金融监管的真谛在于找寻到一条金融效率与安全的平衡之道。现实中,要做到这一点相当的难。8月28日是《非银行支付机构网络支付业务管理办法》征求意见截止日期。这是央行第三次就非银行支付机构(简称支付机构)网络支付业务向社会征求意见。
此前,2012年1月,央行曾就《支付机构互联网支付业务管理办法(征求意见稿)》公开征求意见。2014年3月,央行就《支付机构网络支付业务管理办法(征求意见稿)》向多家第三方支付机构征求意见。而所谓非银行支付机构是指依法取得《支付业务许可证》,获准办理互联网支付、移动电话支付、固定电话支付、数字电视支付等网络支付业务的非银行机构,又称第三方支付机构。
对于我国当前蓬勃发展的网络支付业务,《管理办法》旨在保持其创新特性、快捷方便和优良体验的同时,予以规范化发展,既有效保护消费者权益,又防范支付体系的系统性风险。但一石激起千层浪。央行支付新规一经发出便引起广泛热议。
樊志刚 杨飞
网络支付需要在规范中快速发展
1.近年我国第三方支付取得跨越式发展
我国电子商务的发展曾由于支付问题而停滞不前,卖方不愿意先发货,买方不放心先付款,对交易双方缺乏约束和监督机制。在买卖双方博弈过程中,第三方支付平台应运而生。一方面,第三方支付在收付款人之间设立中间过渡账户,充当资金托管中介,有效降低了网络交易风险;另一方面,第三方支付集成了各家银行的支付网关接口,一定程度上成为“网上的银联”,商户只需一次性接入,即可通过平台上的任一银行完成网上收款和账务清算。
凭借在信用担保机制、银行支付网关接口整合、行业支付深度解决方案等方面的创新,第三方支付机构较好地满足了各类客户的资金收付需求,自身也实现了快速发展。截至目前,我国共有270家企业获得了第三方支付牌照。2014年,我国支付机构网络支付交易额达24.7万亿元,同比增长137.6%;2015年一季度交易额达9.1万亿元,同比增长84.8%。
除了交易规模的快速扩张,第三方支付的功能也取得了较大突破。目前,其已具备了商业银行存贷汇的基本功能,并形成了相对独立、功能齐全的支付结算账户体系。除未拥有实体账户介质外,第三方支付账户的储值、支付、结算等已与银行账户功能十分接近。如可为个人客户提供信用卡免费跨行还款、转账汇款、手机充值、机票订购、生活缴费等多项支付服务;为企业客户提供大额收付款、多层级交易自动分账和一对多批量付款等各种资金结算产品。
此外,第三方支付机构还大举推行“快捷支付”、手机支付、图像识别支付等一系列创新支付方式,极大地促进了支付便利和电子商务的发展。
2.第三方支付风险时有暴露
尽管第三方支付为消费者提供了快捷便利的支付结算方式,提高了支付系统的效率,但由于支付机构的内控和风险管理水平良莠不齐、抵御外部风险冲击的能力较弱,客户资金被盗、信息泄露、套现洗钱等现象时有发生。同时,支付机构的资金转移过程脱离了银行和监管部门的监控,对消费者的切身利益及金融体系的安全稳定造成了威胁。据统计,2014年至今,人民银行全系统金融消费权益保护部门受理的网络支付类投诉占互联网金融类投诉的95.06%。
一是存在客户资金被盗风险。目前,大多数第三方支付机构都开通了“快捷支付”服务(客户在进行资金汇划时,不需要使用数字证书等安全校验工具和跳转银行网银,而只要录入绑定手机收到的动态校验码等信息,即可完成资金的划转)。这种做法虽然增加了支付的便捷性,但安全性较低,存在较大的风险隐患。同时,由于第三方支付机构不向银行上传完整的交易信息(如二级商户名称、交易类型等),使得银行无法监控每笔交易的来源、实际用途、商户真实信息等,只能被动地为第三方支付提供清算服务,实际已造成了商户管理与客户资金使用均处于无监控状态。
近年来,有多家第三方支付机构被曝出客户资金不翼而飞。如一南京储户持银行借记卡取现时,发现账户内3万多元资金不翼而飞。经查询发现,该储户的钱被以代缴名义通过上海某第三方支付企业划转到了他人账户中。这很可能是由于该支付平台受到攻击,导致客户信息泄漏,不法分子通过技术手段在支付机构的代扣系统中非法绑定代扣服务,从而导致客户银行卡金额被非法转移。
