网络支付界定监管边界

　　8月28日，中国的第三方支付行业领略到了早秋的一丝凉意：浙江易士企业管理服务有限公司的支付业务牌照被依法注销。这是270家第三方支付企业中第一家被注销牌照的机构。央行的公告称，易士公司存在大量违规挪用客户备付金、伪造变造交易和财务资料、超范围经营支付业务等严重违规行为。

　　8月底也是网络支付新规征求意见结束的日子，而监管闸门一旦启动，网络支付也将从野生状态步入规范之旅。7月31日，央行在官网发布了《非银行支付机构网络支付业务管理办法（征求意见稿）》（下称《征求意见稿》），征求期为一个月。此后，围绕着支付账户实名制、身份验证、支付限额管理，一度引发网络热议。随着相关部门的不懈解释，消费者对于便捷性的疑虑逐渐化解；而对于监管机构和支付企业，围绕着监管边界的博弈，仍在进行。

安全底线

　　网络支付新规引发争议的一个原因在于，监管者和公众对于网络支付的风险，并不在同等的认知层面上。

　　在央行近日的一份内部报告中，列举了近年支付机构的风险案例和支付系统漏洞：一是支付账户普遍未落实账户实名制。不少机构为“黄赌毒”、洗钱、恐怖融资及其他违法犯罪活动提供便利。有的支付机构通过开立大量假名支付账户，为境外赌博机构提供支付交易高达数千亿元。二是挪用客户资金事件时有发生。多地屡次引发消费者上街和围堵政府部门事件。三是疏于安全管理。客户资金和信息安全机制缺失，对消费者的信息和财产安全构成严重威胁。四是缺乏消费者权益保护意识，夸大宣传、虚假承诺，普通消费者维权困难。该报告还称，2014年至今，人民银行全系统金融消费权益保护部门受理的网络支付类投诉，已占互联网金融类投诉的95.06%。

　　然而，风险事件不容易为大众感知。《征求意见稿》旨在保护消费者权益采取的种种安全措施，却被广泛误解。“快捷支付由银行验证”“实名开户需多个外部渠道验证”，这两个安全升级要求最受业界关注，因为这意味着支付机构和银行要增加技术改造成本。

　　《征求意见稿》要求，线上实名制开户需要以五个外部渠道验证（综合类账户）或三个外部渠道验证（小额消费账户）。这引来用户基础较大的支付机构的反弹，认为难度太高。对此，央行在公开解释中称，“具体验证渠道包括但不限于公安、工商、教育、财税等管理部门及商业银行、征信机构等单位所运营的，能够有效验证客户身份基本信息的数据库或系统。”

　　在一位支付业资深人士看来，普通客户注册门槛并没有提高，提高的是支付机构的获客门槛。“注意，是后台验证方式。既然在后台，普通客户是感觉不到的。”他强调说，目前支付企业通用的验证渠道已经有两种，即身份证号码连接公安网+绑定银行卡校验。“再找另外三个，比如多张银行卡、第三方征信机构或税务数据等，并不难；任何门槛没有技术手段实现不了的，关键是想不想。”

　　对于银行卡快捷支付的交易验证方式，《征求意见稿》第15条规定单笔金额200元以上的支付业务，由银行进行客户身份和交易验证。这也激起了反弹。目前，快捷支付不验证银行卡密码，不需U盾、口令或网银，安全隐患大，近年因此造成的网络支付纠纷快速上升。其实第15条并非新规，2012年、2014年银监会和央行已陆续发布文件，规范快捷支付流程，对客户身份认证、交易限额、赔付责任等出台了相关规定，明确由银行验证交易及客户身份确认。

　　比如，央行与银监会联合下发的10号文，要求首笔交易的客户应在银行端做实名认证；如果不能线下认证，应通过快捷支付转至银行页面完成。然而，目前客户均是在快捷支付页面完成认证，这意味着其支付指令是传递给第三方支付机构，再由后者传给银行。这种模式的问题在于，难以让银行得知足够的客户信息，不能确保支付指令来自客户本人，难以及时提醒客户。当快捷支付发生大额资金损失时，用户维权成本高。一旦发生纠纷，银行和支付机构的责任划分不清。

　　工行前行长杨凯生和农行副行长李振江都曾在公开场合表示，快捷支付纠纷越来越多。虽然快捷支付很方便，但它是基于第三方支付机构弱实名认证账户、无磁卡、无密令的高风险产品，由于客户身份认证级别比较低，对客户资金安全构成较高威胁。“客户经常投诉通过支付宝(资金)被划转了，但客户账户在银行，银行处于一个被动的状态。这些问题都需要找到解决的办法。”杨凯生称。

　　对此，财新获悉，央行可能明确快捷支付的原则底线。“银行和支付机构必须签订协议，明确一旦发生支付纠纷，谁是第一责任人，避免消费者被踢皮球；在此底线之上，是由银行还是支付机构验证交易，由双方协商。”接近央行支付司的人士透露。

