互联网金融结束野蛮生长

　　“都是坏消息啊。”一位第三方支付机构人士抱怨。

　　对他们来说，野蛮生长的时代结束了。一个新的时代，正在迅速成型。

　　7月18日，央行等十部委发布《关于促进互联网金融健康发展的指导意见》（下称《指导意见》）。历经十余稿的这个文件，已经从最初版本的侧重监管，转到最终版本的鼓励创新、加大政策扶持和监管并重。

　　“关键是给出一条向上开放式的红线，即负面清单原则。”有央行人士说。

　　7月31日下午4点，第一个“负面清单”来了。央行官网发布《非银行支付机构网络支付业务管理办法的（征求意见稿）》（下称“征求意见稿”），向社会公开征求意见。

　　“征求意见稿”要求，支付机构不得为金融机构，以及从事信贷、融资、理财等金融类业务的非金融机构开立支付账户，并分别针对不同安全条件设置5000元、10万元、20万元的限额管理。

　　从两个文件可以看出，互联网金融的监管思路已经成型。支付行业、P2P分别被定位为小额支付通道和信息中介，并从消费者保护和反洗钱角度将其纳入银行的委托监管职责。快捷支付要经银行验证身份，P2P的资金要在银行存管。

　　第三方支付机构、P2P网贷行业将迎来大变局。两个文件引发强烈争议，特别是在互联网支付行业。批评者称，这些措施旨在保护银行利益；赞成者称，从事金融业务应当接受一致的金融监管。

　　当前，业内对互联网金融讨论越来越深入，支付机构的“类银行”业务（如支付、转账、理财）进入深水区，各类潜在风险暴露得越来越充分。在此背景下，“此次划清了类银行业务和消费业务的楚河汉界，监管者对这个底线不再妥协。”一位接近央行的人士说。

　　新政并非从天而降，监管思路演进有迹可循。2013年底，国务院曾下发规范影子银行的“107号文”，其中对网络金融机构的监管原则，是不得超范围经营。此次新规中，引发业内较大争议的安全性技术要求，如“限额管理”“双因素验证”、由银行验明交易身份等，此前央行、银监会的多个文件对此早已有明确规范，但并未真正落实。

　　“新版‘征求意见稿’经过了与第三方支付业务的反复沟通，甚至是一对一的沟通，是在便利与安全之间取得的平衡。”一位接近央行的权威人士透露，此次“征求意见稿”相当于承认现状，但着眼规范未来，不希望未来支付机构的沉淀资金继续膨胀。

　　更多政策还将到来。

　　据财新记者了解，央行将启动提高行业监管制度《非银行支付机构管理办法》法律层级的程序。同时，央行支付司正在搭建备付金管理系统，希望实时监测第三方机构的备付金账户。

　　第三方支付之外，其他互联网金融的关键争议点，也将一一厘清。

　　——征求意见一年多后，央行近期将下发《关于促进个人银行结算账户规范服务的通知》，落实银行账户身份实名制。最关键的一点是，现场开户确定为网络银行独立开户的先决条件。网络银行通过人脸识别技术独立开户的愿望破灭。

　　——另据财新记者了解，银监会最迟会在今年年底前推出P2P网贷等相关管理办法。

　　创新和监管的平衡是金融业的永恒主题。数年来一路狂奔的互联网金融业，将不得不面对一个新的竞技场。

观察期结束

　　过去几年，监管保持宽容，加之传统银行低效，互联网金融如入无人之境。

　　从互联网金融诞生以来，监管部门一直持开放的态度。原央行主管副行长刘士余曾多次公开表示，要鼓励互联网金融创新和发展，包容失误，为行业发展预留一定空间，并希望其能服务于传统金融机构未能覆盖的空白人群，实现普惠金融。对互联网金融的评价，要留有一定的观察期。

　　经历了200多家P2P跑路、上海畅购预付卡挪用上亿元备付金、全球最大的支付平台支付宝全国范围2个多小时宕机、信用卡预授权套现等风险事件，经过三年观察期，监管当局开始亮出牙齿。

　　一家知名全球支付巨头的一位专家评价，过去几年中国的第三方支付发展，“突破了反洗钱（AML）和‘了解你的客户’（KYC）两大基本原则，这是国外同行完全无法想象的。”这家机构主要做跨境支付，尚未涉足中国境内的第三方支付业务。

