從全支付事件瞭解現行電子支付機制設計及防詐意識
文/中華民國第三方支付服務業商業同業公會法律顧問陳言博
在這一兩週逐漸發燒的新聞是民眾在社群平台發文,自稱使用foodpanda外送平台綁定全支付及銀行帳戶扣款,沒想到遭盜刷20筆、超過8萬元,損失慘重;甚至有傳聞在暗網中有販售全支付使用者資料,引發民眾恐慌。
風暴核心的全支付11月3日也迅速發出聲明表示該事件為外部詐騙集團近期假冒多家知名品牌或金融機構名義,製作極為相似的「釣魚網站」或傳送假活動連結,引導民眾輸入個資、OTP 驗證碼或信用卡資料,進而造成盜刷等損失。此事件與全支付系統安全無關,更非全支付資料外洩所致。此外,針對暗網銷售相關個資的相關貼文內容並非事實,甚至不排除對於網路上不實言論追究法律責任。
隨這事件發展,後續持續衍生出若是以信用卡綁定支付工具會比以銀行帳戶綁定支付工具來得安全。電子支付的主管機關金融監督管理委員會在11月11日傍晚表示,只要是非消費者過失的部分,基本上電子支付機構都要負責。但若是消費者自己把OTP(一次性密碼)、把密碼打進去,就不可歸責於電子支付機構了。只要是這樣說法究竟是否屬實,有必要探究法律關係說清楚講明白。
關於支付工具間之沿革與安全,詳見延伸閱讀:〈全支付事件:當我們談論支付安全,我們到底在談什麼? 〉
電子支付與信用卡都是支付工具 信用卡本質是銀行授信或借款
信用卡的法律關係主要涉及持卡人、發卡銀行和特約商店三方關係。持卡人授權銀行代為支付,銀行墊付後再向持卡人請款。因此,信用卡契約的核心是發卡銀行基於對持卡人的信任而核發的金融工具。由於信用卡除發卡銀行外,還有Visa或Mastercard等國際連結支付網絡組織參與,它們為交易提供清算和結算服務,並負責建立和維護信用卡交易的規則,讓持卡人與發卡機構和商家之間的交易得以順利完成,也建立較為完整的爭議款項處理機制。
通常而言,若消費者發現信用卡帳款有誤,應先與店家溝通,若無法解決,要在時效內向發卡銀行申訴。發卡銀行收到申訴爭議申請後,會將爭議案件提交給信用卡國際組織 (如Visa, MasterCard),後續由商店所屬的收單銀行進行調查並回覆調查結果。若收單銀行同意,爭議款項將會退還至消費者的信用卡帳戶;如被收單銀行駁回,則發卡銀行會詢問是否願意提交給信用卡國際組織進行仲裁。然而,若交易已完成安全驗證 (如 3D OTP驗證碼、行動支付綁定) 且卡片並未遺失或被盜,則無法以「否認交易」為由進行爭議款處理。
電子支付綁定信用卡:透過信用卡儲值,錢在電子支付機構帳戶
依據電子支付機構管理規則第17條規定,電子支付機構受理使用者以本人的信用卡儲值。一旦儲值後,錢就在電子支付機構中。只是透過信用卡儲值只能以新臺幣為限,且對於以信用卡儲值的款項,限供代理收付實質交易款項使用,不得進行國內外小額匯兌、提領、借貸款項及繳納信用卡帳款。
此外,為同時保障電子支付及信用卡的使用者,以及發卡銀行權益,電子支付機構應訂定儲值限額及風險控管機制,並於服務網頁及使用者每次利用信用卡進行儲值時,以顯著文字通知。對於約定連結信用卡進行自動儲值的服務,應與使用者約定每筆及每日自動儲值的限額,並提供使用者調整限額及停止自動儲值的機制。
以電子支付綁定銀行存款帳戶付款:銀行帳戶轉帳
另依據電子支付機構業務管理規則第2條規定,使用者可與電子支付機構「約定連結存款帳戶付款」。這個運作機制允許電支機構可依據消費者和銀行之間的約定,向銀行提出扣款指示,連結消費者存款帳戶進行「轉帳」,由電子支付機構收取支付款項,並於消費者電子支付帳戶或儲值卡記錄支付款項金額及移轉情形。
白話說就是,電子支付業者可在消費者同意綁定銀行帳戶下,直接(由電子支付發出訊號給銀行)或間接(由電子支付機構透過財金公司發出訊號給銀行),進行綁定銀行帳戶扣款。完成之後,消費者就可以直接以自己的銀行帳號扣款,這也避免了過度的信用擴充。
電子支付機構定型化契約對消費者的保障
為保障電子支付的消費者,金管會對於電子支付機構與使用者之間,針對使用者使用電子支付機構業務服務所簽訂的定型化契約訂有「電子支付機構業務定型化契約應記載及不得記載事項」,針對使用金額上限、被盜用遺失的處理、遭盜用損失歸屬等,均有明文規定。
電子支付之使用金額上限
