方难以确认用户的工作和收入情况,只能依靠大数据分析。
《信用卡业务管理办法》第四十九条规定,发卡银行激活前应当对信用卡持卡人身份信息进行核对,且不得激活领用合同未经申请人签名确认、未经激活程序确认持卡人身份的信用卡。虚拟卡可以在线获得申请人签名,对申请人身份的确认主要通过申请人填写的信息和支付宝实名认证制度,实名认证会同时核实姓名、身份证号码和银行账户号码等信息。在实名认证中, 上传身份证后与公安网联网核实身份信息,银行账户在开户时已经由银行按照账户实名制的规定当面核实身份,因此,这些信息验证结合起来可以保证申请人身份的真实性。另外,支付宝虚拟卡可以通过信用卡激活环节降低身份识别风险,强化账户实名制。
安全性问题及对策
1、信用识别风险。虚拟卡的发行可能存在第三方数据分析风险。而中信银行与阿里推出的虚拟卡,很大程度上依赖阿里的网络购物数据决定授信额度。阿里授信的具体流程为,首先用几个关键数据将客户分为几个不同的类别的群体,再通过对群违约概率的反复计算,最终确定能够对类似群体提供多大额度的标准化授信产品。具体施行时,只要甄别客户属于哪个群体,然后即可直接套用自身设立的授信流程4。在这一过程中,银行以第三方数据为♡依据授信,在第三方数据有误时,就会产生较高的风险。对此可以在实践中逐步完善数据分析模型, 可以通过降低信用额度,引入担保和保险价值降低信用识别风险。实际上,传统的信用卡授信数据也是靠长期实践摸索积累,前期大量发卡,让风险充分暴露,再据此修正银行的风险模型参数。
2、信息安全风险。央行称,由于虚拟卡办卡流程无法有效确认客户本人办卡意愿,在目前个人身份信息非法买卖行为未得到有效遏制的情况下,存在较大的冒名办卡风险,极易损害消费者权益。
对此,可以要求虚拟卡用户必须实行实名认证制度。如前所述,在实名认证中,上传身份证后与公安网联网核实身份信息,银行账户在开户时已经由银行按照账户实名制的规定当面核实身份,因此,这些信息验证结合起来可以保证申请人身份的真实性。当前网络上信息泄露问题需要通过多种措施来降低冒用他人信息的风险。例如,在支付宝钱包使用过程中,用户需要提供姓名,银行卡号,银行卡密码,获取手机动态密码甚至快捷支付中需提供的身份证号码等信息来核♥对用户身份。
从支付宝多年经验来看,并未发生客户信息泄露的问题。在客户信息安全风险测试中,即使客户手机丢失, 他人想要修改支付密码也需先输入原始密码,这就保证了客户享有和银行发行的信用卡类似等级的安全保障。
违约风险及对策
1、违约风险。由于支付宝交易通常金额不大,即使持卡人违约而不还款,阿里方面也不可能通过诉讼方式要求其承担最终偿付责任,最终后果以注销账户以示惩罚,因此可能诱发违约风险。另外,还可能存在ข恶意透支问题。如果是实体卡,银行会收取高额利息、滞纳金,产生不良信用记录,甚至追究刑事责任。但阿里虚拟卡只有罚息、最终注销账户的惩罚,其对恶意透支也应当适用上述有关实体卡的规定追究责任,可以威慑违约行为以及恶意透支。
第一,通过对最高信用额度加以限制可以降低信用卡违约风险。对此,阿里虚拟卡最低限额为200 元人民币,最高的额度是根据用户日常的消费的一些数据积累所产生的一些信用价值来评定的;腾讯虚拟卡的最低额度是50 元,最高额度是5000 元。
第二,识别客户的信用风险要完善大数据授信技术。支付宝作为国内最大的第三方支付机构,其拥有近3 亿的实名认证用户,消费者在网络上沉积了大量行为数据,这些数据可以折射出消费者的信用。
第三, 引入保险机制或担保机制分散银行风险。中信银行与腾讯公司推出的虚拟卡的一大创新是首次引入了商业保险模式,以分散客户信用风险及银行资产风险。众安保险拟为微信虚拟卡建立风险保障机制。通过引入保险公司,在虚拟卡用户没有偿债能力时,保险公司先行赔付,可以降低虚拟卡发行人的资金风险。阿里集团为虚拟卡业务特别成立了一家担保公司对发卡银行面临的客户违约风险进行担保。
第四,把违约行为记入征信系统。依据现行规定,虚拟卡持卡人的违约行为可能难以计入人民银行的征信系统。如果该类违约行为能够计入人民银行的征信系统的话, 虚拟卡持卡人的违约行为会大大减少,理智的持卡人不会因小额违约而背上信用污点,这对虚拟卡的持卡人是一种有利的震慑,形成系统性的配套防范制度。
洗钱风险及对策
洗钱风险并不是虚拟卡独有或主要的风险,更不应当成为其被反对的主要理由。在监管体系内,理论上可以对洗钱进行有效控制。金融产品都应当在专门监管机构监管下有反洗钱流程,而虚拟卡等新兴的金融产品的反洗钱制度有待落实。但虚拟卡的信用额度较低,洗钱风险较小。反洗钱的关键是账户实名制。如前所述,可以通过虚拟卡的实名认证制度,严格落实账户实名制,并按照反洗钱相关规定对大额可疑交易及时录入反洗钱系统等方式加强风险防范。