[頭條]網路支付新規引熱議 安全便利再平衡

觀察者言：央行發布的新版非銀行網路支付辦法的「徵求意見稿」引起軒然大波，業內爭議比較大的「限額管理」、「雙因素驗證」乃至多因素驗證的安全性要求，其實此前央行、銀監會早已有所明確規定。

財新記者 張宇哲 李小曉/文

繼兩周前十部委聯合發布《關於促進互聯網金融健康發展的指導意見》（下稱《指導意見》），7月31日下午4點，央行在官網發布《非銀行支付機構網路支付業務管理辦法》的徵求意見稿（下稱「徵求意見稿」），向社會公開徵求意見。

一石激起千層浪。由於「徵求意見稿」要求支付機構不得為金融機構，以及從事信貸、融資、理財等金融類業務的非金融機構開立支付賬戶，並分別針對不同條件設置了5000元、10萬元、20萬元的限額管理，被業內解讀為「徵求意見稿」更偏重銀行利益、第三方支付機構將迎來大變局。隨即引發強烈爭議，特別是互聯網支付行業。

互聯網金融千人會秘書長、宏源證券研究所副所長易歡歡迅速在其微信群表示，「徵求意見稿」對行業發展是「阻止和大幅提高門檻」。他在微信群公開評價稱，「當前限額放在5000元/天，20萬/年，一台Iphone都買不了，我想給冬奧會捐21萬估計還的讓我分兩年捐，基本上把行業發展空間全部封死。」

央行也隨即在當日午夜1點30分左右發布了「就《非銀行支付機構網路支付業務管理辦法（徵求意見稿）》有關問題答記者問」（下稱「答記者問」），迅速回應業內質疑。

「買個Iphone肯定沒問題，只不過是通過第三方支付機構之間付款前5000元，之後的都可以通過有更高級別安全驗證的商業銀行網上銀行進行付款，額度由消費者自己確定。」這位人士強調，「設置這些門檻的目的，是不希望大家都把錢過多的存放在沒有存款保險制度保證的第三方支付機構。」

崇致網路科技（北京）有限公司CEO、前人人貸首席運營官顧崇倫認為，「徵求意見」通過限制支付的賬戶功能，使其回歸通道的本質；「因為支付公司的初衷就是為電商解決小額支付的零散金額問題，但逐步跨越了很多邊界；對於從事線下收單業務的第三方支付機結構影響不大，對於有互聯網賬戶體系的支付機構影響大，但支付寶和財付通由於已擁有網商銀行和微眾銀行，可能存在合理的方式避免相關影響」。

一位從事大數據行業的互聯網資深人士則表示在6月底股災爆發後，由於配資槓桿資金依託恒生電子的HOMS系統，這一互聯網賬戶體系模式的不透明和非實名驗證、不留痕等特點，是放大了股市風險的因素之一，「業內應該已經預感到高層會對互聯網金融開始加強監管了。」

「徵求意見稿」更多從消費者保護的角度提出了一些約束條件，但分析條款可以觀察到，這些要求並非新規。對於業內爭議比較大的「限額管理」和「雙因素驗證」乃至多因素驗證的安全性管理要求，與此前在央行、銀監會對於銀行電子銀行賬戶管理以及規範快捷支付的5號文、10號文等監管要求，並無太大差異。

與去年3月、10月的版本相比，此次徵求意見其實已經有所放寬。知名支付行業人士陳宇（筆名江南憤青）撰文表示，「今天這個版本跟去年版本比較，基本精神是一致的，沒有太大的偏差，相比還略微寬鬆，例如對二維碼支付等一些創新性支付都沒有納入管理之內，確切說也留了很大的空間，去年爭論除了限額異常激烈之外，還有就是二維碼支付，今年在這個上留了口子，還有一個重要的點是去年有進入支付賬戶就不得回提四個字，今年可以同名本人卡無限額劃轉，這些都是更溫和、符合實際的做法。」

「這都是和第三方支付反覆溝通和大數據論證的結果，是在便利與安全之間取得的平衡。」一位接近央行的權威人士透露，此次「徵求意見稿」相當於承認現狀，但著眼規範未來，不希望未來支付機構的沉澱資金繼續過度膨脹。

