央行和银监会联合发布10号文，从细节规范商业银行与第三方支付机构的合作

　    在与第三方支付机构的合作中，商业银行是压榨第三方支付机构的垄断者？还是纵容第三方支付机构不合规经营的姑息者？

　　近日，银监会和央行联手下发《中国银监会中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》（银监发【2014】10号，下称10号文），从细节规范银行和第三方支付机构的合作，各地银监局和商业银行都收到了这份文件。

　　10号文延续了此前银监会86号文和央行5号文的基调，从强调保护客户资金安全和信息安全入手，在前述两大文件的监管框架内进一步细化，指出了一些更有针对性的问题。86号文是银监会于2011年8月下发的加强电子银行客户信息管理有关规定，5号文则是今年1月央行下发的关于加强银行卡业务管理的有关规定。

　　财新记者获悉，10号文主要是由银监会法规部牵头、银监会创新部协助制定，央行支付司会签。

　　有银行人士向财新记者表示，10号文的严格程度和前述两个文件一样。“以前86号文未完全落实，是因86号文本身不够细化，此次10号文进一步落实了此前银行与第三方支付机构合作中的合规瑕疵，更有针对性。“前几年对支付机构监管太松了，”他亦透露，“很多操作规则未合规，是因为支付机构不与银行配合，其中以强势的支付宝最为突出。”

　　支付宝是中国最大的第三方支付机构，是阿里小微金服的核心机构，未在阿里海外上市的资产内。目前，获得许可的第三方支付机构共250家，提供网络支付服务的有100多家。截至2013年底，支付机构共处理互联网支付业务193.46亿笔，金额总计达10.4万亿元。其中，仅支付宝一家，网络支付业务达120多亿笔，支付金额达3.5万亿元。

　　接近监管部门的知情人士告诉财新记者，“一些消费者习惯了支付宝的便捷。过去支付宝嫌麻烦，没认真执行有关操作规则。银行客观上起了配合、姑息的作用。大行和支付宝还有谈判空间，小银行和支付宝没有多少谈判空间，如果支付宝不执行规定，小行为了留住客户也只能迁就。”

　　10号文要求银行于2014年6月30日前做好相应的制度及合同修订工作；5号文亦要求商业银行于7月5日前完善涉及银行卡业务的有关合规制度。至于执行效果如何，业内人士认为，从银监会86号文到央行5号文，再到此次银监会、央行联手发力的10号文，“都取决于银行的执行力度。如果银行严格落实，就会改变其面对第三方机构的被动局面”。

　　“过去银行不同心，但现在不同了。一方面银行看到第三方支付机构的冲击较大；另一方面，此次是银监会和央行联合发文，监管力度加大，银行应该会比较同心协力。”一位大行人士表示。

　　对于10号文 ，第三方支付机构则认为这是单方面收紧对第三方支付监管力度的信号。支付宝方面表示这个文件不是发给第三方支付机构的，目前还只是从媒体看到有关内容，也没有从合作银行处获知，暂时不予置评。

　　一位第三方支付机构人士则表示，这个文件基本是对银行提出了具体的合规要求，而这些要求都将转化成第三方支付机构的义务。这给第三方支付行业的印象是，监管在渐渐收紧。

　　但众所周知，商业银行永远并非铁板一块，上百家商业银行及其分支机构都有其各自的利益诉求，这场第三方支付机构、商业银行与监管的博弈，势必还将继续，并挑战监管的底线。

焦点仍是限额

　　银行与第三方支付机构的合作主要体现在快捷支付和网关支付两个方面。而最近围绕银行和第三方支付机构的矛盾，主要是银行要降低快捷支付的限额，基本要控制在小额的范围内。“这触碰到了支付宝想要大发展的‘根’。”一位第三方支付机构人士如是说。

　　所谓快捷支付，是指用户在网上购买商品时，不需开通网银，只需提供银行卡卡号、户名、手机号码等信息，银行验证手机号码正确性后，第三方支付机构发送手机动态口令到用户手机号上，用户输入正确的手机动态口令，即可完成支付。

