央行网络支付新规意在寻求效率与安全的平衡.pdf

城市金融研究所 研 究 报 告 央行网络支付新规意在寻求效率 与安全的平衡 要点
第三方支付为消费者提供了便捷的支付结算方 式，提高了支付系统的效率，但客户资金被盗、 信息泄露、套现洗钱等风险也时有发生。7 月 31 日，人民银行发布《非银行支付机构网络支付业 务管理办法（征求意见稿）》，以效率与安全为原 2015 年第 89 期 则规范网络支付的发展。 2015.08.19
对网络支付严格监管是国际惯例。如美国将第三方 支付视为传统货币服务的延伸，并将原有的法律框 架延伸至第三方支付，实现金融体系的一致性监 执笔人 执笔人：樊志刚、 樊志刚、杨飞 管；欧盟要求支付机构必须获得相应牌照，且要接 yangfei_csjr@icbc.com.cn 受银行合作伙伴的间接监管。
互联网金融创新应予鼓励，但并非没有底线，罔顾 公众利益和国家金融安全的创新是不可取的。监管 层的风险预判和加强规范之举并不存在偏心之嫌， 更没有压制支付机构发展的意图，对消费者支付体 验的影响很小，微观上有利于消费者权益保护，宏 观上有利于支付体系安全稳定。因此，央行网络支 付新规应当适时推出。 重要声明： 重要声明：本报告中的原始数据来源于官方统计机构和市场研究机构已公开的资料， 本报告中的原始数据来源于官方统计机构和市场研究机构已公开的资料，但不保证所载信息的准确性和完整 性。本报告不代表研究人员所在机构的观点和意见， 本报告不代表研究人员所在机构的观点和意见，不构成对阅读者的任何投资建议。 不构成对阅读者的任何投资建议。本报告（ 本报告（含标识和宣传语） 含标识和宣传语）的版 权为中国工商银行城市金融研究所所有， 权为中国工商银行城市金融研究所所有，仅供内部参阅， 仅供内部参阅，未经作者书面许可， 未经作者书面许可，任何机构和个人不得以任何形式翻版、 任何机构和个人不得以任何形式翻版、复 制、刊登、 刊登、上网、 上网、引用或向其他人分发。 引用或向其他人分发。 央行网络支付新规意在寻求效率与安全的平衡 金融监管的真谛看起来相当浅显，无非在于找寻到一条金融效率与安全的 平衡之道。但现实中，要做到这一点却又相当的难。7 月 31 日，中国人民银行 发布《非银行支付机构网络支付业务管理办法（征求意见稿）》。这是央行第三 1 2 次 就非银行支付机构 （简称支付机构）网络支付业务向社会征求意见。对于我 国当前蓬勃发展的网络支付业务， 《管理办法》旨在保持其创新特性、快捷方便 和优良体验的同时，予以规范化发展，既有效保护消费者权益，又防范支付体 系的系统性风险。但一石激起千层浪。央行支付新规一经发出便引起广泛热议， 各种解读铺天盖地，其中不乏担忧、质疑和误读之声。本文以我国第三方支付 发展状况和国际监管实践为基础，试图对央行支付新规进行客观的分析。 一、网络支付需要在规范中快速发展 （一）近年我国第三方支付取得跨越式发展 我国电子商务的发展曾由于支付问题而停滞不前，卖方不愿意先发货，买 方不放心先付款，对交易双方缺乏约束和监督机制。在买卖双方博弈过程中， 第三方支付平台应运而生。一方面，第三方支付在收付款人之间设立中间过渡 账户，充当资金托管中介，有效降低了网络交易风险；另一方面，第三方支付 集成了各家银行的支付网关接口，一定程度上成为“网上的银联”，商户只需一 次性接入，即可通过平台上的任一银行完成网上收款和账务清算。凭借在信用 担保机制、银行支付网关接口整合、行业支付深度解决方案等方面的创新，第 三方支付机构较好地满足了各类客户的资金收付需求，自身也实现了快速发展。 