限額爭議

對於爭議最多的限額問題，社科院清算中心主任楊濤表示，經過多輪徵求意見，目前的版本與第一版相比限額管理有了較大放鬆，並且不是按照網路賬戶轉賬和消費的交易行為，而是根據實名制強弱的賬戶性質，來確定額度，這是比較積極的變化。

「其主要影響到客戶利用支付機構賬戶餘額進行交易支付的行為，避免在支付機構的備付金賬戶里沉澱太多的資金，弱化部分支付機構賬戶體系『隱形』清算結算功能，使其能納入已經放開准入和逐漸規範的銀行卡清算市場」。

與此前版本主要不同之處是，2014年的版本沒有區分支付賬戶功能和開戶條件。新版「徵求意見稿」將支付賬戶分為綜合賬戶、消費賬戶兩種類型。一類是經過了強實名認證開戶的賬戶，是綜合性支付賬戶；一類是非強實名認證開戶，是消費性支付賬戶。

「限額支付」從去年至今，一直是爭議最激烈的焦點。 新版「徵求意見稿」則把責任和權力交給支付機構自主選擇，安全級別越高則功能越強。對於5000元、10萬元、20萬元乃至20萬元額度以上的支付方式，「徵求意見稿」都給出了具體的實施條件。

如果採用了高安全級別的驗證辦法（數字證書或電子簽名），單日累計支付就不受限額約定；沒有高安全級別驗證，則單日累計限額為5000元；在一些小額場景支付的情況下，如果支付機構無條件承擔全額賠付責任，則無需驗證要素，單日累計直接支付的限額是1000元。

其實，這與央行對銀行電子支付的監管規則一致，央行曾於2005年10月底，頒布了針對銀行的網路支付業務管理的「電子支付1號文」，一直沿用至今。

「上限5000元之類的解讀是錯誤的，通過『雙要素』安全級別驗證直聯銀行卡支付並沒有上限。」一位業內人士表示。

一位大行電子銀行部人士告訴財新記者，在實際操作中，在由第三方機構認證的支付方式，特別是通過第三方機構完成交易的資金，脫離了銀行體系監管，銀行的單筆支付額度放開到5萬元以上的很少。對於這一分級調整，一位接近支付寶的人士表示，「支付寶有數億用戶，都面對面開戶肯定做不到，不面對面開戶，按照『徵求意見』的要求需要多種方法安全驗證；支付企業通用的驗證方法是兩種，即身份證號碼連接公安網部驗證+綁定銀行卡校驗，如果再加一層驗證方法，難度很高，能滿足三種驗證因素很難，能滿足五種驗證因素就更難以實現了；這對所有的支付公司影響都很大。」該人士同時認為，以U盾等硬體設備加密做安全驗證的方法還是比較傳統，網路支付機構更傾向於未來通過大數據等智能方法來驗證，在技術手段的思路上，各方不太一致。

風險考量

「徵求意見稿」不鼓勵支付機構開設支付賬戶，對於用於理財投資的綜合類賬戶，實行限額管理。這對支付機構的影響不容小覷，因為賬戶開立是一切業務的基礎，決定了其業務模式的深度。

前述央行人士告訴財新記者，央行的大原則一直未變。希望可以統一到一個賬戶，以客戶為中心集中管理；通過限額將手機支付、第三方支付限定在一定額度的轉賬範圍內，大額走銀行，因為銀行受到嚴格的金融監管和承擔反洗錢的義務。「這都是從金融消費者保護的角度統籌考慮」。

至於前述限額的依據，央行人士表示，根據大型支付機構近年來的業務數據測算，消費類賬戶限額10萬元，綜合類支付賬戶20萬元，已經能夠滿足現有支付機構99%客戶的需要。

「但這並不是說支付機構不能為從事信貸、融資、理財、擔保、貨幣兌換等金融業務的其他機構提供服務，比如餘額寶不能在支付寶開設支付賬戶，但並不意味著支付寶不能為餘額寶提供理財服務。」前述央行人士進一步解釋稱，支付寶轉賬方式有三種，即支付賬戶、銀行卡快捷支付、銀行網關支付。「徵求意見稿」限制了開設支付賬戶，但同時表示支付機構可以通過商業銀行網關支付、銀行卡快捷支付和銀行網關為其客戶提供大額轉賬服務，「這並不矛盾,這和《指導意見》明確互聯網支付定位小額、服務於電子商務和消費類支付是一致的。」

