ZKIZ Archives


第三方支付再套緊箍咒

2014-04-28  NCW
 
 

 

央行和銀監會聯合發佈10號文,從細節規範商業銀行與第三方支付機構的合作◎ 財新記者 張宇哲 屈運栩 文zhangyuzhe.blog.caixin.com|quyunxu.blog.caixin.com 在與第三方支付機構的合作中,商業銀行是壓榨第三方支付機構的壟斷者?還是縱容第三方支付機構不合規經營的姑息者?

近日,銀監會和央行聯手下發《中國銀監會中國人民銀行關於加強商業銀行與第三方支付機構合作業務管理的通知》 (銀監發【2014】10號,下稱10號文) ,從細節規範銀行和第三方支付機構的合作,各地銀監局和商業銀行都收到了這份文件。

10號文延續了此前銀監會86號文和央行5號文的基調,從強調保護客戶資金安全和信息安全入手,在前述兩大文件的監管框架內進一步細化,指出了一些更有針對性的問題。86號文是銀監會於2011年8月下發的加強電子銀行客戶信息管理有關規定,5號文則是今年1月央行下發的關於加強銀行卡業務管理的有關規定。

財新記者獲悉,10號文主要是由銀監會法規部牽頭、銀監會創新部協助制定,央行支付司會簽。

有銀行人士向財新記者表示,10號文的嚴格程度和前述兩個文件一樣。 「以前86號文未完全落實,是因86號文本身不夠細化,此次10號文進一步落實了此前銀行與第三方支付機構合作中的合規瑕疵,更有針對性。 「前幾年對支付機構監管太鬆了, 」他亦透露, 「很多操作規則未合規,是因為支付機構不與銀行配合,其中以強勢的支付寶最為突出。 」支付寶是中國最大的第三方支付機構,是阿里小微金服的核心機構,未在阿里巴巴海外上市的資產內。目前,獲得許可的第三方支付機構共250家,提供網絡支付服務的有100多家。截至2013年底,支付機構共處理互聯網支付業務193.46億筆,金額總計達10.4萬億元。其中,僅支付寶一家,網絡支付業務達120多億筆,支付金額達3.5萬億元。

接近監管部門的知情人士告訴財新記者, 「一些消費者習慣了支付寶的便捷。過去支付寶嫌麻煩,沒認真執行有關操作規則。銀行客觀上起了配合、姑息的作用。大行和支付寶還有談判空間,小銀行和支付寶沒有多少談判空間,如果支付寶不執行規定,小行為了留住客戶也只能遷就。 」10號文要求銀行於2014年6月30日前做好相應的制度及合同修訂工作 ; 5 號文亦要求商業銀行於7月5日前完善涉及銀行卡業務的有關合規制度。至於執行效果如何,業內人士認為,從銀監會86號文到央行5號文,再到此次銀監會、央行聯手發力的10號文, 「都取決於銀行的執行力度。如果銀行嚴格落實,就會改變其面對第三方機構的被動局面」 。

「過去銀行不同心,但現在不同了。

一方面銀行看到第三方支付機構的衝擊較大 ;另一方面,此次是銀監會和央行聯合發文,監管力度加大,銀行應該會比較同心協力。 」一位大行人士表示。

對於10號文 ,第三方支付機構則認 為這是單方面收緊對第三方支付監管力度的信號。支付寶方面表示這個文件不是發給第三方支付機構的,目前還只是從媒體看到有關內容,也沒有從合作銀行處獲知,暫時不予置評。

一位第三方支付機構人士則表示,這個文件基本是對銀行提出了具體的合規要求,而這些要求都將轉化成第三方支付機構的義務。這給第三方支付行業的印象是,監管在漸漸收緊。

但眾所周知,商業銀行永遠並非鐵板一塊,上百家商業銀行及其分支機構都有其各自的利益訴求,這場第三方支付機構、商業銀行與監管的博弈,勢必還將繼續,並挑戰監管的底線。

焦點仍是限額

銀行與第三方支付機構的合作主要體現在快捷支付和網關支付兩個方面。而最近圍繞銀行和第三方支付機構的矛盾,主要是銀行要降低快捷支付的限額,基本要控制在小額的範圍內。 「這觸碰到了支付寶想要大發展的『根』 。 」一位第三方支付機構人士如是說。