截至目前，我国共有 270 家企业获得了第三方支付牌照。2014 年，我国支付机 构网络支付交易额达 24.7 万亿元，同比增长 137.6%；2015 年一季度交易额达 9.1 万亿元，同比增长 84.8%。 除了交易规模的快速扩张，第三方支付的功能也取得了较大突破。目前， 其已具备了商业银行存贷汇的基本功能，并形成了相对独立、功能齐全的支付 结算账户体系。除未拥有实体账户介质外，第三方支付账户的储值、支付、结 算等已与银行账户功能十分接近。如可为个人客户提供信用卡免费跨行还款、 1 2012 年 1 月，央行曾就《支付机构互联网支付业务管理办法（征求意见稿） 》公开征求意见。2014 年 3 月，央行就《支付机构网络支付业务管理办法（征求意见稿）》向多家第三方支付机构征求意见。 2 非银行支付机构是指依法取得《支付业务许可证》 ，获准办理互联网支付、移动电话支付、固定电话支付、 数字电视支付等网络支付业务的非银行机构，又称第三方支付机构。 2 银行业研究 2015.08.19 第 89 期 转账汇款、手机充值、机票订购、生活缴费等多项支付服务；为企业客户提供 大额收付款、多层级交易自动分账和一对多批量付款等各种资金结算产品。此 外，第三方支付机构还大举推行“快捷支付”、手机支付、图像识别支付等一系 列创新支付方式，极大地促进了支付便利和电子商务的发展。 （二）第三方支付风险时有暴露 尽管第三方支付为消费者提供了快捷便利的支付结算方式，提高了支付系 统的效率，但由于支付机构的内控和风险管理水平良莠不齐、抵御外部风险冲 击的能力较弱，客户资金被盗、信息泄露、套现洗钱等现象时有发生。同时， 支付机构的资金转移过程脱离了银行和监管部门的监控，对消费者的切身利益 及金融体系的安全稳定造成了威胁。据统计，2014 年至今，人民银行全系统金 融消费权益保护部门受理的网络支付类投诉占互联网金融类投诉的 95.06%。 一是存在客户资金被盗风险。目前，大多数第三方支付机构都开通了“快 捷支付”服务3。这种做法虽然增加了支付的便捷性，但安全性较低，存在较大 的风险隐患。同时，由于第三方支付机构不向银行上传完整的交易信息（如二 级商户名称、交易类型等），使得银行无法监控每笔交易的来源、实际用途、商 户真实信息等，只能被动地为第三方支付提供清算服务，实际已造成了商户管 理与客户资金使用均处于无监控状态。近年来，有多家第三方支付机构被曝出 客户资金不翼而飞。如一南京储户持银行借记卡取现时，发现账户内 3 万多元 资金不翼而飞。经查询发现，该储户的钱被以代缴名义通过上海某第三方支付 企业划转到了他人账户中。这很可能是由于该支付平台受到攻击，导致客户信 息泄漏，不法分子通过技术手段在支付机构的代扣系统中非法绑定代扣服务， 从而导致客户银行卡金额被非法转移。 二是存在客户信息泄露风险。第三方支付机构不仅掌握了诸如证件号码、 手机号码等大量客户真实身份信息，同时还掌握了客户银行卡号、卡片验证码、 卡片有效期、客户住址、电话、交易记录等大量敏感性信息。但是在客户信息 安全保护方面，却明显薄弱于银行体系，存在较大的客户信息资料泄露隐患， 容易引发社会公众对于支付机构系统安全性的信任危机。据央行披露，2015 年 3 客户在进行资金汇划时，不需要使用数字证书等安全校验工具和跳转银行网银，而只要录入绑定手机收 到的动态校验码等信息，即可完成资金的划转。 3 央行网络支付新规意在寻求效率与安全的平衡 1 月，某支付机构泄露了上千万张银行卡信息，涉及全国 16 家银行，截至 7 月 31 日由于伪卡形成的损失已达 3900 多万元。 