自上月央行就第三方支付机构相关业务管理办法征求意见之后,近日银监会和央行再次联手下发10号文。相比之前的文件,10号文从多个方面更加细化了银行和第三方支付机构之间的关系。但业内人士担心,目前只是银行系统收到了此份文件,第三方支付机构方面对此并不知晓。因此,文件的执行力度有待观察
法治周末记者 戴蕾蕾
银监会和央行近日联手下发《中国银监会中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》(银监发【2014】10号,下称10号文),该文件从客户身份认证、交易限额、赔付责任等方面对商业银行与第三方支付机构建立业务关联提出了18条具体要求,并要求银行于2014年6月30日前做好相应的制度及合同修订工作。
多家商业银行向法治周末记者确认,已经收到了这份文件。
这是自上月央行就第三方支付机构相关业务管理办法征求意见,并暂停二维码支付业务以来,又一次针对规范支付的行动。唯一不同的是此次行动由银监会牵头。
支付宝、易宝支付等多家第三方支付机构向法治周末记者表示,他们还未收到10号文。支付宝方面表示,只是从媒体看到有关内容,文件应该不是直接发给第三方支付机构的,暂时不予置评。
业内普遍认为,10号文是监管层对第三方支付的监管再升级。中金公司银行业团队点评称,10号文将使第三方支付机构在快捷支付和数据共享方面面临挑战,但其实际效果取决于执行力度。
社科院金融所银行研究室主任曾刚则认为,10号文主要规范了银行的行为,并对银行与三方支付等机构在合作中涉及风险的责任边界和损失承担等进行了划分,而非对第三方支付监管的升级。
“但对第三方支付机构的影响无疑很大。”中国互联网协会法律顾问赵占领告诉法治周末记者。
第三方支付机构汇付天下相关负责人表示,10号文对于商业银行与第三方支付机构的合作来说,进一步厘清了各自的责任。对合作中一些具体内容,如身份认证、交易限额、风险监控等进行了细化,使合作双方有了可执行的细则,进一步完善了此前监管中的一些空白点。
用户身份双认证
银行与第三方支付机构的合作主要体现在快捷支付和网关支付两个方面。
所谓快捷支付,是指用户在网上购买商品时,不需开通网银,只需提供银行卡卡号、户名、手机号码等信息,银行验证手机号码正确性后,第三方支付机构发送手机动态口令到用户手机号上,用户输入正确的手机动态口令,即可完成支付。
网关支付,即支付机构为用户提供通道,从支付机构页面跳转银行网银页面。这种支付方式可采用数字证书(U盾,即数字签名)验证交易,金额不受限制,比快捷支付安全。
中金公司银行业团队指出,10号文的规定可能会对快捷支付,包括余额宝等的申购产生影响,使快捷支付的开通和用途受限。
10号文指出,“首次建立业务关联时,必须通过第三方支付机构和银行的双重身份鉴别”。中金公司银行业团队指出,此前开通快捷支付时只需要第三方支付机构的身份鉴别,现在10号文增加了银行的身份鉴别——“账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份”。
此外,中金公司银行业团队称,据其了解,银行普遍对支付接口的用途设定了一定的限制,比如只能用于缴纳水电煤气费。10号文指出,“银行应构建安全的网络通道,制定安全边界,防止第三方机构越界访问”。所谓越界访问,指快捷支付的功能超出了银行的授权范围。因此,快捷支付的用途将受限。
与风险匹配的额度
之前,银行和第三方支付机构的矛盾主要集中在快捷支付限额方面。
法治周末记者注意到,10号文的第18条规定中,多次谈到了有关限额问题。而一做法也被业内看做是监管层对此前国有银行下调快捷支付限额引发争议的表态。
据记者了解,快捷支付额度是第三方支付机构向央行申请,由央行确定的一个区间。商业银行负责执行,支付限额由每家银行自定,标准不一。从目前的实际情况看,快捷支付的额度几度提升后,金额已不能称之为小额了,有的银行月累积限额可以达到50万元。
10号文第6条提出,要求银行应设立与客户技术风险承受能力相匹配的支付限额,包括单笔支付限额和日累计支付限额。
“这实际上代表着,监管层认可了此前业界备受争议的四大行下调支付限额的行动。”对于该规定,上海一位第三方支付企业管理人员表示,文件出台后,不排除其他银行将以此为依据跟风下调快捷支付限额。
不过,中国电子商务协会互联网金融助理分析师钱海利告诉法治周末记者,10号文并没有一刀切地限制具体金额,10号文规定:“商业银行应向客户提供临时调整支付限额的服务,在进行身份验证和辨别后,按照客户申请,在临时期限内可以适当调整单笔支付限额和日累计支付限额。”
此前,央行《支付机构网络支付业务管理办法》征求意见稿中显示,个人支付账户转账和消费的单笔金额不得超过1000元及5000元,同一客户所有支付账户转账和消费的年累计金额均不得超过1万元。
风险把控与数据共享
此前,建行副行长杨文升曾在回应快捷支付问题时提到,下调限额的一个原因在于快捷支付是第三方支付企业发起的,银行看不到数据情况,无法把控风险。
记者从多家银行了解到,以跨行转账为例,银行间跨行转账需经过人民银行系统完成,业务处理会留下清晰凭据。
然而,消费者在互联网上跨行转账、支付时并没有资金流动记录。这是因为互联网企业,如第三方支付机构,主要是通过内部系统划转并调整自己相关银行资金头寸来实现的,用户转账、支付信息在相关机构没有留存。特别是快捷支付等不通过开户行网银等验证约束,虽然这种转账支付模式快捷、便利,但如果出现转账支付纠纷,将会出现缺乏第三方记录证明,无法找到交易记录痕迹,金融消费者缺乏追索证据的情况。
针对这一问题,10号文第15条要求,商业银行对客户通过第三方支付机构进行的交易,建立自动化的交易监控机制和风险监控模型,对资金情况实时监控,及时发现和处置异常行为、套现或欺诈事件。
“这一条能否落实,取决于支付机构首先应按照去年央行下发的《银行卡收单管理办法》的规定,把明细的完整交易信息传输给银行,包括交易信息、真实场景、商户名称等信息,银行才能据此建立风险识别监测模型。”一位不愿透露姓名的银行业人士称。
《银行卡收单管理办法》规定,交易信息至少应包括:直接提供商品或服务的商户名称、类别和代码、受理终端(网络支付接口)类型和代码、交易时间和地点(网络特约商户的网络地址)、交易金额、交易类型和渠道,交易发起方式等。网络特约商户的交易信息还应当包括商品订单号和网络交易平台名称。
钱海利告诉法治周末记者,客户和交易信息是大数据环境下第三方支付公司的核心竞争力之一,如果未来要和银行分享,将影响第三方支付公司这些数据的价值。
需要注意的是,从10号文的发布对象来看,目前只发给了银行类和非银类金融机构(银监会管辖范围),第三方支付公司并没有收到上述文件。因此有国有银行业内人士指出,10号文的执行力度有待观察。