所謂快捷支付,是指用戶在網上購買商品時,不需開通網銀,只需提供銀行卡卡號、戶名、手機號碼等信息,銀行驗證手機號碼正確性後,第三方支付機構發送手機動態口令到用戶手機號上,用戶輸入正確的手機動態口令,即可完成支付。

網關支付,即支付機構為用戶提供通道,從支付機構頁面跳轉銀行網銀頁面。這種支付方式可採用數字證書(U盾,即數字簽名)驗證交易,金額不受限制,比快捷支付安全。

10號文在客戶身份認證、信息安全、交易限額、交易通知、賠付責任、第三方支付機構資質和行為、銀行的相關風險管控等方面,提出了針對性要求,包括進一步規範快捷支付和網關支付。

快捷支付額度是由第三方支付機構向央行申請,由央行確定一個區間,商業銀行負責執行,支付限額由每家銀行自定,標準不一。從目前的實際情況看,快捷支付的額度幾度提升後,金額已不能稱之為小額了,有的銀行月累積限額可以達到50萬元。

此次10號文要求對等的安全保障原則。在第三方支付機構資質方面,首先銀行要對客戶的風險承受能力進行評估,客戶與第三方支付機構相關的賬戶關聯、業務類型、交易限額等要與其技術風險承受能力相匹配。

同時,10號文要求銀行應設立與客戶技術風險承受能力相匹配的支付限額,包括單筆支付限額和日累計支付限額。要求銀行向客戶提供臨時調整支付限額的服務,在客戶提出申請且通過身份驗證和辨別後,在臨時期限內可以適當調整單筆支付限額和日累計支付限額。至於限額是多少、臨時期限有多長,由銀行自己決定。

10號文再次重申了客戶身份認證的重要性。要求首次建立業務關聯時,必須通過第三方支付機構和銀行的雙重身份鑑別。此前86號文可由第三方支付機構單獨認證客戶身份,5號文則要求商業銀行識別。10號文再次強調銀行在用電子渠道驗證客戶身份時,應採用雙因素驗證方式對客戶身份進行鑑別。

在交易通知方面,要求客戶應開通至少一種賬戶變動即時通知技術方式,不具備條件的客戶,不得通過銀行與第三方支付機構建立一次性的、多次支付的業務合作。同時,對預留手機號碼且設定短信通知的客戶,要在客戶進行支付時,對第三方支付機構提供的手機號碼和銀行預留的手機號碼,進行一致性檢驗。此外,商業銀行應就大額支付、可疑支付及時通知客戶,對開通短信或其他方式即時通知功能的客戶,應就每一筆支付交易即時通知客戶,通知信息包含但不限於第三方支付機構名稱、交易金額、交易時間等。

在賠付責任方面,10號文要求,商業銀行在與第三方支付機構簽訂合作協議時,對於非銀行直接認證的客戶身份的批量扣款或電子支付,要與第三方機構就賠付責任達成一致。要求對客戶通過大額資金劃轉強化身份認證,確保由客戶本人發出資金劃轉要求。對大額支付、可疑支付要及時通知客戶。從銀行賬戶劃出的支付交易資金,遇到交易終止、失敗應劃回原銀行賬戶。

10號文第十六條則直接針對第三方支付機構的備付金管理出現的問題,強化對備付金監督管理。要求凡涉及備付金存放和資金劃轉的,均應建立每日對賬制度,嚴格執行備付金銀行及備付金銀行賬戶相關監管要求,明確不得使用或變相使用銀行內部賬戶以待清算資金等名義,為第三方支付機構存放客戶備付金。商業銀行應就第三方支付機構備付金存管業務建立統一管理機制,未經總行書面授權,任何分支機構不得直接與第三方支付機構合作開展備付金存管業務。

一位銀行網絡銀行部人士透露,長期以來,支付寶利用手中沉澱的備付金,找各家銀行的各分支行談判,以求利益最大化。 「但這不利於銀行內部的集中管理,也不利於支付寶的頭寸調度。 」

魔鬼在細節中

一方面,第三方支付機構力圖通過快捷支付的便捷吸引更多客戶;另一方面,第三方支付機構也在利用自身的網絡優勢屏蔽銀行的網關支付。 「在用戶體驗的選擇權方面,這是不平等競爭。 」有銀行人士提出。

