鲁政委:互联网金融监管中美经验镜鉴

若以第三方支付公司为主要业态来讨论，则至少需受以下八个方面的监管：

第一，注册。美国绝大部分州都有《货币服务法案》（MoneyServices Acts），其主要是用来规范非存款性的货币服务机构（non-depository money servicesproviders）的。根据该法律，第三方支付归各州监管，且绝大部分州都要求先取得牌照（btain alicense）才能开展业务。否则，可能会被叫停。

第二，电子转账规则。此类规则主要由《电子转账法案》（Electronic Fund TransferAct，EFTA）和《监管指令E》（RegulationE）组成，主要在需从消费者账户（贷记卡或信用卡）进行支付时适用，此类规则要求事前明确揭示消费者的权利和义务、争议解决机制等。特别是对于未经授权的交易，必须明确消费者需承担的最大损失，在商业银行信用卡交易中一般遵循如下规则：如果消费者2天在内报告，则最高承担50美元的损失；若超过2天，则需要最高承担500美元的损失。

第三，消费信用规则。此类规则主要由《诚实借贷法案》（Truth in LendingAct，TILA）和《监管指令Z》（RegulationZ）组成，主要覆盖消费者信用支付类的业务。此类法规要求债权人明确揭示信贷成本、争议解决机制等。

第四，账单信息规则。此规则主要由《诚实账单规则》（Truth-in-Billing）形成，其覆盖无线运营商（wirelesscarriers），要求其提供准确、清晰、详尽的计费账单。因为浏览网页、下载图片和铃声、网上游戏等往往会借助话费渠道来扣除费用，这要求在账单中能够清楚列示。其监管执行者一般是联邦通讯委员会，而不是传统的金融监管者。

第五，公平贸易规则。此类规则分别由《反不公平、欺诈和滥用法案》（对金融机构）和《公平贸易法案》（对非金融机构）组成，适用于所有的第三方支付行为。如果是金融类机构，则归属消费者金融保护局监管；如果是非金融类机构，则归属联邦贸易委员会监管。

其中需要特别说明的是，对于不涉及外包的非金融类机构造成的消费者数据泄露，会被联邦通讯委员会作为不公平贸易行为进行处罚。但是，如果第三方机构是作为金融机构的外包机构，那么，对其数据安全性要求将适用于对金融机构的数据安全要求规则，即下文将述及的《格莱姆-利奇-比利法案》。为鼓励第三方支付机构加强数据的安全性管理，发挥市场优胜劣汰机制，自2005年开始到2007年，美国已有34个州颁布了法律，要求这些机构定期公开披露数据泄露情况。

第六，消费者隐私保护。该规则主要由《格莱姆-利奇-比利法案》（Gramm-Leach-BlileyAct，GLBA）的隐私和数据安全条款所形成，覆盖对象为金融机构。该法案要求，金融机构在消费者订立合同时和每年都应揭示对消费者的隐私保护规则，并允许消费者根据不同信息类型自主选择私人信息的分享范围；同时，该法案还对涉及消费者的信息安全提出了明确指引和要求。

第七，存款保险规则。该规则由《联邦存款保险法案》（Federal DepositInsurance）（适用于商业银行）和《全国信贷联盟份额保险法案》（NCUA ShareInsurance）（适用于信贷联盟）所确立，其所覆盖的对象为商业银行一定限额以内的“存款”（deposits）和联邦存款保险公司（FDIC）与全国信贷联盟监理署（NCUA）共同认定的“份额账户”（accounts）。关于存款保险法规的适用，从主体角度来说，取决于互联网金融机构是否被认定为存款性金融机构；从账户角度来说，则取决于资金是否存入了被联邦存款保险公司认可的“账户”。