　　实名认证是2004年巴塞尔委员会制定的基本原则，“了解你的客户”也是国际上账户审查和反洗钱的制度基础，不仅要求金融机构实际账户实名制，了解账户的实际控制人和交易的实际受益人，还要求对客户的身份、常住地址或企业而所从事的业务充分了解，并采取相应措施，不管什么形式的开户都要尽职尽责了解客户的资金来源。从反洗钱的角度，要求实名认证，是为了留痕、便于追溯、防冒名。

　　“如果账户体系无法落实实名制，对于大额交易，就会造成洗钱等高风险事件。”前银联人士、一位证通股份公司（下称证通公司）市场部专家表示，“第三方支付最大的问题就是其资金缺乏监管，体系内封闭循环，但一旦资金链断裂，不具有偿付能力。”证通公司由36家证券行业机构发起成立，被称为“证券版银联”。

　　A股泡沫的形成及破灭，带来了新规出台的时机。

　　大数据行业的一位互联网资深人士告诉财新记者，由于配资杠杆资金依托恒生电子的HOMS账户系统，这一互联网账户体系模式的不透明和非实名验证、不留痕等特点，被认为放大了股市风险，“业内应该已经预感到高层会对互联网金融开始加强监管了。”

　　“通过HOMS账户加杠杆非常快，不仅放大了参与者数量，而且能隐匿参与者身份，阅后即焚。监管者看不到是一人还是多人操作，也搞不清楚规模多大。”前述证通公司人士表示。“太复杂没人能看清楚，风险就来了，比如金融危机中的结构性产品CDS（信贷违约掉期），HOMS账户也是一个结构性问题。”世界银行前首席科技官、国际数据管理协会副主席胡本立评价。

　　北京市网贷行业协会秘书长郭大刚公开表示，互联网技术支持下的普惠金融，获得信息的成本降低，使得普惠金融成为可能，但不能把互联网金融等同于普惠金融。“这是因为互联网金融的工具性导致的。工具提供方需要出于社会责任而对工具的有效性、应用范围等方面做出自律的约束。这就是HOMS的问题所在。”

　　一位参与起草《指导意见》的央行人士强调说，观察互联网金融领域的风险，一个很重要的特点是传导速度加快。不管是P2P或网络小额贷款，由于平台的性质，作为借贷双方的连接点，很容易放大风险。

　　他指出，目前互联网企业巨头都在积极布局金融业务，服务的客户规模极为庞大，提供的金融产品种类层出不穷，加上增速暴增，未来很可能从中诞生一批具有系统重要性的机构。比如，目前腾讯旗下的财付通约有1亿实名认证用户，“阿里系”的支付宝有3亿实名认证用户。支付宝账户沉淀资金即备付金总额已达约1100亿元，目前相当于一家大型城商行总资产规模，但将来呢？

巨头态度

　　此次已是第四版“征求意见稿”。早在2012年1月，第一轮“征求意见”已经公开面向社会公众。2014年1月再次进行修改和补充，原计划2014年三季度出台。2014年3月，由于彼时一些支付机构对上一版“征求意见稿”增加的限制条款反弹很大，草案内容迅速在网络上流传开来。

　　一些受访的互联网金融业内人士认为，监管部门选择这个时间点公布几项连环政策，是最好的时机。一年多以来，互联网金融的风险已有暴露，监管者应踩刹车；此外，两大互联网巨头阿里和腾讯领衔的网商银行和微众银行，都已经陆续成立。

　　2014年3月，网络舆论几乎一边倒地支持支付机构。本刊当时刊登封面报道《怎样监管支付宝》（2014年第11期），主张对突破政策红线的金融行为，监管应适时介入，建立必要的风险检查和防控机制，但应者寥寥。与2014年相比，此次“征求意见稿”发布后，互联网金融行业仍然反应激烈，但央行反应迅速，也有更多业界理性声音回应。

　　7月31日，“征求意见稿”发布当晚，互联网金融千人会秘书长、宏源证券研究所副所长易欢欢迅速在其微信群表示，“征求意见稿”对行业发展是“阻止和大幅提高门槛”。他在微信群公开评价称，“当前限额放在5000元/天，20万元/年，一台iPhone都买不了⋯⋯基本上把行业发展空间全部封死。”

　　“买个iPhone肯定没问题，只不过是通过第三方支付机构之间付款前5000元，之后的都可以通过有更高级别安全验证的商业银行网上银行进行付款，额度由消费者自己确定。” 支付业知名人士陈宇回应说，“设置这些门槛的目的，是不希望大家都把钱过多地存放在没有存款保险制度保证的第三方支付机构。”