　　网关支付，即支付机构为用户提供通道，从支付机构页面跳转银行网银页面。这种支付方式可采用数字证书（U盾，即数字签名）验证交易，金额不受限制，比快捷支付安全。

　　10号文在客户身份认证、信息安全、交易限额、交易通知、赔付责任、第三方支付机构资质和行为、银行的相关风险管控等方面，提出了针对性要求，包括进一步规范快捷支付和网关支付。

　　快捷支付额度是由第三方支付机构向央行申请，由央行确定一个区间，商业银行负责执行，支付限额由每家银行自定，标准不一。从目前的实际情况看，快捷支付的额度几度提升后，金额已不能称之为小额了，有的银行月累积限额可以达到50万元。

　　此次10号文要求对等的安全保障原则。在第三方支付机构资质方面，首先银行要对客户的风险承受能力进行评估，客户与第三方支付机构相关的账户关联、业务类型、交易限额等要与其技术风险承受能力相匹配。

　　同时，10号文要求银行应设立与客户技术风险承受能力相匹配的支付限额，包括单笔支付限额和日累计支付限额。要求银行向客户提供临时调整支付限额的服务，在客户提出申请且通过身份验证和辨别后，在临时期限内可以适当调整单笔支付限额和日累计支付限额。至于限额是多少、临时期限有多长，由银行自己决定。

　　10号文再次重申了客户身份认证的重要性。要求首次建立业务关联时，必须通过第三方支付机构和银行的双重身份鉴别。此前86号文可由第三方支付机构单独认证客户身份，5号文则要求商业银行识别。10号文再次强调银行在用电子渠道验证客户身份时，应采用双因素验证方式对客户身份进行鉴别。

　　在交易通知方面，要求客户应开通至少一种账户变动即时通知技术方式，不具备条件的客户，不得通过银行与第三方支付机构建立一次性的、多次支付的业务合作。同时，对预留手机号码且设定短信通知的客户，要在客户进行支付时，对第三方支付机构提供的手机号码和银行预留的手机号码，进行一致性检验。此外，商业银行应就大额支付、可疑支付及时通知客户，对开通短信或其他方式即时通知功能的客户，应就每一笔支付交易即时通知客户，通知信息包含但不限于第三方支付机构名称、交易金额、交易时间等。

　　在赔付责任方面，10号文要求，商业银行在与第三方支付机构签订合作协议时，对于非银行直接认证的客户身份的批量扣款或电子支付，要与第三方机构就赔付责任达成一致。要求对客户通过大额资金划转强化身份认证，确保由客户本人发出资金划转要求。对大额支付、可疑支付要及时通知客户。从银行账户划出的支付交易资金，遇到交易终止、失败应划回原银行账户。

　　10号文第十六条则直接针对第三方支付机构的备付金管理出现的问题，强化对备付金监督管理。要求凡涉及备付金存放和资金划转的，均应建立每日对账制度，严格执行备付金银行及备付金银行账户相关监管要求，明确不得使用或变相使用银行内部账户以待清算资金等名义，为第三方支付机构存放客户备付金。商业银行应就第三方支付机构备付金存管业务建立统一管理机制，未经总行书面授权，任何分支机构不得直接与第三方支付机构合作开展备付金存管业务。

　　一位银行网络银行部人士透露，长期以来，支付宝利用手中沉淀的备付金，找各家银行的各分支行谈判，以求利益最大化。“但这不利于银行内部的集中管理，也不利于支付宝的头寸调度。

魔鬼在细节中

　　一方面，第三方支付机构力图通过快捷支付的便捷吸引更多客户；另一方面，第三方支付机构也在利用自身的网络优势屏蔽银行的网关支付。“在用户体验的选择权方面，这是不平等竞争。”有银行人士提出。

　　在银行人士看来，此次10号文的主要十八条要求中，至少十条是针对支付机构在以往操作中不配合银行的违规行为，亦凸显支付机构和银行在线上支付业务的博弈细节。比如，第十一条，商业银行应明确要求第三方支付机构不得在未经授权的情况下，屏蔽本银行的支付界面与接口。

