網路支付界定監管邊界

本文選自2015年9月14日出版的《財新周刊》第36期

記者：張宇哲

8月28日，中國的第三方支付行業領略到了早秋的一絲涼意：浙江易士企業管理服務有限公司的支付業務牌照被依法註銷。這是270家第三方支付企業中第一家被註銷牌照的機構。央行的公告稱，易士公司存在大量違規挪用客戶備付金、偽造變造交易和財務資料、超範圍經營支付業務等嚴重違規行為。

8月底也是網路支付新規徵求意見結束的日子，而監管閘門一旦啟動，網路支付也將從野生狀態步入規範之旅。7月31日，央行在官網發布了《非銀行支付機構網路支付業務管理辦法（徵求意見稿）》（下稱《徵求意見稿》），徵求期為一個月。此後，圍繞著支付賬戶實名制、身份驗證、支付限額管理，一度引發網路熱議。隨著相關部門的不懈解釋，消費者對於便捷性的疑慮逐漸化解；而對於監管機構和支付企業，圍繞著監管邊界的博弈，仍在進行。

安全底線

網路支付新規引發爭議的一個原因在於，監管者和公眾對於網路支付的風險，並不在同等的認知層面上。

在央行近日的一份內部報告中，列舉了近年支付機構的風險案例和支付系統漏洞：一是支付賬戶普遍未落實賬戶實名制。不少機構為「黃賭毒」、洗錢、恐怖融資及其他違法犯罪活動提供便利。有的支付機構通過開立大量假名支付賬戶，為境外賭博機構提供支付交易高達數千億元。二是挪用客戶資金事件時有發生。多地屢次引發消費者上街和圍堵政府部門事件。三是疏於安全管理。客戶資金和信息安全機制缺失，對消費者的信息和財產安全構成嚴重威脅。四是缺乏消費者權益保護意識，誇大宣傳、虛假承諾，普通消費者維權困難。該報告還稱，2014年至今，人民銀行全系統金融消費權益保護部門受理的網路支付類投訴，已佔互聯網金融類投訴的95.06%。

然而，風險事件不容易為大眾感知。《徵求意見稿》旨在保護消費者權益採取的種種安全措施，卻被廣泛誤解。「快捷支付由銀行驗證」「實名開戶需多個外部渠道驗證」，這兩個安全升級要求最受業界關注，因為這意味著支付機構和銀行要增加技術改造成本。

《徵求意見稿》要求，線上實名制開戶需要以五個外部渠道驗證（綜合類賬戶）或三個外部渠道驗證（小額消費賬戶）。這引來用戶基礎較大的支付機構的反彈，認為難度太高。對此，央行在公開解釋中稱，「具體驗證渠道包括但不限於公安、工商、教育、財稅等管理部門及商業銀行、徵信機構等單位所運營的，能夠有效驗證客戶身份基本信息的資料庫或系統。」

在一位支付業資深人士看來，普通客戶註冊門檻並沒有提高，提高的是支付機構的獲客門檻。「注意，是後台驗證方式。既然在後台，普通客戶是感覺不到的。」他強調說，目前支付企業通用的驗證渠道已經有兩種，即身份證號碼連接公安網+綁定銀行卡校驗。「再找另外三個，比如多張銀行卡、第三方徵信機構或稅務數據等，並不難；任何門檻沒有技術手段實現不了的，關鍵是想不想。」

對於銀行卡快捷支付的交易驗證方式，《徵求意見稿》第15條規定單筆金額200元以上的支付業務，由銀行進行客戶身份和交易驗證。這也激起了反彈。目前，快捷支付不驗證銀行卡密碼，不需U盾、口令或網銀，安全隱患大，近年因此造成的網路支付糾紛快速上升。其實第15條並非新規，2012年、2014年銀監會和央行已陸續發布文件，規範快捷支付流程，對客戶身份認證、交易限額、賠付責任等出台了相關規定，明確由銀行驗證交易及客戶身份確認。

比如，央行與銀監會聯合下發的10號文，要求首筆交易的客戶應在銀行端做實名認證；如果不能線下認證，應通過快捷支付轉至銀行頁面完成。然而，目前客戶均是在快捷支付頁面完成認證，這意味著其支付指令是傳遞給第三方支付機構，再由後者傳給銀行。這種模式的問題在於，難以讓銀行得知足夠的客戶信息，不能確保支付指令來自客戶本人，難以及時提醒客戶。當快捷支付發生大額資金損失時，用戶維權成本高。一旦發生糾紛，銀行和支付機構的責任劃分不清。

工行前行長楊凱生和農行副行長李振江都曾在公開場合表示，快捷支付糾紛越來越多。雖然快捷支付很方便，但它是基於第三方支付機構弱實名認證賬戶、無磁卡、無密令的高風險產品，由於客戶身份認證級別比較低，對客戶資金安全構成較高威脅。「客戶經常投訴通過支付寶(資金)被劃轉了，但客戶賬戶在銀行，銀行處於一個被動的狀態。這些問題都需要找到解決的辦法。」楊凱生稱。

