网络支付“新规”划清了支付机构和银行业务的界限

作者:张宇哲 来源:财新网
2016-01-04 10:51:42
分享

  打了多年舆论战的网络支付新规在2015年底正式出台,新规在尊重创新的基础上,运用正向激励模式,划清支付风险底线。

  网络支付大户腾讯第一时间发文回应称,新规表明“央行创新和开放态度”,两项新规均为“央行给互联网金融业2016年的新年礼物”。

  2015年12月25日,央行发布《关于改进个人银行账户服务 加强账户管理的通知》(下称《通知》),明确了银行账户分类管理机制和远程开户的有关制度;12月28日,央行发布《非银行支付机构网络支付业务管理办法》(下称《办法》),与《通知》的思路一脉相承,《办法》亦采取分类监管机制,并坚持支付账户落实实名制的底线;后者即“了解你的客户”(KYC)原则,是国际上账户审查和反洗钱的基本规则。

  两项新规历经数载修订、几易其稿,也是自2015年7月十部委联合推出《关于促进互联网金融健康发展的指导意见》(下称《指导意见》)后,第一个正式出台的针对互联网金融的管理办法。《指导意见》亦被业内视为互联网金融的“基本法”。

  “在经历了中国网络支付市场十多年的浸淫和洗礼之后,市场从缺乏规矩到有了规矩,很多规则终于清晰而扎实地确立起来。”中行网络金融部副总经理董俊峰评价称。

  《办法》明确了支付机构的风险底线,划清了支付机构和银行业务的界限,以限额和账户安全级别分类的方式界定了类银行业务(如支付、转账、理财)和消费业务的界限,强调支付机构不能越界,亦不得为金融机构和类金融机构如P2P等机构开立支付账户。

  底线之上,《办法》采取负面清单的方式灵活调整,在实名认证落实程度、支付账户转账范围、快捷支付交易验证方式等多层面都放开较大口子,包括安全级别不足情况下的单日交易限额、与银行合作的规定等。

  “新规充分体现了监管智慧,既要保住风险底线,又要直面市场大型支付机构的压力。”某大型银行人士说。

  与此前多个版本征求意见稿相比,“《办法》已经比较成熟和完善,定位明确,直指核心和痛点,贴合监管思路和要求,也符合未来发展需要。”中国支付清算协会秘书长蔡洪波表示。

  《办法》将于2016年7月实行。记者获悉,央行还将发布配套的支付机构分类评价办法,建立持续分类评价工作机制,以应对支付机构实时动态管理;下一步还将由央行各分支行展开账户核查试点工作。

  正向激励

  新规力求使银行和支付机构按照“同一业务、同一规则”的原则公平竞争。这其中可看出监管费尽心思,力求兼顾各方利益,寻求“最佳交集”的努力。

  自2010年以来,以支付宝和财付通为代表的网络支付机构兴起,因其灵活便捷以及网购优势,中国的网络支付市场已发展至亿级客户、10万亿元级交易量的规模,但在快速扩张的同时,业务范围不断突破政策红线,风险频发。

  在《办法》正式出台之前,自2012年初至2015年7月,央行共推出了四版“征求意见稿”,每一次都广受关注,在业内引起巨大争议,掀起巨大舆论漩涡,央行几乎成为众矢之的。

  2015年第四版征求意见稿面向社会公开之后,收到的反馈意见多达50余万条,舆论一边倒地支持支付机构,认为央行“刻板守旧,缺乏创新精神”。不过,伴随着互联网金融风险的不断爆发,舆论也开始认识到支付机构各种创新背后隐藏的风险。

  此次,《办法》首次对整个网络支付业务流程和核心环节的风险管理提出了全面系统要求。针对不同机构的风险等级实行差异化监管,对风险高的机构实行严格监管,对风险小的实行宽松监管。