　　有银行人士反映，他们发现，支付机构没给客户提供可以选择的银行网关支付界面，或者银行支付网关在不显眼的地方。“要点开好几层页面才能找得到；甚至让支付宝内部人士亲自在页面找了半天，才在个性化设置中才找到银行卡支付界面，”他抱怨说，“支付宝刻意屏蔽银行支付界面，但客户不会抱怨支付宝，只会抱怨银行没提供这个服务，银行比较冤。”他同时强调，“如果按照便捷原则，支付机构应该平等地为客户提供选择。比如，客户需要支付1万元或更多时，可能会认为从银行网关支付比较放心。但是如果支付机构不给客户提供这个通道，把银行网关屏蔽了，这就是人为制造银行和用户的矛盾。”

　　据知情人士透露，支付宝和180多家银行合作，在支付宝界面仅仅为不到20家银行提供网关接口。“小银行没有谈判能力，支付宝只给提供快捷支付接口，不给开网关支付；客户就享受不到银行提供的网关支付服务。”一位银监会人士亦称。

　　在安全性方面，10号文第十七条称，商业银行应采取技术措施保障来自第三方支付机构的传输数据（如客户数据、交易数据等）和操作指令（如支付指令、身份验证指令等）的完整性、一致性和不可抵赖性。对不具备对等安全保障能力的第三方支付机构，原则上不予合作。

　　“10号文的目的并不是终止合作，而是要求支付机构整改，强调对等安全。”银行人士表示，因为一旦发生资金纠纷，客户首先会先找商业银行的责任，因为资金在银行保管，但支付行为是在第三方支付机构发生的，很容易扯皮。这种纠纷的结果，即便支付机构承诺赔偿了，但也损害了银行声誉，这是让商业银行最为恼火的地方。而小银行更为弱势，在发生纠纷与支付宝谈判赔付时，甚至自己垫付赔偿资金，声誉损失和资金损失都由银行承担。“银行挺被动，支付宝太强势，又擅长利用舆论，加上以往银行服务意识的确不够，银行吃了哑巴亏，往往有苦说不出。”他说。

　　一位股份制上市银行人士向财新记者透露，通过快捷支付发生的纠纷，每个月赔偿金额几十万元，规模越大的银行可能赔偿金额越多。

　　财新记者也从一家大行了解到，该行通过快捷支付的风险案件逐月增加。比如，据该行统计，2013年1月到9月期间，在淘宝上通过快捷支付方式交易的争议笔数上升较快，从100多笔上升到近600笔，欺诈金额从15万元增加到60万元。有争议的笔数包括欺诈和诈骗。欺诈，指客户否认交易或自己将银行卡信息泄露导致资金损失；诈骗，指客户承认被骗自行泄露银行卡信息、验证码或被骗支付。“这仅仅是一家银行的部分统计数据。这说明快捷支付的风险问题不容忽视。”这位银行人士称。不过，他也承认，在这些纠纷中，支付宝最终都赔付了，虽然过程颇费周折。

　　接近支付宝的知情人士则认为，关于安全的议题，基本前提都是以“第三方支付是更不安全的，风险控制是更差的”为假设，因此推导出所有的规范也都是合理的。但目前没有数据和事实支持第三方支付是更不安全的。

　　工商银行原行长杨凯生则在第三届岭南论坛上表示，现在快捷支付的纠纷越来越多，客户经常投诉，支付宝里的钱被划转了，如何判定这是否是客户真实意愿，涉及很多问题。客户的账户在银行，但银行处于被动状态，这些问题需要找到解决方案。

如何加强信息安全

　　在加强银行内部风险防范方面，10号文要求银行将与第三方支付机构的合作需纳入全行业务运营风险监测系统的监控范围，达到风险标准的，应组织核查，特别是对其中大额、异常的资金收付要逐笔监测。银行应构建安全的网络通道（如专线连接、VPN通道等），制定安全边界（如部署防火墙、DMZ隔离区等），防止第三方机构越界访问。