　　两大巨头——支付宝和腾讯，表现了“积极拥抱监管”的姿态。支付宝发言人称，第三方支付是一个不断向前向好的积极过程，望行业监管应不断开放和进步。腾讯亦表示，“我们也看到了央行从保护消费者权益的角度出发，恪守金融监管义务，为防范和降低风险、杜绝各类金融案件所做的努力，看到了一个既开放又审慎的监管部门对创新的高支持、对风险的低容忍。”

　　崇致网络科技（北京）有限公司CEO、前人人贷首席运营官顾崇伦认为，“征求意见稿”通过限制支付的账户功能，使其回归通道的本质；“因为支付公司的初衷就是为电商解决小额支付的零散金额问题，但逐步跨越了很多边界；对于从事线下收单业务的第三方支付机构影响不大，对于有互联网账户体系的支付机构影响大，但支付宝和财付通由于已拥有网商银行和微众银行，可能存在合理的方式避免相关影响”。

　　业内多数人士认为，阿里巴巴通过支付宝不能开展的业务，通过浙江网商银行可以实现；“委托有物理网点的银行代理现场开户，已经可以满足网上银行的大部分需求；今后有实力的企业，都可通过申请牌照的途径来开展相关业务，这才是规范化、专业化的发展轨道”。

　　据业内人士介绍，在第三方支付机构中，只有拿了互联网支付牌照才能开设支付账户。目前269家第三方支付机构中，拥有互联网支付牌照的不超过100家，但绝大多数都开设了支付账户。“支付宝账户也可以绕开很多限制，比如一篮水果，可以在淘宝上直接当成二手货100万元卖给我。在美国这是不可能的。”

　　拉卡拉集团副总裁唐凌认为，“征求意见稿”对大的、平台型的支付机构利好，但实力小、单纯支付业务将来可能会比较困难。“可能半年、一年内会有一个洗牌过程”。在他看来，第一批拿到牌照的支付机构面临2016年的到期年检，“能不能续检下来面临关键门槛；即便拿到牌照，业务做不起来，牌照价值也很有限”。

　　陈宇表示，理论上，把网上银行的卡和账户作为新的底层，在这张卡基础上叠加很多金融服务，在阿里体系里面，原来通过支付宝承接，未来可能通过网商银行承接；即便拥有网络银行牌照，也要看在谁手上，万达、国美、包括京东，都没有阿里和腾讯获得牌照的意义大。“网商银行价值会远远大于原先支付宝的价值，微众银行也一样”。

“抓住了七寸”

　　“征求意见稿”将支付账户分为综合账户（如“类银行业务”的支付、转账、理财）、消费账户两种类型，即划清了“类银行”业务和小额消费业务界限。前者须经强实名认证开户，后者为非强实名认证开户。“这抓住了七寸。”一位业内人士说。

　　从2014年至今，“限额支付”一直是争议最激烈的焦点。 “征求意见稿”把责任和权力交给支付机构自主选择，安全级别越高则功能越强。对于5000元、10万元、20万元乃至20万元额度以上的支付方式，“征求意见稿”都给出了具体的实施条件。

　　如果采用了高安全级别的验证办法（数字证书或电子签名），单日累计支付就不受限额约定；没有高安全级别验证，则单日累计限额为5000元；在一些小额场景支付的情况下，如果支付机构无条件承担全额赔付责任，则无需验证要素，单日累计直接支付的限额是1000元。

　　这些要求，与央行对商业银行的电子支付监管规则一致。央行曾于2005年10月底，颁布了针对银行的网络支付业务管理的“电子支付1号文”，一直沿用至今。

　　“‘上限5000元’之类的解读是错误的，通过‘双要素’安全级别验证直联银行卡支付，并没有上限。”一位业内人士表示。 一位大行电子银行部人士表示，在实际操作中，在由第三方机构认证的支付方式，特别是通过第三方机构完成交易的资金，脱离了银行体系监管，银行的单笔支付额度放开到5万元以上的很少。

　　央行人士认为，央行的大原则一直未变。希望可以统一到一个账户，以客户为中心集中管理；通过限额将手机支付、第三方支付限定在一定额度的转账范围内，大额走银行，因为银行受到严格的金融监管和承担反洗钱的义务，“这都是从金融消费者保护的角度统筹考虑”。至于前述限额的依据，央行人士表示，根据大型支付机构近年来的业务数据测算，消费类账户限额10万元，综合类支付账户20万元，已经能够满足现有支付机构99%客户的需要。