三是存在套现洗钱风险。大部分第三方支付机构对商户资质缺乏有效管理， 对交易也不予审核与监督，资金的流动过程形成了一个“黑箱”。银行和监管部 门无法获得关于商户与交易的详细信息，无法通过有效手段对洗钱、套现、欺 诈等不法交易实施监控与预警。比如按照监管部门的有关规定，用户通过第三 方支付进行付款操作，要通过银行进行实名身份认证。但第三方支付机构始终 以方便客户为名不愿遵守这一规定。 四是影响宏观调控效果。第三方支付机构可以通过划拨在各银行所开设账 户的资金，实现内部的资金轧清，从而轻易地绕开央行支付清算体系的监控。 这种独立于央行清算体系之外的隐性清算体系的滋生，对有效统计基础货币量 和开展货币政策调控带来了极大挑战。 应当说，经过几年的创新发展，第三方支付的效率得到极大的提升。目前， 如何通过规范发展，使网络支付更加安全可靠已经成为我国网络支付发展过程 中的主要矛盾。 （三）央行以效率与 央行以效率与安全为原则规范网络支付的发展 效率与安全为原则规范网络支付的发展 由以上分析可见，现阶段加强支付机构的业务监管，对于保护消费者权益、 维护金融体系稳定是很有必要的。事实上，央行对第三方支付的监管也非一时 之兴。自 2010 年 6 月出台《非金融机构支付服务管理办法》、正式将第三方支 付纳入其监管范围后，央行陆续发布了一系列监管办法4。这次支付新规也是在 前期反复修订的基础上，再次公开征求意见，尤其是针对支付机构的业务范围、 支付账户余额的资金属性、支付账户的功能与限额、客户支付指令验证、交易 和信息安全等提出了新的要求。 一是明确支付机构支付账户余额资金的属性不同于银行存款。新规提出， 支付账户所记录的资金余额不同于客户本人的商业银行货币存款，其实质为客 户向支付机构购买的、所有权归属于客户并由支付机构保管的预付价值，不受 《存款保险条例》保护。 4 2010 年 12 月，人民银行颁布《非金融机构支付服务管理办法实施细则》 ；2013 年 6 月，出台《支付机构 客户备付金存管办法》 。 4 银行业研究 2015.08.19 第 89 期 二是对支付机构的业务范围提出了禁止性规定。明确支付机构不得为客户 办理或者变相办理现金存取、信贷、融资、理财、担保、货币兑换业务。 三是将个人支付账户划分为综合类和消费类，对不同账户的余额付款功能 和限额做出了规定。即综合类支付账户的余额付款交易年累计不超过 20 万元； 消费类账户不超过 10 万元。但该条款只针对使用支付账户“余额”付款的交易， 客户使用银行账户付款的交易(包括“商业银行网关支付”、“银行卡快捷支付” 等模式)不受限制。 四是根据支付指令验证方式的安全级别，对个人客户使用支付账户余额付 款的交易进行了限定。即支付机构采用不包括数字证书、电子签名在内的两类 （含）以上要素进行验证的交易，单个客户所有支付账户单日累计金额应不超 过 5000 元；支付机构采用不足两类要素进行验证的交易，单个客户所有支付账 户单日累计金额应不超过 1000 元，且支付机构应当承诺无条件全额承担此类交 易的风险损失赔付责任。该条款同样只针对“余额”付款的交易。 央行支付新规这样分类分级的差别化处理，正是贯彻了效率与安全的平衡 原则，既照顾到了客户方便快捷的体验，又能保障支付过程的安全，从而使客 户避免由于支付风险而产生的负面体验。 二、对网络支付严格监管是国际惯例 （一）欧美市场普遍重视对第三方支付的监管 5 第三方支付起源于 20 世纪 80 年代美国的独立销售组织（ISO） 制度。