今年7月1日,《非银行支付机构网络支付业务管理办法》(下称《办法》)正式生效。,规定支付机构必须对客户实行实名制管理。目前,大部分第三方支付平台的用户已完成了实名验证,但依然有一部分用户不愿意绑定个人身份信息;与此同时,网络中买卖认证账号的违法活动悄然兴起,甚至在各大门户网站上,都能查到明码标价销售认证账号的信息。
由于《办法》仅在宣示性条款中,表明第三方支付平台应对客户实行实名制管理,但是,对于初始验证大关仍未完成的各大支付平台来说,这一规定的实际操作性有待考量。如何面对?这或许成为新政落地后不得不面对的问题。
根据《办法》,第三方支付平台须引导用户完成实名认证,即对申请进入网络交易平台进行经营的人,由提供网络交易平台服务的经营者审查其身份信息的合法性与真实性,然后将自然人网络经营者身份信息真实合法的标记核发给申请人的证明活动。
《办法》正式施行一个多月来,针对无法绑定或不愿绑定个人银行卡和的用户,网络中也出现了“实名认证”的相关违法服务:通过搜索“支付宝实名账户”,可发现多个相关网址列于检索页首页,只要用户提供支付宝账号,商家可提供信息、手机号和银行信息,帮助用户完成身份验证;淘宝搜索“微信实名”,相关条目则出现“微信实名绑卡”和“微信老号无限制”两类商品。
除此之外,“买号街”网站中也出现了买卖实名认证账号的情形,卖家称可以通过“虚假面对面验证”的方式,实现一类账号到二类账号之间的转换,从而使得累积消费限额达到十万元,也有的卖家提供“新空白支付宝,未实名、未绑手机、资料齐全、可注册淘宝、阿里、实名”的服务。8月10日,该网站链接已不能自动跳转。
笔者认为,对于普通用户,出现买卖实名认证账号可能出于多方面的原因,不能一概而论。首先是出于对隐私保护的隐忧,实名认证制度后续的隐私保障制度还有待建立,这是很大一部分人选择观望、迟迟不进行认证的原因;其次是实名认证有困难的群体,如老年人、未成年人等群体虽有网络交易的需求,但迫于其自身能力,若无协助则难以完成认证活动,不排除为图省事直接购买账户的可能。
虚假认证是指以谋取非法利益为目的,通过批量伪造、变造、买卖或使用他人居民件,利用他人件信息进行“认证”的行为,导致认证身份信息归属人与实际认证操作人或者与账号实际使用者分离。从行为特点来看,买卖实名认证账号与炒信行为中虚假认证账号行为性质基本一致,使得国家对于其网络交易等行为的管理落空,扰乱了国家的经济管理秩序。
《办法》将网络支付账户划分为三种不同类别的账户,它们的身份核实方式与支付限额都有所不同。
一类账户只需要通过一个外部渠道验证,相比以往虚假的认证在技术方面并未有太大的提升,但是达到1000元限额后,违法者不得不重新进行信息收集、注册等一系列活动。对于二三类账号,只有利用个人信息进行实际注册并同意出卖才能达到门槛,基本可以实现个人信息所有者与实际认证操作人之间是统一的,但仍然不能保证以上两者与账号实际使用者之间不发生分离。
从行为主体来看,买卖实名认证账户主要涉及以下主体:实际认证操作人、账号使用者、、经济秩序管理者国家以及若账号注册人非直接出买人,则主体范围还涉及账号出卖者。但遗憾的是,现有相关规定并不能囊括如上所述的全部主体,而只是对实际认证操作人与第三方支付平台有所涉及。
对实际认证操作人起到规制作用的主要有三个条文:一是《网络交易管理办法》,其第七条第二款规定,从事网络商品交易的自然人,应当向第三方交易平台提交其姓名、地址、有效明、有效联系方式等真实身份信息。该条款并未附带任何法律责任,属于无责任的义务,因而该条款的法律效力有限,更多的是起到宣示作用;二是我国居民法,其第十六条第二款(二)规定,出租、出借、转让居民的,由公安机关给予警告,并处二百元以下罚款,有违法所得的,没收违法所得;三是刑法修正案(九)第二十二条,首次明确了买卖居民的行为构成犯罪,将买卖居民等依法可以用于证明身份的证件的行为定性为买卖件罪。
以上三个条文,在如何界定转让身份的行为与“转让”,和转让身份的行为与“买卖”上,还是有一定差距,而且处罚力度过轻,很可能存在处罚过后出卖者还是“赚了”的情形,因此,适用起来对规制该行为的效力有限。
非银行支付机构网络支付业务以其灵活便捷的优势,已发展成为拥有亿级客户、10万亿级交易规模的市场。涉及第三方支付平台进行规制主要有两个条文:一是《互联网用户账号名称管理规定》,第七条明确了网络平台应承担的责任:互联网信息服务使用者以虚假信息骗取账号名称注册,或其账号头像、简介等注册信息存在违法和不良信息的,互联网信息服务提供者应当采取通知限期改正、暂停使用、注销登记等措施;二是《办法》第六条规定,支付机构应当遵循“了解你的客户”原则,建立健全客户身份识别机制,确保有效核实客户身份及其真实意愿,不得开立匿名、假名支付账户。
这两个条文行为针对性更强,但是问题在于:这些条款同样属于无义务的责任。《办法》最后的条文统一规定了相关的责任,但是该责任仅仅是针对支付机构的,对于匿名开户或者假名开户的用户,仍然没有规定其义务与责任。
由此可见,上述法规、规章、条例都确认了网络实名认证的必要性,也强调了个人信息安全的重要性,但都缺乏对网络虚假认证行为的准确定性和适用的罚则,并且遗漏或者弱化惩罚相关买方主体,这直接导致了买卖实名认证账号的行为违法成本低,甚至是“零成本”,,面临执法难的问题。
针对现行法律中的“无力”状态,笔者认为,买卖实名认证账号是买卖双方共同完成的,只由卖方一方承担责任显得较为失衡,而且处罚力度相比其所得而言,显得畸轻,这也是不合理的;需要完善追责体系的构建,。而且笔者认为,条文中对于第三方支付平台的义务偏向于结果导向,诸如“应当确保有效核实客户身份及其真实意愿”中“确保”意味着需要牺牲效率以及其他社会价值,未能取得与其他社会价值之间的平衡,值得商榷。
制度本身的建设只是一方面,制度外围的配套机制建设以及制度与配套机制之间,如何做到统一完善等一系列问题则显得更为重要。例如,就目前看来,《办法》的“火力”,仍然集中在用户信息的收集方面,但紧随其后的,就需要保障这些信息的安全,避免信息泄露等恶性事件的发生。
考虑到我国的网络实名制和手机实名制,从初步建立到最终实现无不经历了较为适宜的缓冲期,而网络支付实名认证相较其他实名认证制度而言,对技术的要求更高、面临问题也更多,本文所探讨的问题就是一例。因而笔者可以预见,网络支付实名认证制度的最终建成,难以一蹴而就,而是一个不断完善发展的曲折过程。
(作者潘勤毅为广西知识产权发展研究院研究员、马斯蒙为重庆大学法学院硕士研究生)