「如果銀行、各類機構都可以在互聯網支付企業開戶，形成一個閉環，它不就等於央行了？」前述人士強調，「而且閉環資金不透明、信息來源不明、交易不留痕，一旦發生風險，很容易被互聯網企業放大為系統性風險。」

楊濤認為，在金融創新加速與混業監管機制不健全的過渡期，「徵求意見稿」利大於弊。要求「支付機構不得為客戶辦理或者變相辦理現金存取、信貸、融資、理財、擔保、貨幣兌換業務」，是在支付機構缺乏與銀行類似的監管約束情況下，避免支付賬戶成為全功能「銀行賬戶」，實現事實上的「金融混業」，從而帶來風險積累和信息的不透明。

有觀點認為，「徵求意見稿」對P2P公司的殺傷力最大。目前為符合銀監會避免資金池的要求，一些P2P的賬戶建立在第三方支付機構的託管賬戶系統。「徵求意見稿」的實施意味著P2P公司無法在第三方支付機構開設託管賬戶。其實此前的《指導意見》已經明確P2P網路借貸機構要明確信息中介性質，並選擇銀行業金融機構作為資金存管機構。

落實難題

「這說明快捷支付其實是大家用的最多的，而如果嚴格執行現有規定，現在的快捷支付流程都是不合規的。」前述銀行人士表示。

去年央行和銀監會已分別發布了規範快捷支付流程的5號文、10號文，都已明確規定銀行與客戶簽訂授權、約定客戶身份及交易驗證方式，交易原則上由銀行驗證。「目前的快捷支付沒有驗證銀行卡密碼，安全隱患比較大，再加上很多老百姓以為保管好密碼就沒問題，安全性上有一定瑕疵；由銀行直接雙因素驗證，可以驗證銀行賬戶密碼，安全保障性更高。

「但5號文、10號文一直並未嚴格執行，推進困難；銀行其實早就有符合監管的快捷產品，但支付機構不配合介面開發，銀行也沒法直接切斷現有介面。」他透露，這次發布的「徵求意見稿」再次明確了快捷支付的流程，未來的執行仍是難題。

在前述大行人士看來，無論是5號文還是10號文，支付機構難以推進的真實動機是「收集銀行客戶信息」。

上海交大安泰經濟與管理學院副院長陳宏民亦認可這一說法，在他看來，第三方支付機構除了支付寶、財付通這樣交易規模大的機構可以獲利，其他機構難以生存，但業內仍然熱衷做支付機構的原因，除了相對銀行牌照準入門檻低，一個主要原因是收集客戶信息。「貼近用戶是關鍵，這比平台還重要。所以，賬戶入口資源的壟斷和各方博弈會越來越激烈。」

這也是網路遠程開戶的開放程度備受互聯網企業關注的主要原因。

楊濤指出，在銀行間支付清算、非銀行支付、證券支付結算這三大體系中，對後兩者加強監管，已經成為最新的全球趨勢，各國對類似第三方支付機構的業務管理都比較嚴格。一方面，監管部門對這類機構往往都有準入牌照，並且有相對嚴格的日常動態監管；另一方面，對於各類非銀行支付組織來說，各國都是引導其開展小額支付清算業務，從而可以避免相關風險，這也符合了全球支付體系的發展趨勢。這一模式的形成，通常需要監管者通過完善遊戲規則、實現外在約束，由此促使支付機構主動調整相關業務重點。例如，PayPal不僅對於賬戶功能分為「強」「弱」多種，而且對大額支付轉賬、非交易性轉賬都看得很緊，經常凍結存在異常的賬戶，背後有監管或規則的潛在壓力。

他建議，「可考慮在借鑒國外經驗基礎上，考慮中國金融改革的特色，嘗試分層監管的模式，在更嚴格的條款下，給予一定的容忍度，因為在金融市場化改革過渡期，許多類似創新也有其存在的意義。」

楊濤強調，支付清算體系也是重要的金融基礎設施，應以支付為著手點，推動跨部門的監管協調，加快推動更高層面的法律規則建設。很多國家的中央銀行除了成立專門的支付體系管理部門，還有專門的支付結算委員會，用於進行監管協調。支付體系應該從過去的技術後台，逐漸走向金融體系的中前台，甚至放到與貨幣政策同等重要的地位。

推薦閱讀：