　　“但这并不是说支付机构不能为从事信贷、融资、理财、担保、货币兑换等金融业务的其他机构提供服务，比如余额宝不能在支付宝开设支付账户，但并不意味着支付宝不能为余额宝提供理财服务。”前述人士进一步解释称，支付宝转账方式有三种，即支付账户、银行卡快捷支付、银行网关支付。

　　“征求意见稿”限制了开设支付账户，但同时表示支付机构可以通过商业银行网关支付、银行卡快捷支付为其客户提供大额转账服务，“这并不矛盾，这和《指导意见》明确互联网支付定位小额、服务于电子商务和消费类支付是一致的。”

　　上海交大产业发展和技术创新研究院院长陈宏民表示，支付本是通道性业务，支付机构并不需要自己的账户。如今支付机构发展自己的用户账户，在银行体系外打造一个类银行业务体系。监管当局面对已经铺开的支付账户势难清理，只能限制。

　　“如果银行、各类机构都可以在互联网支付企业开户，形成一个闭环，内部清算，第三方支付不就等于央行了？”前述央行人士强调，“闭环资金不透明、信息来源不明、交易不留痕，一旦发生风险，很容易放大。”

　　中国社科院金融所支付清算研究中心主任杨涛表示，根据实名制强弱的账户性质来确定额度，是比较积极的变化，“避免在支付机构的备付金账户里沉淀太多的资金，弱化部分支付机构账户体系‘隐形’清算结算功能，使其能纳入已经放开准入和逐渐规范的银行卡清算市场。”

　　在陈宇看来，新规第一不允许第三方支付吸收存款，第二不允许第三方支付体系内转账。“过去这么多年，第三方支付其实都在干银行这件事儿，一是大量吸引存款，二是起到银行转账支付功能，全球也就只有中国出现这种情况。”中国社科院金融法律与金融监管研究基地副主任尹振涛也强调，“设立边界不等同于阻碍市场化。美国对小型存款类机构的管理更严格。美国将金融机构分为存款类、非存款类和系统重要性。其中存款类最注重金融消费者保护，监管要求最多。只有非存款类相对放松。”

　　杨涛认为，在金融创新加速与混业监管机制不健全的过渡期，要求“支付机构不得为客户办理或者变相办理现金存取、信贷、融资、理财、担保、货币兑换业务”，是在支付机构缺乏与银行类似的监管约束情况下，避免支付账户成为全功能“银行账户”，实现事实上的“金融混业”，从而带来风险积累和信息的不透明。

　　“比如HOMS系统，就是把银行理财+伞形信托+配资杠杆通过一个账户系统达到混业的实质；支付宝平台连接余额宝、保险理财等，也是一种混业。”一位业内人士指出。

　　与此前版本相比，此次“征求意见稿”已经有所放宽。陈宇撰文表示，“去年的争论，除了限额异常激烈，还有就是二维码支付，今年在这个上留了口子，还有一个重要的点是去年有进入支付账户就‘不得回提’四个字，今年可以同名本人卡无限额划转，这些都是更温和、符合实际的做法。”

安全的代价？

　　“征求意见稿”不鼓励支付机构开设支付账户，对于用于理财投资的综合类账户，除了实行限额管理，也提高了开户门槛，明确提出要对客户的实名制进行外部数据验证。“从支付账户的使用角度看，‘征求意见稿’门槛低，但从开户的角度看，门槛很高。”一位支付机构人士表示。

　　综合支付账户的开户条件是现场实名认证，即面对面方式身份核实；如果非面对面方式即线上开户，要通过五个以上合法安全的外部渠道，对身份基本信息多重交叉验证；对消费类支付账户的开户，门槛相对低，若仅线上方式核实身份，也要通过三个以上合法安全的外部渠道，对身份信息多重交叉验证。

　　能否独立远程开户，一直是互联网企业最关心的核心因素。

　　“支付宝有数亿用户，都面对面开户肯定做不到，不面对面开户，按照‘征求意见稿’的要求需要多种方法安全验证；支付企业通用的验证方法是两种，即身份证号码连接公安网+绑定银行卡校验，如果再加一层验证方法，难度很高，能满足三种验证因素很难，能满足五种验证因素就更难以实现了；这对所有的支付公司影响都很大。”一位接近支付宝的人士表示。