30 余年来，美国的第三方支付业务取得了突飞猛进的发展，诞生了以 Paypal 为代 表的一大批第三方支付企业。但支付并不简单是支付问题，其背后隐藏着信用 作为支撑，支付系统的运行状况直接关系到一国金融体系的安全和稳定。从国 际实践看，欧美发达市场普遍重视对第三方支付的监管。 特别是 2000 年以来，为加强对网络支付等新兴金融业态的管理，欧美主要 国家和地区颁布了一系列适应本国支付机构发展的法律制度，基本搭建起涵盖 交易规则、交易保护、制度标准等内容的法规框架和监管模式，为网络支付的 良性发展提供了重要保证。如美国颁布了《统一货币服务法案》、《美国金融改 5 美国的独立销售组织制度(Independent Sales Organization，ISO)，指收单机构和交易处理商委托 ISO 做中小商户的发展、服务和管理工作的一种机制。 5 央行网络支付新规意在寻求效率与安全的平衡 革法》、《电子资金转移法》等法律法规，从不同角度规范支付机构的电子支付 清算活动。欧盟颁布了《电子签名共同框架指引》、《电子货币机构指引》、《关 于电子货币机构业务开办、经营与审慎监管的指令》、 《境内市场支付服务指令》 等法规，对电子货币机构的业务范围、风险管理等提出了严格的要求。 （二）欧美市场对第三方支付的监管由宽及严 欧美市场对第三方支付监管的指导思想经历了从偏向于“自律的放任自流” 向偏向于“强制的监督管理”的转变。即在发展初期，注重鼓励创新、引导发 展和适度监管，营造良好的外部环境，不抑制网络金融规模的扩大。如欧盟为 鼓励第三方支付创新发展，实行了通用牌照制度，即第三方支付机构只要在一 个成员国取得执照，就可在整个欧盟通用。 当第三方支付经营模式基本成熟后，再逐步增加针对性监管措施，强化规 范监管。在监管目标上，国际监管强调建立和维护一个稳定、健全和高效的第 三方支付体系，保证第三方支付机构和市场稳健发展，进而推动经济和金融发 展。同时，各国监管部门均把消费者保护和反洗钱作为第三方支付监管的重要 目标。在监管原则上，主要采用审慎监管原则、强化监管与支持创新兼顾的原 则以及消费者保护原则，同时强调过程监管和动态监管。在监管模式上，美国 将第三方支付视为传统货币服务的延伸，因而其成为支付中介或客户代理人， 而不是新型金融机构，并由此将原来的法律框架延伸至第三方支付机构，实现 金融体系的一致性监管。在美国，支付机构需取得州一级货币汇付牌照，沉淀 资金不能用于贷款、投资等活动，且需接受联邦和州两级反洗钱监管。与美国 的功能监管模式不同，欧盟对第三方支付的监管基本为机构监管，支付机构只 有在获得电子货币机构营业执照的前提下才能从事相关业务。同时还要求第三 方支付机构必须接受银行合作伙伴的间接监管，严格遵守银行在客户调查、反 洗钱和风险管理等方面的制度要求。 三、现代支付体系的建设离不开银行的作用 （一）互联网金融的本质是金融， 互联网金融的本质是金融，金融的本质是风险管控 国内互联网企业借助信息技术优势，从商品流掌握到客户的资金流、信息 流，再延伸到融资、理财等核心金融领域，打破了传统的金融行业界限和竞争 格局，激发了互联网金融蓬勃发展的浪潮。但从根本上看，互联网金融改变的 6 银行业研究 2015.08.19 第 89 期 只是金融服务的获取方式，其创新发展仍离不开金融的基本功能和属性，互联 网金融的本质还是“金融”。金融最重要的基因和永恒的主题是风险管控。离开 了风险管控，金融的发展将成为无源之水、无本之末。而银行的专长正是风险 管理，长期以来它贯穿银行经营发展的主线。