解决多头连接隐患

　　网络支付机构的另一焦点在于，由于第三方支付机构在各家银行开设大量备付金账户，结合其相对封闭的支付账户体系，促使第三方支付机构具有了央行或特许机构的跨行清算职能。简单地说，就是客户的资金在支付账户里转来转去，并不体现在其相应的银行账户里，而是由支付机构与各家银行做净额结算。客户在支付账户里的余额越大、行为越复杂，监管机构对于风险控制的担心也就越大。

　　财新记者获悉，针对前述备付金账户多头连接、资金账户的关联关系复杂且透明度低等痼疾，中国支付清算协会正在酝酿搭建针对第三方支付机构的跨行清算平台，作为整个支付行业的共有、共享平台，将由协会的会员单位出资建立，包括支付机构和银行都可以参与入股，共建共用。对这一系统如何设计，中国支付清算协会已经酝酿两年。

　　按照2013年6月央行发布的《支付机构客户备付金存管办法》，第三方支付机构开设的备付金账户最多不超过五家银行，业内统称“一托四”，即一家备付金主存管银行账户+四个备付金账户（备付金存管账户、收付账户、汇缴账户、支付机构自有资金账户）。此机制是为了有效杜绝支付机构通过分支机构开立多个账户、进行多账户间操作和进出的可能性，便于统一监管支付机构备付金，从账户体系上保证备付金的安全。

　　但在实践中，第三方支付机构大多数是“一托几十个备付金账户”。支付宝最多时是“一托200多个备付金账户”，即在200多家银行开设有备付金账户，虽然去年已经开始整改，但至今支付宝还在100多家银行分支机构中开设有备付金账户。加上第三方机构的封闭账户体系，这相当于支付机构扮演了跨行清算的央行角色。“闭环资金不透明、信息来源不明、交易不留痕，支付账户间的资金信息交流以及资金划拨，央行都监测不到，不利于央行的监管，也不知道规模有多大，只能由支付机构自己上报。一旦发生流动性风险，很容易被互联网企业放大为系统性风险，没有几家支付机构能承担得起。”央行支付司一位人士表示。

　　事实上，近来股票市场上为场外配资提供账户系统支持的HOMS系统正与此相仿，因其账户体系的不透明，迅速加大了资金杠杆，进而推动了市场的波动。

　　一般而言，从各国实践看，支付清算系统包括以下层次：首先是中央银行的支付清算系统，在中国是央行的大额、小额支付系统，由央行下辖的清算中心运作，解决各个金融机构之间的所有资金清算往来；其次是各家银行的行内支付系统，如银联、Visa、Master Card等，银行卡的服务对象主要是自然人；其三是银行卡之间的转接清算系统，如银联、Visa、Master Card；最后是第三方支付系统。按照国际惯例，第三方支付，比如Paypal的银行卡支付行为，要通过Visa等清算机构渠道。在中国，原则上第三方支付应通过自身的备付金存管行接入清算系统。

　　中国的第三方支付机构发展出独立的清算系统，是不得已而为之的。“2004年，阿里曾找银联商谈解决电商的网上支付问题，但没有结果。一方面电商有需求，另一方面没有专门的清算系统对网络支付机构提供服务。这才有了支付宝的模式。”一位中国支付清算行业协会的专家表示。

　　根据国务院有关规定，任何机构从事跨行清算业务，都需要得到行政许可。拉卡拉集团副总裁唐凌亦曾表示，如果支付机构要做清算，就应去申请清算牌照，“支付机构就是支付机构，不能做清算，这是不同业务”。

　　在前述支付专家看来，如果有一个专门服务于第三方支付机构的支付清算系统，央行就可以监测到资金流量和资金流向，类似银联系统一样可以监测风险，包括反洗钱、反恐怖融资、信息的透明度等，也可以做到交易留痕、可追溯。“从国家安全的角度，必须能查到资金流向，不能使网络支付机构成为监管洼地，不能让一切违法资金活动通过网络支付机构转账，不能存在监管套利的问题。通过这个清算系统平台可以对前述问题有一揽子技术安排。”

　　“这是一个初步思路，也是为防止每家支付机构都自建清算平台系统，各自为战，不能共享，不能互联互通。这是对社会资源的极大浪费，不同的技术标准，也会造成风险漏洞。”央行副行长范一飞如是表示。

　　“从目前看，搭建前述系统的必要性在不断增强，而且对于监管来说，是个重要的抓手，从中后台靠技术手段加强管理，否则仅仅靠行政法规从前端来限制不现实。”前述支付专家表示。

　　“如果没有法律、没有监管、没有技术手段、没有处罚机制的落实，靠每个商业企业自律，都是空谈。”一位法律人士表示。■

　　相关报道：支付监管水到渠成