實務上,電子支付機構對於每一位使用者都會依身分認證等級的不同,而對使用者電子支付帳戶每月累計代理收付實質交易付款與收款金額、儲值餘額及國內外小額匯兌的金額,訂定不同上限的「身分確認及設置交易限額」措施。雖然看似對於使用者的限制,但若遇到被詐騙或盜刷時,金額的限制也可視為一種保護。
被盜用、遺失或被竊的處理
電子支付機構或使用者於發現第三人冒用或盜用使用者持有的電子支付帳號、密碼或憑證、記名式儲值卡等資料,或有其他任何未經合法授權的情形時,應立即以電話或約定之方式通知他方停止電子支付機構業務服務並採取防範措施。
如電子支付儲值卡有遺失或被竊等情形,使用者如有向電子支付機構掛失,自完成掛失手續後被冒用或盜用所發生的損失,應由電子支付機構負擔。但依前款完成手續後12小時內,就非線上即時交易被冒用或盜用所發生的損失,應由使用者自行負擔。
第三人冒用或盜用的損失歸屬
依據「電子支付機構業務定型化契約應記載及不得記載事項」第六點第四項規定,使用者依第二項規定通知電子支付機構前,其電子支付帳戶因第三人使用電子支付機構業務服務已發生之損失,由電子支付機構負擔。但如果有以下任一種情形者,則由使用者負責。
包含:(一)電子支付機構可證明損失是因使用者的故意或過失所致。(二)使用者未於電子支付機構以電話或約定的方式通知核對資料或帳單後45日內,就資料或帳單內容通知電子支付機構查明。若使用者有特殊事由(如長途旅行、住院等)導致無法取得通知且經使用者提供相關文件者,以該特殊事由結束日起算45日。但電子支付機構有故意或過失者,不在此限。
這裡也解釋了,本文一開始金管會所說的「非消費者過失的部分,基本上電子支付機構都要負責」,如果電子支付機構無法舉證時,應負賠償之責;反言之,若自行交付或聽從他人指示操作或提供相關帳號、密碼、驗證碼等,則使用者應負擔相關責任。
民眾應有的防詐意識
- 民眾首先要瞭解以信用卡綁定電子支付、以銀行帳戶綁定電子支付及信用卡本身等不同方式的支付工具的機制與特性。
- 善用電子支付機搆的儲值金額上限與交易通知。設定適合自己的儲值金額上限及交易通知是可以在最短時間內得知是否有異常交易的機制。
- 由於目前許多交易都採取一次性密碼(OTP,又稱動態密碼或單次有效密碼)進行第二次身分驗證,為避免詐騙集團以假冒OTP方式騙取消費者,因應金管會要求,傳送OTP簡訊中,至少必須註明包括目的、金額和幣別3大要件。建議使用者要仔細閱讀交易通知或OTP簡訊內容。若消費金額跟幣別不符,或者沒消費卻收到通知,則很有可能是詐騙簡訊,要趕快跟電子支付機構確認。
- 定期檢查帳單。在前述電子支付機構業務定型化契約中,若核對帳單發現異常是在45日內,則該項被盜用產生的損失,原則由電子支付機構負擔。
- 若發現有疑似被盜用或詐騙情形,立即通知電子支付機構掛失。電子支付機構若發現該電子支付帳號或儲值卡涉嫌詐騙、洗錢等不法情事時,均會要求使用者於收受通知日起5日內向當地警察機關報案。使用者應收到電子支付機構通知後5日內向警察機關報案並提出報案證明,才有可能免責,而不用負擔遭盜用或詐騙的損失。
綁定信用卡真的比較安全嗎?
其實從資訊安全的角度,電子支付機構的資訊安全要求相當嚴格。不僅在規格及資安標準要求不低,還要出具獨立第三方的對於資訊安全標準的查核報告。電子支付機構業務管理規則更規定由聯徵中心訂定對電子支付機構資訊安全控管的標準,並定期查核電子支付機構的資安控管及業務狀況。
從電子支付定型化契約的保障來看,並沒有區分電子支付綁定信用卡扣款,或電子支付綁定存款帳戶扣款,而有不同層度的保障。原則兩者安全性是一樣的。只要是非消費者過失的部分,基本上電子機構都要負責。然而,或許因為信用卡本質是銀行墊付的先消費後付款模式,且有國際間較為一制性的爭議款處理機制,因此才會有專家表示以信用卡綁定扣款較為安全。
電子支付機構管理條例自民國104年立法迄今已10年。筆者日前才受邀參加中華民國電子支付商業同業公會的成立大會,見證台灣電子支付產業的里程碑。金管會也於10月14日指定「中華民國電子支付商業同業公會」為電子支付機構管理條例第44條第1項之同業公會。然而,不同的支付方式與工具,本質都是信任。筆者認為,藉由這次全支付事件,與其恐慌,不如藉此好好瞭解各項支付工具之特性及其相關法律與保障,在詐騙氾濫的時代具有防詐意識,才能建立有意義的信任,較為安心享受使用電子支付之便利與效率。(作者陳言博為益思科技法律事務所律師,也是中華民國第三方支付服務業商業同業公會法律顧問)