第八，反洗钱。美国是一个高度重视反洗钱的国家，自1970年通过《银行保密法案》对金融机构的客户保密义务进行限制以来，其先后颁布过八部反洗钱法案，而2001年的《美国爱国者法案》（the USA PatriotAct）更是成为了最新的集反洗钱之大成的百科全书。由于美国认为洗钱附属于贩毒、逃税、腐败、恐怖活动和其他犯罪活动，并为之提供了支持，因而，机构如果对反洗钱法规执行不到位，轻则罚款，重则可能会被吊销营业执照、没收与行为相关的财产。具体来说，反洗钱的要求至少包括：对客户进行身份识别；基于“了解你的客户”，对大额交易提交可疑交易报告；保存交易记录五年；制定书面合规计划，至少包括反洗钱的内控程序、对员工就反洗钱开展持续培训的制度安排、合规官的任命和对其他工作人员进行指导、建立外部审计程序，等等。在各类法律风险中，反洗钱几乎是美国涉及接受资金和进行资金汇划机构所可能面临的最重、最大的法律风险。

5、美国的监管实践：PayPal案例

PayPal最初是1998年在美国加州成立的一家非银行第三方支付公司。其目前能够在包括美国在内的全球100多个地区进行支付，只不过在有些地区是被明确视为银行（bank），而不是单纯的第三方支付公司。需要指出的是，后文将能够看到，美国这种银行与非银行监思辨，其实对目前国内监管尺度的拿捏也具有启示。

在消费者保护方面，2006年，美国28个州的检察官曾对PayPal发起诉讼，要求PayPal对消费者澄清：消费网络购物时，是否享受与信用卡消费一样享受《监管指令Z》的保护？PayPal不得不明确表示，因为自己不是信用卡机构，所以，不会承诺《监管指令Z》完全一致的条款，但会明确揭示自己版本的消费者权利和纠纷解决机制条款。但与此同时，PayPal明确承诺完全遵守《监管指令E》的要求，特别是对未经授权交易损失，PayPal承诺客户最高只用承担50美元。

在消费者的隐私保护方面，虽然《格莱姆-利奇-比利法案》主要是针对金融机构的要求，但PayPal主动承诺遵守该法案的条款。

在存款保险方面，PayPal一直在主动征询FDIC的看法，最终在2012年2月得到了FDIC的回复：PayPal受客户委托代理客户存入经FDIC认可的无息账户（FBOAccount）中的资金，可以获得FDIC的存款保险；但是，PayPal本身不是银行，不能享受存款保险，因而，当PayPal倒闭时，滞留在其它环节中的资金并不享受存款保险。

在反洗钱方面，在PayPal发展之初，只需要提供一个电子邮件地址就可成为其会员。但到了2003年，PayPal因在处理非法离岸赌博业务时，被控掩盖非法货币转移、触犯了《美国爱国者法案》，最后不得不花费了一千万美元来进行诉讼和解。此后，PayPal为满足反洗钱要求，管理变得更加严格。比如，在客户身份确认方面，除电子邮件地址外，还要求提供信用卡或贷记卡或银行账户的信息；在对可疑交易的处理方面，PayPal会对发现的可以交易账户进行冻结，除非客户能够逐项说明资金的来龙去脉，否则，甚至会关闭账户；PayPal还明确规定，信托机构不能持有PayPal账户。此外，PayPal还明确提醒，不要与他人共享账户，不要代替他人转账，以免造成不必要的麻烦。

尽管上述规定给客户造成诸多不便，引起客户抱怨，甚至离开，但为了满足监管要求，PayPal仍不得不严格加以执行。

正如我们已经指出的，上一部分讨论的主要是作为“第三方支付机构”得遵守的监管规则。但问题是，PayPal本身是否仅仅只是一家“第三方支付机构”而不是“银行”？如果是“银行”的话，则要接受《联邦银行法》（federalbanking laws）所要求的在资本充足率、法定存款准备金率、存款保险、公司治理等方面更多也更为严格的监管。

2012年3月，应PayPal的主动征询，FDIC曾明确表示：PayPal不是银行。这一度让很不情愿接受像银行一样严格监管的PayPal颇感欣慰，因为其不仅在经营银行方面的经验严重不足，更重要的是，被作为银行监管之后的运作成本要高得多。但FDIC明确表示，其认定不是银行的主要理由却是PayPal“没有取得银行牌照（doesn'thave acharter）”，FDIC还进一步澄清：其观点对州监管者没有约束力，州监管者仍可能将PayPal视为是一家未经许可的银行（isacting as an unauthorizedbank）。显然，FDIC只是简单根据PayPal是否有获得了“银行”的许可来进行认定的，而不是根据其业务实质。