二是存在客户信息泄露风险。第三方支付机构不仅掌握了诸如证件号码、手机号码等大量客户真实身份信息,同时还掌握了客户银行卡号、卡片验证码、卡片有效期、客户住址、电话、交易记录等大量敏感性信息。但是在客户信息安全保护方面,却明显薄弱于银行体系,存在较大的客户信息资料泄露隐患,容易引发社会公众对于支付机构系统安全性的信任危机。据央行披露,2015年1月,某支付机构泄露了上千万张银行卡信息,涉及全国16家银行,截至7月31日由于伪卡形成的损失已达3900多万元。
三是存在套现洗钱风险。大部分第三方支付机构对商户资质缺乏有效管理,对交易也不予审核与监督,资金的流动过程形成了一个“黑箱”。银行和监管部门无法获得关于商户与交易的详细信息,无法通过有效手段对洗钱、套现、欺诈等不法交易实施监控与预警。比如按照监管部门的有关规定,用户通过第三方支付进行付款操作,要通过银行进行实名身份认证。但第三方支付机构始终以方便客户为名不愿遵守这一规定。
四是影响宏观调控效果。第三方支付机构可以通过划拨在各银行所开设账户的资金,实现内部的资金轧清,从而轻易地绕开央行支付清算体系的监控。这种独立于央行清算体系之外的隐性清算体系的滋生,对有效统计基础货币量和开展货币政策调控带来了极大挑战。
应当说,经过几年的创新发展,第三方支付的效率得到极大的提升。目前,如何通过规范发展,使网络支付更加安全可靠已经成为我国网络支付发展过程中的主要矛盾。
3.央行以效率与安全为原则规范网络支付的发展
由以上分析可见,现阶段加强支付机构的业务监管,对于保护消费者权益、维护金融体系稳定是很有必要的。事实上,央行对第三方支付的监管也非一时之兴。自2010年6月出台《非金融机构支付服务管理办法》正式将第三方支付纳入其监管范围后,央行陆续发布了一系列监管办法(2010年12月,人民银行颁布《非金融机构支付服务管理办法实施细则》;2013年6月,出台《支付机构客户备付金存管办法》)。
这次支付新规是在前期反复修订的基础上,再次公开征求意见,尤其是针对支付机构的业务范围、支付账户余额的资金属性、支付账户的功能与限额、客户支付指令验证、交易和信息安全等提出了新的要求。从其中分类分级的差别化处理方式可以看出,央行支付新规正是贯彻了效率与安全的平衡原则,既照顾到了客户方便快捷的体验,又能保障支付过程的安全,从而使客户避免由于支付风险而产生的负面体验。
对网络支付严格监管是国际惯例
1.欧美市场普遍重视对第三方支付的监管
第三方支付起源于20世纪80年代美国的独立销售组织(美国的独立销售组织制度(Independent Sales Organization,ISO),指收单机构和交易处理商委托ISO做中小商户的发展、服务和管理工作的一种机制)制度。30余年来,美国的第三方支付业务取得了突飞猛进的发展,诞生了以Paypal为代表的一大批第三方支付企业。但支付并不简单是支付问题,其背后隐藏着信用作为支撑,支付系统的运行状况直接关系到一国金融体系的安全和稳定。从国际实践看,欧美发达市场普遍重视对第三方支付的监管。
特别是2000年以来,为加强对网络支付等新兴金融业态的管理,欧美主要国家和地区颁布了一系列适应本国支付机构发展的法律制度,基本搭建起涵盖交易规则、交易保护、制度标准等内容的法规框架和监管模式,为网络支付的良性发展提供了重要保证。
如美国颁布了《统一货币服务法案》、《美国金融改革法》、《电子资金转移法》等法律法规,从不同角度规范支付机构的电子支付清算活动。欧盟颁布了《电子签名共同框架指引》、《电子货币机构指引》、《关于电子货币机构业务开办、经营与审慎监管的指令》、《境内市场支付服务指令》等法规,对电子货币机构的业务范围、风险管理等提出了严格的要求。
2.欧美市场对第三方支付的监管由宽及严
欧美市场对第三方支付监管的指导思想经历了从偏向于“自律的放任自流”向偏向于“强制的监督管理”的转变。即在发展初期,注重鼓励创新、引导发展和适度监管,营造良好的外部环境,不抑制网络金融规模的扩大。如欧盟为鼓励第三方支付创新发展,实行了通用牌照制度,即第三方支付机构只要在一个成员国取得执照,就可在整个欧盟通用。