　　对于数字证书或电子签名的双验证因素，以及要求“通过硬件设备加密”。在支付行业看来，这意味着电脑支付必须用U盾、手机支付必须用外接硬件。“用户是否愿意花钱买这个硬件？手机根本就没有ukey插口——一种通过USB（通用串行总线接口）直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备。用硬件或者网银方式做验证，都会降低用户体验。现在的整个趋势，还是通过大数据等智能方法来验证，应该吸收更多新技术。”这位接近支付宝的人士认为。

　　银行人士看法显然不同，因为央行对银行的要求就是这样。建行电子银行部人士则告诉财新记者，“手机也可以用外接key插口，建行工行都有通用盾；‘征求意见稿’在安全性方面的要求，和央行对银行在移动支付方面的要求基本一致。”

　　今年初，央行发布《关于推动移动金融技术创新健康发展的指导意见》，要求银行和清算机构提供手机等移动金融服务时，应使用可靠的多因素身份认证方式，并采用手机安全单元（SE）、智能密码钥匙（Key）等基于安全芯片的电子设备，作为必要的认证因素，以确保资金类、重要信息变更类、重要业务变更类等高风险交易的安全。文件要求商业银行的移动金融业务一定要绑定硬件，并给银行提出了整改期限是2015年12月31日前。财新记者获悉，未来有可能将非银行支付机构也纳入这一技术标准。

　　一些支付机构和银行亦认为，“征求意见稿”并未明确哪五项外部验证渠道等，建议进一步明确第三方验证渠道使用的流程、范围以及客户隐私的保护措施等。

　　在公安部三所一位信息安全专家看来，用户体验好不好与是否与使用硬件无关，比如安全指纹识别是靠不泄露指纹信息的安全芯片完成。他介绍说，国际知名线上快速身份验证联盟（Fast Identity Online，FIDO）并未下结论说用硬件用户体验不好，其目标是消灭密码。比如，苹果手机指纹开机、手势密码开机等。FIDO联盟于2012年7月成立，宗旨是满足市场需求和应付网上验证要求。该协议为在线与数码验证方面的首个开放行业标准，可提高安全性、保护私隐及简化用户体验。

　　剑桥大学亚太及中国新兴金融研究项目主任陆克（Luke Deer）称，澳大利亚更加依赖传统银行机构及其支付系统，不过PayPal使用率也在提高，它的认证须和银行账户关联。在他看来，“征求意见稿”的五要素验证，跟中国的征信信息缺乏有关。目前，在中国人民银行的征信中心个人信息数据库中，只有3亿多人的征信信息。这也是央行积极推动互联网企业开展个人征信业务的原因。

　　在唐凌和陈宇看来，技术上，开设综合类账户需要五个验证渠道并不难，大的支付机构都已对接公安部、各个银行。一位央行支付司人士则称，哪五种外部渠道验证，需要支付机构自己选择和验证，比如除了银行和公安部渠道，还有水电卡编号、社保编号等。支付机构应通过技术手段改进安全性门槛。

　　尹振涛认为，第三方支付行业应该更加注重技术革新，发展高安全性和高便捷性的新技术。“征求意见稿”中提到的收款客户特点专属设备、五种交叉身份验证方式和三类支付指令验证要素，虽然在一定程度上限制了交易的便利性，却为技术革新指出了具体方向，实打实地在鼓励技术进步，对之前备受关注的指纹、人脸技术在金融领域的进一步广泛应用给予肯定。

　　“实名制开户是所有金融业务的入口，是最重要的金融基础设施，不能都等大乱了以后再大治。”一位银行信用卡部负责人表示。一位资深金融专家建议，“迫切需要设立‘一行三会’和公安部门信息安全部门的联席会议制度或者监管协调机制，对有关互联网金融的规则从源头介入。”

银行远程开户开门缝

　　不光第三方支付，在银行账户管理上，央行也将进一步加强落实实名制要求，近期也将下发《关于促进个人银行结算账户规范服务的通知》。

　　此前，这一通知的内部征求意见稿已经悄然下发。这一意见稿不再区分强、弱实名电子账户，而是将账户分为全功能银行账户和限定银行账户。前者是线下开立的账户，可以实现银行账户的一切功能；后者在功能上则介于强弱实名账户之间，在转账、支付、投资理财上都有所放松。