  《办法》比此前版本更温和,采取了正向激励的灵活管理方式。《办法》要求,支付机构对同一客户在本机构开立的所有支付账户进行关联管理,并根据客户身份核实方式对个人账户进行分类管理,根据实名认证开户的落实情况,从功能和限额方面将账户分为I、Ⅱ、Ⅲ三类。

  其中,Ⅰ类账户为线上开户、只需要一个外部渠道验证客户身份信息,身份验证简便快捷,可以用于消费和转账,考虑到Ⅰ类账户安全级别低,出现假名、匿名账户的风险较高,《办法》对其规定了较低的限额,累计交易限额仅1000元,适合小额、临时的支付需求,如收发红包、AA转账等,微信的绑卡开户方式,就是以银行卡这一外部渠道验证客户身份;为了防范假名、匿名账户,Ⅱ类和Ⅲ类账户为自主或委托现场开户,或以线上开户方式且至少三或五个外部渠道验证身份,其年累计支付或交易额度分别为10万元、20万元。仅实名验证强度最高的Ⅲ类账户除了消费、转账,还具有投资理财功能。

  上述累计额度限制,已经可以满足绝大部分客户的需求。来自官方的统计数据显示,根据代表性支付机构数据,2014年全年使用支付账户余额付款,累计5000元以下的个人客户数量占80.13%。

  此外,《办法》规定,综合评级较高且实名制落实较好的支付机构单日支付限额最高可提升到现有额度的2倍,进而满足客户需求。

  新规利好腾讯微信红包和微信支付,也让此前担心用微信发红包和支付受限制的个人消费者松了口气。比如,如果微信发红包金额已超过1000元,还需要继续对外发红包,追加身份认证的验证渠道就可以成为Ⅱ类或Ⅲ类账户,限额也随之上调。

  2014年春节,腾讯通过红包这一支付场景吸引了大量用户,而微信支付的免费转账功能也带来用户数量的显著增长。截至2015年9月,微信支付和QQ钱包的累计绑卡用户数已超过2亿。

  对于指纹、人脸识别等生物特征识别技术能否作为核验存款人身份信息的主要手段,在央行有关答记者问中已明确表示,银行利用生物特征识别技术能否有效核验存款人身份信息、确保落实银行账户实名制,是生物特征识别技术应用于开立银行账户的关键。目前,中国尚无生物特征识别技术的基础标准,也没有应用于金融领域的国家或行业标准。因此,将生物特征识别技术作为核验存款人身份信息的主要手段的条件尚不成熟。

  不过,按照“鼓励创新、防范风险、趋利避害、健康发展”原则,为探索生物特征识别技术应用于金融领域的可行性,为未来制定相关标准积累经验,央行此次连续下发的两个新规中,都对生物技术特征作为账户开立的核身要素,给了一定程度的认可,即“将其作为核验存款人身份信息的辅助组合手段”。

  对于此前消费者担心支付宝账户不能给他人银行账户转账的问题,《办法》对此也开了口子——原则上支付账户与非同名的银行账户之间不可以相互转账,但安全级别高的A类机构且Ⅱ类、Ⅲ类支付账户实名比例超过95%的支付机构,支付账户与非同名银行账户之间可以相互转账,这相当于也解决了支付宝的后顾之忧。支付宝账户可以免费向他人银行账户跨行转账,这一直是支付宝与银行竞争的优势之一。

  此外,央行已推动商业银行自2016年4月1日起网上银行跨行免费转账。业内预计,未来银行和支付机构的竞争将更趋于同一公平规则,竞争也将更激烈。

  在业内看来,新规将利好大型支付机构,支付市场一轮大规模的洗牌将不可避免。“资本实力、技术能力和市场份额占优的大型支付机构将继续扩大市场占有率;而对于那些仅仅拥有牌照、缺少优势和特色的小型支付机构而言,业务管理的加强、业务模式的限制,将直接压缩其生存空间,支付牌照的价值也会打折。”中国人民大学重阳金融研究院客座研究员董希淼表示。