当第三方支付经营模式基本成熟后,再逐步增加针对性监管措施,强化规范监管。比如在监管模式上,美国将第三方支付视为传统货币服务的延伸,因而其成为支付中介或客户代理人,而不是新型金融机构,并由此将原来的法律框架延伸至第三方支付机构,实现金融体系的一致性监管。
在美国,支付机构需取得州一级货币汇付牌照,沉淀资金不能用于贷款、投资等活动,且需接受联邦和州两级反洗钱监管。与美国的功能监管模式不同,欧盟对第三方支付的监管基本为机构监管,支付机构只有在获得电子货币机构营业执照的前提下才能从事相关业务。同时还要求第三方支付机构必须接受银行合作伙伴的间接监管,严格遵守银行在客户调查、反洗钱和风险管理等方面的制度要求。
现代支付体系建设离不开银行的作用
1.互联网金融的本质是金融,金融的本质是风险管控
国内互联网企业借助信息技术优势,从商品流掌握到客户的资金流、信息流,再延伸到融资、理财等核心金融领域,打破了传统的金融行业界限和竞争格局,激发了互联网金融蓬勃发展的浪潮。但从根本上看,互联网金融改变的只是金融服务的获取方式,其创新发展仍离不开金融的基本功能和属性,互联网金融的本质还是“金融”。
金融最重要的基因和永恒的主题是风险管控。离开了风险管控,金融的发展将成为无源之水、无本之木。而银行的专长正是风险管理,长期以来它贯穿银行经营发展的主线。银行在数十年经营中已经形成了较为完善的风险管理框架和制度,并在实践中不断优化各种风险管控手段和方法。可以说,银行在防控风险和保证客户资金安全方面的能力要远远领先于第三方支付机构和互联网企业。
2.银行在支付体系中拥有不可替代的核心地位
银行的特性和优势决定了其能够在金融市场中发挥“定海神针”的作用,决定了银行在支付体系中拥有不可替代的核心地位。央行数据显示,2015年一季度,全国银行机构网络支付业务交易规模达645.6万亿元,同期支付机构网络支付规模仅9.1万亿元。
从信用品牌上看,银行关系国计民生,连通各行各业,维系千家万户,是我国金融体系中信用等级最高的机构。与第三方支付相比,银行的资金实力雄厚、渠道产品丰富,客户信任度高,品牌优势明显。从资金结算上看,银行是社会经济活动的资金流动中枢,非银行支付机构更多处于补充地位和依附角色,其支付、缴费、代理等业务的起点和终端离不开银行账户,资金划转、备付金存管等也都需要经由银行来完成。
从信息科技上看,银行业向来是技术创新最活跃的领域。世界上最早的大型计算机使用者就是银行。在中国,银行同样是信息技术运用的先行者和推动者,在数据处理、数据安全、信息系统和软件研发等方面具有突出优势,而这对于一些资金实力不强和经营规模较小的支付机构而言是难以企及的。
“央行+商业银行”构成的支付体系已经有效运行了数百年,迄今在所有国家仍然发挥着基础和核心作用。无论对于网络支付的创新发展,还是现代支付体系的建设,都有必要继续充分发挥银行的作用。
央行网络支付新规适时推出
互联网金融创新应予鼓励,但并非没有底线,罔顾公众利益和国家金融安全的创新是不可取的。如果对央行支付新规进行全面和客观的分析不难看出,监管层的风险预判和加强规范之举并不存在偏心之嫌,更没有压制支付机构发展的意图,相反完全是出于促进网络支付市场健康发展、维护消费者权益和金融稳定的目的,最大限度地兼顾了支付行业的创新、规范、发展。
1.新规对消费者支付体验的影响甚微
央行支付新规公开征求意见后,一些机构和个人对“5000元和1000元限额”的条款大肆诟病,认为影响了消费者的支付体验。但如果对办法原文稍加研读就可发现,这完全是不负责任的断章取义和无稽之谈。
其一,新规中所有“限额”指的都是第三方支付账户的“余额”,网购时只有使用账户中的资金余额支付时,才会受到5000元或1000元限额的影响。
其二,如果客户将支付账户余额转账至本人同名银行账户,是不受限额管理的。