　　央行之前用强、弱实名账户界定账户时，直销银行等网上银行账户属弱电子账户，功能受到很大限制，只能与绑定账户进行资金划转，购买本行发行或代销的理财产品。这次限定银行账户的功能略微放开，还可用于小额支付，单日累计限额5000元。这与近日正在征求意见的《非银行支付机构网络支付业务管理办法》中，对非银行支付机构网络支付账户的要求一致。

　　按照央行要求，全功能银行账户开户，仍以柜台面签为主，所有的远程验证手段，包括人脸等生物识别技术、远程视频柜员机（VTM）等机具，可以作为辅助开户手段。如果没有物理网点柜台的网上银行，需自己想办法解决开户问题，可以委托其他有物理网点的银行代理实名认证，以实现现场开户。

　　这意味着，央行仍将现场开户作为网络银行独立开户的先决条件。首次开户必须在线下进行柜台面签，有了线下开立的账户后，经由交叉验证才可线上开户。同时，央行将不再针对远程开户单独制定制度。

　　“中国对个人身份信息保护，以及征信体系的建设还比较薄弱，远程开户还不到时候，网络欺诈太厉害。”富国银行负责中小微企业风险管理和数据风险管理高级副总裁王强称。

　　这让网络银行感到失望。网络银行想做的，是直接突破线下面签，实现线上开户，并将此前的弱电子账户功能变强（参见本刊2015年第3期封面报道“网络银行上坐”）。

　　“远程开户只能说是开了门缝，离真正的网络银行账户还是相差太远。”一位网络银行高层坦言，这一功能仍约束了发展，“仍然类似于银行的直销银行账户、第三方支付账户。”

　　据财新记者了解，央行曾多次召开了关于远程开户的内部会议，曾一度打算在浙江、广东两省“先试先行”，但后来风向略有转变，网络银行只能随之调整自己的战略。

　　微众银行董事长顾敏曾公开表示，微众银行不仅没有网点，还要变成没有客户、没有贷款、没有存款的银行。目前，微众银行正在与多家银行谈全面合作。“跑马圈地，几乎每周都有银行签署合作协议。”一位微众银行高层说。除了华夏银行，微众银行近期也与东亚银行、平安银行、重庆农商行、汉口银行等签署业务合作协议，覆盖理财、小微等多种业务。接近微众银行高层人士说，未来推出的理财等业务，也会用到人脸识别技术，但只能是开户辅助手段，增加一些开户乐趣，相当于微众银行自身积累照片库。

　　财新记者了解到，在征求意见稿下发后，网商银行高层曾专门到央行反馈意见。“既然给网商银行颁发了牌照，就应该大胆鼓励尝试，不然这样的银行寸步难行，也不符合颁发牌照的初衷。我们还是希望和相关部门积极沟通，争取在一定范围内先行先试，通过积累数据，不断扩大范围。”蚂蚁金服集团总裁井贤栋说。

快捷支付双刃剑

　　在线上支付方式中，大头是银行卡快捷支付。以2014年“双十一”为例，支付宝快捷支付金额占比为56.9%；余额支付其次，占比12.5%；余额宝账户第三，占比11.5%；网银在内的其他支付渠道占比0.7%。

　　“这说明快捷支付大家最常用，如果严格执行‘征求意见稿’第15条，目前的快捷支付流程都是不合规的。”有银行电子银行部人士表示。

　　第15条对于银行卡快捷支付的交易验证方式，规定“银行应当与客户直接签订授权协议，明确约定客户身份及交易验证方式，以及交易限额等必要风险管理措施”。除单笔金额不足200元的小额支付业务，以及公共事业费、税费缴纳等收款人固定并且定期发生的支付业务外，都得由银行进行客户身份和交易验证；支付机构应当取得客户和银行的授权，才可以扣划款。

　　快捷支付并不需要U盾、繁杂的口令或网银，只需获取银行卡持有者的姓名、身份证号码、卡号，以及办卡时预留银行的手机号码，凭借快捷支付公司发出的手机动态验证码就可以完成交易。“如果不是当年快捷支付开了个口子，网上能有那么多卖身份证号的吗？ 无论是谁都不能以牺牲用户隐私为代价。隐私信息一旦泛滥，对个人信息安全、企业信息安全、国家信息安全都有影响。”前述公安部三所专家称。