  实名制底线

  两项新规都强调实名制底线,力求让银行和支付机构在统一规则上公平竞争。

  相较于此前的征求意见稿,央行此次明确给出了便于操作的18种线上方式的外部渠道,用于验证客户身份,客户只需在网上填写相关信息并确认无误即可,不会对客户造成额外的不便。

  不过,在落实实名制的要求上,《办法》对支付机构的要求比银行较为宽松。《办法》根据风险等级将机构分为ABC三类,其中A、B类机构的Ⅱ、Ⅲ类账户实名开户比例要分别超过95%、90%。而对银行实名开户的要求是百分之百落实。

  “理论上,只要有0.1%的账户没有落实实名制,就足以构成洗钱的漏洞。”一位银行人士表示。

  一直以来,支付账户的实名制程度不高。来自中国支付清算协会的数据显示,2014年支付机构的实名支付账户占比不到50%。而银行账户全部为线下现场开户,且经过多年的核查,已经基本实现了账户实名制。

  由支付宝开创的虚拟支付账户的模式,在便利的同时,假名、匿名的风险也较大,且交易资金往来不宜追溯,不利于反洗钱的落实和金融监管。今年股灾中,配资杠杆资金依托HOMS账户系统,由于其不透明和非实名验证、不留痕等特点,放大了股市风险。

  谈到对支付机构实名制的宽松规则,央行支付司司长谢众在媒体吹风会上表示,“这是承认现实的结果,平衡便捷和安全性,但同时监管对支付机构采取限额管理、强化安全性标准,尽可能降低风险。”

  这亦体现了央行对支付机构开放和鼓励新兴行业发展的态度。目前支付宝有6亿账户,号称其中4亿是实名认证,不过这些实名认证并非采用“KYC”规则,安全等级大降。谢众表示,“只要支付机构认真执行都不难达到标准。”

  “关键在于制度如何落地。银行的实名制落实是通过柜面现场开户,怎么证明网络支付机构是通过三个或者五个外部验证渠道在线上进行实名认证的?比如我说我进行了五个渠道的验证,但如何查实?”一位银行人士对此质疑。

  2012年起,央行、银监会曾陆续下发规范快捷支付流程的86号文、5号文、10号文,由于支付机构不配合,如何执行一直是难题。“怎么评估监管的有效性?特别是针对系统性重要支付机构,是否因其‘大而不倒’,就可放松对其要求?”一位大行人士对此反问。

  此前支付行业一直呼吁分类监管,大型支付机构由于风控管理水平相对高,希望可以得到相对宽松的监管,这与金融业监管原则恰好相反,越是系统重要性机构,监管越严格。

  目前,支付机构的备付金规模已经超过2000亿元,而且依然高速增长,其中支付宝沉淀的备付金规模就达约1100亿元,在270家第三方支付机构的备付金总额中占一半以上。大部分备付金是支付账户的余额沉淀,不属于银行存款。《办法》通过限额和分类监管的方式,力求减少资金在支付账户的沉淀,降低系统性风险隐患。

  “对于系统重要性的监管原则,到了支付领域是否适用、如何适用,值得研究。”央行副行长范一飞在接受财新记者专访时说。

  博弈加剧

  《办法》强化了金融消费者权益保护,增加支付机构的信息透明度。要求支付机构必须在服务协议中明示,“支付账户所记录的资金余额,不同于客户本人的银行存款,不受《存款保险条例保护》,其实质为客户委托支付机构保管的所有权归属于客户的预付价值。”

  同时《办法》要求支付机构每年1月31日前,将前一年度发生的客户投诉纠纷、风险事件、客户风险损失发生和赔付等情况在网站对外公告;要求支付机构应建立健全风险准备金和客户损失赔付机制,对不能有效证明因客户原因导致的资金损失及时先行赔付;并对采用不足两类要素进行验证的交易,无条件全额承担客户风险损失赔付责任。