在銀行人士看來,此次10號文的主要十八條要求中,至少十條是針對支付機構在以往操作中不配合銀行的違規行為,亦凸顯支付機構和銀行在線上支付業務的博弈細節。比如,第十一條,商業銀行應明確要求第三方支付機構不得在未經授權的情況下,屏蔽本銀行的支付界面與接口。

有銀行人士反映,他們發現,支付機構沒給客戶提供可以選擇的銀行網關支付界面,或者銀行支付網關在不顯眼的地方。 「要點開好幾層頁面才能找得到;甚至讓支付寶內部人士親自在頁面找了半天,才在個性化設置中才找到銀行卡支付界面, 」他抱怨說, 「支付寶刻意屏蔽銀行支付界面,但客戶不會抱怨支付寶,只會抱怨銀行沒提供這個服務,銀行比較冤。 」他同時強調, 「如果按照便捷原則,支付機構應該平等地為客戶提供選擇。比如,客戶需要支付1萬元或更多時,可能會認為從銀行網關支付比較放心。但是如果支付機構不給客戶提供這個通道,把銀行網關屏蔽了,這就是人為製造銀行和用戶的矛盾。 」據知情人士透露,支付寶和180多家銀行合作,在支付寶界面僅僅為不到20家銀行提供網關接口。 「小銀行沒有談判能力,支付寶只給提供快捷支付接口,不給開網關支付 ;客戶就享受不到銀行提供的網關支付服務。 」一位銀監會人士亦稱。

在安全性方面,10號文第十七條稱,商業銀行應採取技術措施保障來自第三方支付機構的傳輸數據(如客戶數據、交易數據等)和操作指令(如支付指令、身份驗證指令等)的完整性、一致性和不可抵賴性。對不具備對等安全保障能力的第三方支付機構,原則上不予合作。

「10號文的目的並不是終止合作,而是要求支付機構整改,強調對等安全。 」銀行人士表示,因為一旦發生資金糾紛,客戶首先會先找商業銀行的責任,因為資金在銀行保管,但支付行為是在第三方支付機構發生的,很容易扯皮。這種糾紛的結果,即便支付機構承諾賠償了,但也損害了銀行聲譽,這是讓商業銀行最為惱火的地方。而小銀行更為弱勢,在發生糾紛與支付寶談判賠付時,甚至自己墊付賠償資金,聲譽損 失和資金損失都由銀行承擔。 「銀行挺被動,支付寶太強勢,又擅長利用輿論,加上以往銀行服務意識的確不夠,銀行吃了啞巴虧,往往有苦說不出。 」他說。

一位股份制上市銀行人士向財新記者透露,通過快捷支付發生的糾紛,每個月賠償金額幾十萬元,規模越大的銀行可能賠償金額越多。

財新記者也從一家大行瞭解到,該行通過快捷支付的風險案件逐月增加。

比如,據該行統計,2013年1月到9月期間,在淘寶上通過快捷支付方式交易的爭議筆數上升較快,從100多筆上升到近600筆,欺詐金額從15萬元增加到60 萬元。有爭議的筆數包括欺詐和詐騙。

欺詐,指客戶否認交易或自己將銀行卡信息洩露導致資金損失;詐騙,指客戶承認被騙自行洩露銀行卡信息、驗證碼 或被騙支付。 「這僅僅是一家銀行的部分統計數據。這說明快捷支付的風險問題不容忽視。 」這位銀行人士稱。不過,他也承認,在這些糾紛中,支付寶最終都賠付了,雖然過程頗費周折。

接近支付寶的知情人士則認為,關於安全的議題,基本前提都是以「第三方支付是更不安全的,風險控制是更差的」為假設,因此推導出所有的規範也都是合理的。但目前沒有數據和事實支持第三方支付是更不安全的。

工商銀行原行長楊凱生則在第三屆嶺南論壇上表示,現在快捷支付的糾紛 越來越多,客戶經常投訴,支付寶裡的錢被劃轉了,如何判定這是否是客戶真實意願,涉及很多問題。客戶的賬戶在銀行,但銀行處於被動狀態,這些問題 需要找到解決方案。

如何加強信息安全

在加強銀行內部風險防範方面,10號文要求銀行將與第三方支付機構的合作需納入全行業務運營風險監測系統的監控範圍,達到風險標準的,應組織核查,特別是對其中大額、異常的資金收付要逐筆監測。銀行應構建安全的網絡通道(如果專線連接、VPN 通道等) ,制定安全邊界(如部署防火牆、DMZ 隔離區等) ,防止第三方機構越界訪問。