　　“目前的快捷支付没有验证银行卡密码，安全隐患比较大，再加上很多老百姓以为保管好密码就没问题，安全性上有一定瑕疵；由银行直接双因素验证，可以验证银行账户密码，安全保障性更高。”前述银行电子银行部人士称。

　　第15条并非新要求，2014年央行和银监会已分别发布规范快捷支付流程的5号文、10号文，这一制度也是2012年银监会86号文的延续，都已明确规定银行与客户签订授权、约定客户身份及交易验证方式，交易原则上由银行验证。

　　“现在是通过技术手段，把原先该你做的事情，让你重新再做一遍。”陈宇表示。

　　在支付机构看来，快捷支付银行验证，意味着快捷支付必须跳到银行自己的页面，流程复杂。从用户体验上来说，肯定没有微信发红包这么方便。

　　“只是首次绑定跳转银行页面，才能实现银行直接和客户签约，并实现10号文要求的直接双因素验证，以后支付跟现在流程一样。”一位银行电子银行部人士说。

　　由于目前快捷支付的验证方式，由占据绝大部分快捷支付市场份额的主流支付机构主导，银行或者被动接受，或者不开通快捷支付，根本无法按照本规定执行。“此前5号文、10号文一直并未严格执行，推进困难；支付机构的资金沉淀对于银行来说只是小利，主要由于银行早就有符合监管的快捷产品，但支付机构不配合接口开发，银行也没法直接切断现有接口。”前述银行人士透露，此次“征求意见稿”再次明确了快捷支付的流程，未来的执行仍是难题。

　　在陈宏民看来，快捷支付是把双刃剑，“在用户体验和资金安全两方面难以兼顾。”

　　快捷支付方便，但它无磁卡、无密令，客户身份认证级别较低，对客户资金安全存在一定威胁。财新记者从交行了解到，据该行统计，2013年1月到9月，淘宝上通过快捷支付方式交易的争议笔数上升较快，从100多笔上升到近600笔，欺诈金额从15万元增加到60万元。另一家银行的统计显示，2015年上半年，该行收到客户在支付宝平台上发生的争议交易共计645笔，涉及金额502.81万元。“这仅仅是一家银行的部分统计数据，说明快捷支付的风险问题不容忽视。”银行人士称。

　　在前述大行人士看来，无论是5号文还是10号文，支付机构难以推进的真实动机是“收集银行客户信息”。“日常生活中去小卖铺买东西要出示身份证吗？本质上是银行和互联网公司在争夺用户入口。”前述公安部三所专家表示。 陈宏民亦认可这一说法，在他看来，第三方支付机构除了支付宝、财付通这样交易规模大的机构可以获利，其他机构难以生存，但业内仍然热衷做支付机构的原因，除了相对银行牌照准入门槛低，一个主要原因是收集客户信息。“贴近用户是关键，这比平台还重要。所以，账户入口资源的垄断和各方博弈会越来越激烈。”

　　VISA北亚太区创新支付业务副总裁郑道永（Paul Jung），此前在接受财新记者专访时也证实，2013年，美国支付市场就有900多家初创公司进入支付行业，这些公司大多出身零售，转型的目的是尽可能多地搜集消费数据，来了解消费者的消费需求和交易习惯，通过数据分析提供其他的服务来产生收益。

怎样监管PayPal

　　兴业银行首席经济学家鲁政委介绍，PayPal最初是1998年在美国加州成立的一家非银行第三方支付公司。它目前能够在包括美国在内的全球100多个地区进行支付，只不过在有些地区是被明确视为银行（bank），而不是单纯的第三方支付公司。

　　在消费者保护方面，2006年，美国28个州的检察官曾对PayPal发起诉讼，要求PayPal对消费者澄清：消费网络购物时，是否享受与信用卡消费一样享受《监管指令Z》的保护？PayPal不得不明确表示，因为自己不是信用卡机构，所以不会承诺《监管指令Z》完全一致的条款，但会明确揭示自己版本的消费者权利和纠纷解决机制条款。但与此同时，PayPal明确承诺完全遵守《监管指令E》的要求，特别是对未经授权交易损失，PayPal承诺客户最高只用承担50美元。

　　由于没有取得银行牌照，PayPal不是银行。但纽约州和加州从PayPal所进行的业务性质的角度，怀疑PayPal在非法从事银行业务。2002年6月，纽约州金融服务局叫停了PayPal在该州的业务。消费者需在PayPal先充入一笔资金，然后才能进行网上购物支付，这些来自普通公众充入备用的资金，本质上属于“存款”，此类业务除非事先取得存款性金融机构牌照，否则不得擅自开展。