  在线上支付方式中,快捷支付是最主要的方式,也是不法分子盗取客户资金的重灾区。快捷支付仅需要客户的少量身份信息、卡号和手机号即可开通,之后凭借手机短信验证即可实现资金快速的扣划。但在其低门槛和便捷性同时带来了较高的风险:由于手机病毒泛滥、客户个人信息自我保护意识不足,手机号码实名制管理有待加强。央行的一份内部报告显示,支付机构违规在未取得银行授权、且客户未经银行核实真实意愿的情况下即与客户签订快捷协议,扣划客户资金,进一步加剧了快捷支付业务的风险。

  《办法》要求快捷支付开通时,银行和支付机构必须都取得客户的授权,而不是仅支付机构取得授权就能直接去扣客户银行卡上的钱。

  考虑到客户资金安全性,且银行开户均是面签方式,此次《办法》明确快捷支付的交易验证必须由银行做,通过银行留存的客户数据信息进行比对,最大程度上保障客户资金的安全,避免资金被盗划。

  这一规定与原5号文、10号文的监管要求一致,但支付机构在实际运行中一直未落实。在实际操作中,“识别客户取得授权、后续交易验证”两个步骤均由支付机构来做,且由支付宝、财付通做出先行赔付的承诺。目前,银行普遍没有建立赔付机制。

  由于快捷支付涉及客户、支付机构及银行三方,权责关系相对复杂,一旦发生风险损失,客户维权困难。此次针对快捷支付的管理,《办法》最大的变化是,在快捷支付产品中,强化了银行的责任,明确银行是客户资金安全的管理责任主体。为了避免发生纠纷时支付机构和商业银行扯皮,相互推诿,减少客户维权成本,《办法》第10条要求,“银行要无条件全额承担此类交易的风险损失的先行赔付责任。”前提是“支付机构不得代银行进行交易验证”,除了200元以下的交易、还信用卡、公共事业缴费、税费缴纳,其余的交易必须由银行进行验证。

  不过《办法》对A类支付机构开了口子:A类支付机构可以和商业银行谈判协商,自主约定谁来进行交易验证。

  多位银行人士表示,与大支付机构谈判银行不占优势,大支付机构一向强势,以海量客户和便捷为谈判条件,否则不先行赔付,“银行不可能断掉快捷支付的接口,因为银行的客户会不满意。”

  目前,中国的网络支付市场,已形成寡头垄断的市场格局。具有网络支付业务许可的支付机构大约有100多家,其中前10家支付机构占据了市场份额的80%以上,从事网络支付业务的支付机构实力、业务规模相差悬殊。

  艾瑞咨询(iResearch)数据显示,2014年互联网支付行业中,龙头企业支付宝的市场占有率接近50%,排名第二位的财付通占20%左右,第三名是银联商务占11%。从活跃度看,根据易观智库(Analysys)发布的《中国第三方移动支付市场季度监测报告2015年第二季度》数据显示,支付宝的季活跃用户数为1.4亿,位列第一;微信支付排名第二,季度活跃户数为9476.8万,百度钱包和QQ钱包分别以2792.8万和2452.8万活跃户数位列第三、四位。

  不过,有利于银行的筹码是,按照《办法》第37条,出于资金安全的考虑,如果由A类支付机构验证交易,支付机构应在交易中向银行提供完整交易信息,包括交易渠道、交易类型、商户名称、收付款客户名称和账号等交易信息。其实,这一类判断消费者偏好的信息也是银行一直想从支付机构处获得的。

  “最后谈判的结果可能就是维持现状不变,即客户签约,后续验证仍由支付机构来做,支付机构继续承诺先行赔付。”一位银行电子银行部人士表示。

  “银行能否在与支付机构的谈判中取得平等地位,还要在下一步实际操作中观察。”多位银行人士称。

分享