银行在数十年经营中已经形成了 较为完善的风险管理框架和制度，并在实践中不断优化各种风险管控手段和方 法。可以说，银行在防控风险和保证客户资金安全方面的能力要远远领先于第 三方支付机构和互联网企业。 （二）银行在支付体系中拥有不可替代的核心地位 银行的特性和优势决定了其能够在金融市场中发挥“定海神针”的作用， 决定了银行在支付体系中拥有不可替代的核心地位。央行数据显示，2015 年一 季度，全国银行机构网络支付业务交易规模达 645.6 万亿元，同期支付机构网 络支付规模仅 9.1 万亿元。 从信用品牌上看，银行关系国计民生，连通各行各业，维系千家万户，是 我国金融体系中信用等级最高的机构。与第三方支付相比，银行的资金实力雄 厚、渠道产品丰富，客户信任度高，品牌优势明显。从资金结算上看，银行是 社会经济活动的资金流动中枢，非银行支付机构更多处于补充地位和依附角色， 其支付、缴费、代理等业务的起点和终端离不开银行账户，资金划转、备付金 存管等也都需要经由银行来完成。从信息科技上看，银行业向来是技术创新最 活跃的领域。世界上最早的大型计算机使用者就是银行。在中国，银行同样是 信息技术运用的先行者和推动者，在数据处理、数据安全、信息系统和软件研 发等方面具有突出优势，而这对于一些资金实力不强和经营规模较小的支付机 构而言是难以企及的。 “央行+商业银行”构成的支付体系已经有效运行了数百年，迄今在所有国 家仍然发挥着基础和核心作用。无论对于网络支付的创新发展，还是现代支付 体系的建设，都有必要继续充分发挥银行的作用。 四、央行网络支付新规应当适时推出 央行网络支付新规应当适时推出 互联网金融创新应予鼓励，但并非没有底线，罔顾公众利益和国家金融安 全的创新是不可取的。如果对央行支付新规进行全面和客观的分析不难看出， 监管层的风险预判和加强规范之举并不存在偏心之嫌，更没有压制支付机构发 7 央行网络支付新规意在寻求效率与安全的平衡 展的意图，相反完全是出于促进网络支付市场健康发展、维护消费者权益和金 融稳定的目的，最大限度地兼顾了支付行业的创新、规范、发展。 （一）新规对消费者支付体验的影响甚微 央行支付新规公开征求意见后，一些机构和个人对“5000元和1000元限额” 的条款大肆诟病，认为影响了消费者的支付体验。但如果对办法原文稍加研读 就可发现，这完全是不负责任的断章取义和无稽之谈。其一，新规中所有“限 额”指的都是第三方支付账户的“余额”，网购时只有使用账户中的资金余额支 付时，才会受到5000元或1000元限额的影响。其二，如果客户将支付账户余额 转账至本人同名银行账户，是不受限额管理的。其三，根据央行的数据，2014 年61.3%的个人客户使用支付账户余额进行消费、转账、购买投资理财产品等（即 综合类支付账户）全年累计付款金额不超过1000元，80.1%的个人客户不超过 5000元；72.3%的个人支付账户余额仅用于购物消费（即消费类支付账户），且 全年累计付款金额不超过1000元，92%的个人客户不超过5000元。其四，即使超 出限额的客户，也可以通过第三方支付提供的银行卡快捷支付或银行网关支付 的方式对外付款，且无额度限制。综上可见，央行支付新规能够满足绝大部分 个人客户的付款需求，基本不对客户支付体验造成影响，且有效兼顾了效率与 安全。 （二）新规微观上利于消费者权益保护， 新规微观上利于消费者权益保护，宏观上利于支付体系安全稳定 加强消费者保护是金融监管的一项重要目标，也是许多国家互联网金融监 管的重点。尤其是个人消费者在使用网络支付等服务时，自我保护意识和风险 识别能力不足，风险承受能力较弱。