　　为满足纽约州的监管要求，PayPal提出了五种开展业务的替代方案：第一种，买家直接将资金直接放入卖家可以进入的物理账户或虚贷记卡账户；第二种，由富国银行代替PayPal进行电子转账，将资金划入卖家在其他银行的账户；第三种，通过富国银行以支票支付；第四种，将汇集到的客户资金，以客户名义购买货币基金份额，收益归客户，这些资金不属于PayPal因而也不会体现在PayPal自己的账户上；第五种，以委托方式，将客户资金存入无息FBO账户，以此表明PayPal本身并未从这些滞留资金中为自己牟利。

　　在前面三种方案中，资金都没有在PayPal账户中沉淀，因此，纽约州金融服务局表示认可。但若按照第四种和第五种方案，因资金仍然在PayPal账户中发生沉淀，纽约州金融服务局明确表示其仍然属于银行业务范围，即使FDIC表示PayPal不属于“银行”也不影响其判断。在按照监管要求对业务模式进行艰难的调整之后，PayPal一直拖到2013年10月，才在纽约州取得支付牌照（moneytransmitter）。

P2P托管转存管？

　　业内普遍认为，此次“征求意见稿”对P2P冲击很大，尤其是规定支付机构不得为金融机构，以及从事信贷、融资、理财、担保、货币兑换等金融业务的其他机构开立支付账户。

　　此前曾规定，P2P必须建立客户资金第三方存管制度，必须选择银行作为资金存管机构。一时间，业内普遍认为90%以上的P2P都会被淘汰，一些发展P2P托管的第三方支付机构也将面临业务转向。《指导意见》并未明确何为存管，与托管有何不同。据财新记者了解，银监会年底前出台的P2P相关管理办法将明确存管的定义。

　　此前，P2P多将托管账户依托在第三方支付公司。2014年6月，汇付天下有限公司（下称汇付天下）发布的一份报告显示，投资人选择P2P平台，首要考虑因素是平台是否接入第三方账户系统托管，占比近75%。2013年，汇付天下建立起国内首个第三方P2P托管账户体系。目前，汇付天下称，已经为逾700家P2P平台和500多万投资人提供服务。

　　与业内普遍悲观相比，汇付天下颇为乐观。“征求意见稿”出来的第四天，汇付天下发布公告称，汇付天下P2P账户托管模式，即账户系统+支付结算+银行资金存管，与第八条“不形成任何冲突”，引号部分专门用红色字体显示；还称按照第16条，投资人可继续在支付机构保留或开立总和支付账户购买理财产品或服务。

　　汇付天下总裁周晔表示，“和监管机构沟通后，验证了我们判断，正确的解读是：未来P2P等类金融机构需在银行开立资金存管账户（与现有基金公司类似），而投资人是可以在支付公司开立综合支付账户（20万元限额可以用通道解决），支付公司把资金从备付金中结算至银行存管账户（专户）。”

　　对于第八条，央行支付司人士亦证实，是要求P2P不能在支付机构有账户，没有账户自然也就没法托管，P2P资金得直接放银行，这是国家既定措施，但P2P依然可以用第三方支付的功能向银行账户转账。

　　财新记者了解到，多家P2P在寻求银行托管，但银行亦对P2P的资质筛选谨慎。“看得上的P2P少。”一位银行人士表示。

　　“银行愿不愿意接受是市场行为，不可能逼着银行去接受2000多家P2P，银行也不想承担任何P2P带来的风险。”一位业内人士称。声誉和风险的考量下，普遍被认为银行会更倾向于与公信力强、有金融背景的P2P合作。

　　“现在对P2P资金管理、银行履行何种责任，才刚刚开始进入一个严谨讨论阶段，以前整个P2P行业都是利用同银行所谓的某种合作来增信，真做到托管的几乎没有。”在点融网CEO郭宇航看来，托管的概念是托管机构审核交易真实性来确保资金划转有法律依据，目前银行对P2P资金划转上，并不审核合同背后真实性，“也很难审核，银行对于在线电子合同真实性审核缺乏手段，也缺乏动力，因为每一笔金额通常较小。”

　　多位人士表示，7月的监管动向，对P2P平台资金划转等方面提出更高要求，行业洗牌将加速，只待银监会监管细则出台。■