據銀行人士解釋,所謂越界訪問,是指快捷支付的功能超出了銀行的授權範圍。通常銀行對支付接口的用途設定一定的授權,比如只能用於繳納水電煤氣費,但一些第三方支付機構在操作中存在擴寬支付接口用途的行為,將之延伸到購物等領域,但商業銀行並未給其授權, 「支付機構就偷偷摸摸地幹了。

如果支付機構想從這個接口處理其他業務,可以和銀行談在明處,銀行會按照合規性的要求來合作」 。

比如,銀行授權支付寶的個人信息只是用於支付,但淘寶可能就會給客戶推送一些廣告, 「在這個過程中,銀行和支付機構共享的客戶信息越多,信息保護安全性越差」 。

10號文第十五條還要求商業銀行對客戶通過第三方支付機構進行的交易,建立自動化的交易監控機制和風險監控模型,對資金情況實時監控,及時發現和處置異常行為、套現或欺詐事件。

「這一條能否落實,取決於支付機構首先應按照去年央行下發的《銀行卡收單管理辦法》的規定,把明細的完整交易信息傳輸給銀行,包括交易信息、真實場景、商戶名稱等信息,銀行才能據測此建立風險識別監測模型。 」前述銀行人士稱,目前,無論買理財、水電煤費、購物等,銀行只能看到有資金通過第三方支付機構交易,但無法得知資金用途。

按照《銀行卡收單管理辦法》的規定,交易信息至少應包括:直接提供商品或服務的商戶名稱、類別和代碼,受理終端(網絡支付接口)類型和代碼,交易時間和地點(網絡特約商戶的網絡地址) ,交易金額,交易類型和渠道,交易發起方式等。網絡特約商戶的交易信息還應當包括商品訂單號和網絡交易平台名稱。但實際操作中,大多數第三方支付機構發送給銀行的信息並不包括二級賬戶的信息,即銀行只能看到這筆第三方交易,但無法得知資金具體流向和用途,就無法向客戶提示風險。

他介紹說,銀行卡對每一筆交易的詳細信息都會短信提醒給客戶,降低出現偽卡盜刷現象,有利於識別風險。比如一天之內,某張銀行卡在泰國和歐洲各發生了一筆交易,商業銀行就會短信提醒,確認是否系卡主本人的支付行為。

「其實這些交易信息支付機構都掌握,只是支付機構的信息提醒沒有銀行這麼細; 另外,支付機構想把銀行給屏蔽掉,讓銀行慢慢失去這個客戶的信息,讓客戶直接面對第三方支付機構。 」他亦強調,銀行和第三方支付機構合作順利的前提,是雙方都遵守監管規定、合法合規。 「比如,在快捷支付方面,此次銀行並未下調騰訊財付通的支付額度,單筆支付限額都在幾萬元,這也是雙方都尊重規則的結果。身份識別、交易驗證,這些都是保護客戶資金安全的最基本的底線,全世界都一樣。 」為何各大行對於支付寶和財付通的快捷支付政策不同。業內人士認為,這或許和財付通推出的理財通產品之安全性有關係,理財通的申購贖回要求必須是原卡申購原卡贖回,而餘額寶在贖回時可以跨行,這增加了安全上的難度。

財新專欄作者信海光撰文表示,此前攜程網信用卡支付信息洩密事件,關鍵就在於如何合規對待用戶信息上。攜程網操作不規範,不但存儲了CVV2碼 等按照國際慣例不該存儲的信息,而且沒有加密,使得信用卡支付這種安全的支付方式也變得不安全。 「沒有絕對安全的支付方式,關鍵在於操作者是否規範,相關的保障制度是否健全。 」一位消費者則告訴財新記者, 「某天第二次用快捷支付時,發現信用卡號碼都被記在裡面了,直接輸密碼就完成支付,這樣是很快,但是感覺好沒安全感。 」一位不願意透露姓名的第三方支付公司高管表示,創新不能沒有底線, 「很多第三方支付從業者不是不明白,是裝糊塗,總是習慣用情緒化的抱怨來代替說理。 」

 
PermaLink: https://articles.zkiz.com/?id=97219

Next Page

ZKIZ Archives @ 2019