對此，財新獲悉，央行可能明確快捷支付的原則底線。「銀行和支付機構必須簽訂協議，明確一旦發生支付糾紛，誰是第一責任人，避免消費者被踢皮球；在此底線之上，是由銀行還是支付機構驗證交易，由雙方協商。」接近央行支付司的人士透露。

解決多頭連接隱患

網路支付機構的另一焦點在於，由於第三方支付機構在各家銀行開設大量備付金賬戶，結合其相對封閉的支付賬戶體系，促使第三方支付機構具有了央行或特許機構的跨行清算職能。簡單地說，就是客戶的資金在支付賬戶里轉來轉去，並不體現在其相應的銀行賬戶里，而是由支付機構與各家銀行做凈額結算。客戶在支付賬戶里的餘額越大、行為越複雜，監管機構對於風險控制的擔心也就越大。

財新記者獲悉，針對前述備付金賬戶多頭連接、資金賬戶的關聯關係複雜且透明度低等痼疾，中國支付清算協會正在醞釀搭建針對第三方支付機構的跨行清算平台，作為整個支付行業的共有、共享平台，將由協會的會員單位出資建立，包括支付機構和銀行都可以參與入股，共建共用。對這一系統如何設計，中國支付清算協會已經醞釀兩年。

按照2013年6月央行發布的《支付機構客戶備付金存管辦法》，第三方支付機構開設的備付金賬戶最多不超過五家銀行，業內統稱「一托四」，即一家備付金主存管銀行賬戶+四個備付金賬戶（備付金存管賬戶、收付賬戶、匯繳賬戶、支付機構自有資金賬戶）。此機制是為了有效杜絕支付機構通過分支機構開立多個賬戶、進行多賬戶間操作和進出的可能性，便於統一監管支付機構備付金，從賬戶體系上保證備付金的安全。

但在實踐中，第三方支付機構大多數是「一托幾十個備付金賬戶」。支付寶最多時是「一托200多個備付金賬戶」，即在200多家銀行開設有備付金賬戶，雖然去年已經開始整改，但至今支付寶還在100多家銀行分支機構中開設有備付金賬戶。加上第三方機構的封閉賬戶體系，這相當於支付機構扮演了跨行清算的央行角色。「閉環資金不透明、信息來源不明、交易不留痕，支付賬戶間的資金信息交流以及資金劃撥，央行都監測不到，不利於央行的監管，也不知道規模有多大，只能由支付機構自己上報。一旦發生流動性風險，很容易被互聯網企業放大為系統性風險，沒有幾家支付機構能承擔得起。」央行支付司一位人士表示。

事實上，近來股票市場上為場外配資提供賬戶系統支持的HOMS系統正與此相仿，因其賬戶體系的不透明，迅速加大了資金槓桿，進而推動了市場的波動。

一般而言，從各國實踐看，支付清算系統包括以下層次：首先是中央銀行的支付清算系統，在中國是央行的大額、小額支付系統，由央行下轄的清算中心運作，解決各個金融機構之間的所有資金清算往來；其次是各家銀行的行內支付系統，如銀聯、Visa、Master Card等，銀行卡的服務對象主要是自然人；其三是銀行卡之間的轉接清算系統，如銀聯、Visa、Master Card；最後是第三方支付系統。按照國際慣例，第三方支付，比如Paypal的銀行卡支付行為，要通過Visa等清算機構渠道。在中國，原則上第三方支付應通過自身的備付金存管行接入清算系統。

中國的第三方支付機構發展出獨立的清算系統，是不得已而為之的。「2004年，阿里曾找銀聯商談解決電商的網上支付問題，但沒有結果。一方面電商有需求，另一方面沒有專門的清算系統對網路支付機構提供服務。這才有了支付寶的模式。」一位中國支付清算行業協會的專家表示。

根據國務院有關規定，任何機構從事跨行清算業務，都需要得到行政許可。拉卡拉集團副總裁唐凌亦曾表示，如果支付機構要做清算，就應去申請清算牌照，「支付機構就是支付機構，不能做清算，這是不同業務」。

在前述支付專家看來，如果有一個專門服務於第三方支付機構的支付清算系統，央行就可以監測到資金流量和資金流向，類似銀聯繫統一樣可以監測風險，包括反洗錢、反恐怖融資、信息的透明度等，也可以做到交易留痕、可追溯。「從國家安全的角度，必須能查到資金流向，不能使網路支付機構成為監管窪地，不能讓一切違法資金活動通過網路支付機構轉賬，不能存在監管套利的問題。通過這個清算系統平台可以對前述問題有一攬子技術安排。」

「這是一個初步思路，也是為防止每家支付機構都自建清算平台系統，各自為戰，不能共享，不能互聯互通。這是對社會資源的極大浪費，不同的技術標準，也會造成風險漏洞。」央行副行長范一飛如是表示。

「從目前看，搭建前述系統的必要性在不斷增強，而且對於監管來說，是個重要的抓手，從中後台靠技術手段加強管理，否則僅僅靠行政法規從前端來限制不現實。」前述支付專家表示。

「如果沒有法律、沒有監管、沒有技術手段、沒有處罰機制的落實，靠每個商業企業自律，都是空談。」一位法律人士表示。