消费者在追求和享受支付便捷性的同时， 往往忽视了对自身交易信息的保护和对风险的防范。直到暴露出问题或产生实 际损失，才会意识到金融风险的严重性。因此，央行加强第三方支付的监管， 无论对于微观层面上金融消费者权益的保护，还是对于宏观层面上支付体系的 安全稳定，都是有百利而无一害的。有必要纠正那种认为“加强对非银行支付 的监管，就是不支持创新、就会有碍于互联网金融发展”的片面认识。 （三）央行在鼓励与规范、 央行在鼓励与规范、创新与稳健、 创新与稳健、效率与安全之间做出了较好的平 效率与安全之间做出了较好的平 衡与统筹 银行和支付机构面对产品设计和创新时，在理念上存在较大差异。银行考 8 银行业研究 2015.08.19 第 89 期 虑的因素中，安全性是首要的，并且这一理念贯穿产品设计的全过程。而支付 机构首先考虑的是便捷性和客户体验等因素。互联网时代，客户对便捷要求更 高，但对安全的顾虑也更多了。如何处理好这二者之间的关系是支付服务提供 者和监管部门不得不面对的问题。从央行支付新规的具体表述可见，监管层并 没有限制新兴业务创新的意图和举措，而是努力在鼓励和规范、创新与稳健、 效率与安全之间进行着较好的平衡与统筹。比如，央行在办法条款释义中明确， 付款客户的电子设备需要与生成、读取、识别二维码、声波、光线等信息传输 介质并发起交易的新型受理设备进行交互的业务，目前仍处于研究和探索阶段， 故暂不将此类支付方式纳入规范范畴，以便为其留出探索和创新发展空间。又 如，央行考虑到目前客户对小额支付和日常缴费业务的便捷性需求，对单笔金 额不足 200 元的小额支付业务及公共事业费、税费缴纳等收款人固定且定期发 生的支付业务，允许支付机构代替银行进行交易验证。可见，监管层的考虑是 周全的、政策是务实的，对新兴业务创新并不存在“扼杀”的态度和做法。 （四）实行“ 实行“同类业务同一管理” 同类业务同一管理”的金融监管乃必要之举 为建立平等的竞争环境和监管环境，无论金融机构还是互联网企业开展的 金融活动都应当受到监管，而且应适用统一的监管规则。否则，就会产生监管 套利和监管不公平，导致“劣币驱良币”。目前，我国对商业银行的监管体系已 经成熟规范，但对于互联网企业等从事的金融监管还存在大量空白。为此，有 必要在互联网金融领域实现“一致性”监管，即只要从事的金融业务相同，原 则上就应该受到同样的监管，即所谓的“同类业务同一管理”。对于支付机构， 也应回归其“通道”本职，并按有关规定履行反洗钱、保障客户资金安全和信 息安全的义务。央行新规中，对“支付机构采用不包括数字证书、电子签名在 内的两类（含）以上要素进行验证的交易，单个客户单日累计金额不超过 5000 元”的规定，与央行对商业银行、银行卡清算机构的监管要求是一致的，实际 上也体现了“同类业务同一管理”的理念。 （五）我国对第三方支付的监管路径符合国际常规 国际上对第三方支付的监管经历了从宽松到强化的过程，我国的监管思路 也基本遵循了这一路径。首先在发展初期，行业增势猛，创新速度快，主要采 取自律和宽松的监管模式，防止过早监管可能对第三方支付发展的束缚。其次 9 央行网络支付新规意在寻求效率与安全的平衡 在发展中期，行业达到一定规模后，逐步实施严格的市场准入监管，并过渡到 针对经营行为的动态监管，扩大监管范围、加大监管力度。此次央行拟出台的 支付新规，目的就是对第三方支付业务发展中潜在的风险隐患进行强化监管和 细化监管。未来，随着社会信用体系、金融消费者保护、支付机构自律水平等 条件的不断成熟和完善，第三方支付走上合规发展轨道后，可能再回归适度监 管。 10