　　据银行人士解释，所谓越界访问，是指快捷支付的功能超出了银行的授权范围。通常银行对支付接口的用途设定一定的授权，比如只能用于缴纳水电煤气费，但一些第三方支付机构在操作中存在扩宽支付接口用途的行为，将之延伸到购物等领域，但商业银行并未给其授权，“支付机构就偷偷摸摸地干了。如果支付机构想从这个接口处理其他业务，可以和银行谈在明处，银行会按照合规性的要求来合作”。

　　比如，银行授权支付宝的个人信息只是用于支付，但淘宝可能就会给客户推送一些广告，“在这个过程中，银行和支付机构共享的客户信息越多，信息保护安全性越差”。

　　10号文第十五条还要求商业银行对客户通过第三方支付机构进行的交易，建立自动化的交易监控机制和风险监控模型，对资金情况实时监控，及时发现和处置异常行为、套现或欺诈事件。

　　“这一条能否落实，取决于支付机构首先应按照去年央行下发的《银行卡收单管理办法》的规定，把明细的完整交易信息传输给银行，包括交易信息、真实场景、商户名称等信息，银行才能据测此建立风险识别监测模型。”前述银行人士称，目前，无论买理财、水电煤费、购物等，银行只能看到有资金通过第三方支付机构交易，但无法得知资金用途。

　　按照《银行卡收单管理办法》的规定，交易信息至少应包括：直接提供商品或服务的商户名称、类别和代码，受理终端（网络支付接口）类型和代码，交易时间和地点（网络特约商户的网络地址），交易金额，交易类型和渠道，交易发起方式等。网络特约商户的交易信息还应当包括商品订单号和网络交易平台名称。但实际操作中，大多数第三方支付机构发送给银行的信息并不包括二级账户的信息，即银行只能看到这笔第三方交易，但无法得知资金具体流向和用途，就无法向客户提示风险。

　　他介绍说，银行卡对每一笔交易的详细信息都会短信提醒给客户，降低出现伪卡盗刷现象，有利于识别风险。比如一天之内，某张银行卡在泰国和欧洲各发生了一笔交易，商业银行就会短信提醒，确认是否系卡主本人的支付行为。“其实这些交易信息支付机构都掌握，只是支付机构的信息提醒没有银行这么细；另外，支付机构想把银行给屏蔽掉，让银行慢慢失去这个客户的信息，让客户直接面对第三方支付机构。”

　　他亦强调，银行和第三方支付机构合作顺利的前提，是双方都遵守监管规定、合法合规。“比如，在快捷支付方面，此次银行并未下调腾讯财付通的支付额度，单笔支付限额都在几万元，这也是双方都尊重规则的结果。身份识别、交易验证，这些都是保护客户资金安全的最基本的底线，全世界都一样。”

　　为何各大行对于支付宝和财付通的快捷支付政策不同。业内人士认为，这或许和财付通推出的理财通产品之安全性有关系，理财通的申购赎回要求必须是原卡申购原卡赎回，而余额宝在赎回时可以跨行，这增加了安全上的难度。

　　财新专栏作者信海光撰文表示，此前携程网信用卡支付信息泄密事件，关键就在于如何合规对待用户信息上。携程网操作不规范，不但存储了CVV2码等按照国际惯例不该存储的信息，而且没有加密，使得信用卡支付这种安全的支付方式也变得不安全。“没有绝对安全的支付方式，关键在于操作者是否规范，相关的保障制度是否健全。”

　　一位消费者则告诉财新记者，“某天第二次用快捷支付时，发现信用卡号码都被记在里面了，直接输密码就完成支付，这样是很快，但是感觉好没安全感。”

　　一位不愿意透露姓名的第三方支付公司高管表示，创新不能没有底线，“很多第三方支付从业者不是不明白，是装糊涂，总是习惯用情绪化的抱怨来代替说理。”