其三,根据央行的数据,2014年61.3%的个人客户使用支付账户余额进行消费、转账、购买投资理财产品等(即综合类支付账户)全年累计付款金额不超过1000元,80.1%的个人客户不超过5000元;72.3%的个人支付账户余额仅用于购物消费(即消费类支付账户),且全年累计付款金额不超过1000元,92%的个人客户不超过5000元。
其四,即使超出限额的客户,也可以通过第三方支付提供的银行卡快捷支付或银行网关支付的方式对外付款,且无额度限制。
综上可见,央行支付新规能够满足绝大部分个人客户的付款需求,基本不对客户支付体验造成影响,且有效兼顾了效率与安全。
2.新规微观上利于消费者权益保护,宏观上利于支付体系安全稳定
加强消费者保护是金融监管的一项重要目标,也是许多国家互联网金融监管的重点。尤其是个人消费者在使用网络支付等服务时,自我保护意识和风险识别能力不足,风险承受能力较弱。消费者在追求和享受支付便捷性的同时,往往忽视了对自身交易信息的保护和对风险的防范。直到暴露出问题或产生实际损失,才会意识到金融风险的严重性。
因此,央行加强第三方支付的监管,无论对于微观层面上金融消费者权益的保护,还是对于宏观层面上支付体系的安全稳定,都是有百利而无一害的。有必要纠正那种认为“加强对非银行支付的监管,就是不支持创新、就会有碍于互联网金融发展”的片面认识。
3.央行在鼓励与规范、创新与稳健、效率与安全之间做出了较好的平衡与统筹
银行和支付机构面对产品设计和创新时,在理念上存在较大差异。银行考虑的因素中,安全性是首要的,并且这一理念贯穿产品设计的全过程。而支付机构首先考虑的是便捷性和客户体验等因素。互联网时代,客户对便捷要求更高,但对安全的顾虑也更多了。如何处理好这二者之间的关系是支付服务提供者和监管部门不得不面对的问题。
从央行支付新规的具体表述可见,监管层并没有限制新兴业务创新的意图和举措,而是努力在鼓励和规范、创新与稳健、效率与安全之间进行着较好的平衡与统筹。比如,央行在办法条款释义中明确,付款客户的电子设备需要与生成、读取、识别二维码、声波、光线等信息传输介质并发起交易的新型受理设备进行交互的业务,目前仍处于研究和探索阶段,故暂不将此类支付方式纳入规范范畴,以便为其留出探索和创新发展空间。
又如,央行考虑到目前客户对小额支付和日常缴费业务的便捷性需求,对单笔金额不足200元的小额支付业务及公共事业费、税费缴纳等收款人固定且定期发生的支付业务,允许支付机构代替银行进行交易验证。可见,监管层的考虑是周全的、政策是务实的,对新兴业务创新并不存在“扼杀”的态度和做法。
4.实行“同类业务同一管理”的金融监管乃必要之举
为建立平等的竞争环境和监管环境,无论金融机构还是互联网企业开展的金融活动都应当受到监管,而且应适用统一的监管规则。否则,就会产生监管套利和监管不公平,导致“劣币驱良币”。目前,我国对商业银行的监管体系已经成熟规范,但对于互联网企业等从事的金融监管还存在大量空白。
为此,有必要在互联网金融领域实现“一致性”监管,即只要从事的金融业务相同,原则上就应该受到同样的监管,即所谓的“同类业务同一管理”。对于支付机构,也应回归其“通道”本职,并按有关规定履行反洗钱、保障客户资金安全和信息安全的义务。央行新规中,对“支付机构采用不包括数字证书、电子签名在内的两类(含)以上要素进行验证的交易,单个客户单日累计金额不超过5000元”的规定,与央行对商业银行、银行卡清算机构的监管要求是一致的,实际上也体现了“同类业务同一管理”的理念。
5.我国对第三方支付的监管路径符合国际常规
国际上对第三方支付的监管经历了从宽松到强化的过程,我国的监管思路也基本遵循了这一路径。
首先在发展初期,行业增势猛,创新速度快,主要采取自律和宽松的监管模式,防止过早监管可能对第三方支付发展的束缚。
其次在发展中期,行业达到一定规模后,逐步实施严格的市场准入监管,并过渡到针对经营行为的动态监管,扩大监管范围、加大监管力度。
此次央行拟出台的支付新规,目的就是对第三方支付业务发展中潜在的风险隐患进行强化监管和细化监管。未来,随着社会信用体系、金融消费者保护、支付机构自律水平等条件的不断成熟和完善,第三方支付走上合规发展轨道后,可能再回归适度监管。(作者单位:工商银行城市金融研究所)
