确保网络交易下的风险可控

本刊记者 朱 瑞

确保网络交易下的风险可控

本刊记者 朱 瑞

在刚刚过去的春节期间,抢红包无疑风头无两,微信红包、微博红包、支付宝红包等等犹如八仙过海各显神通,着实的让手机用户过了一把瘾。尽管红包的大小相继成为人们热议的焦点,但这次红包的集体出没却让央视春晚逊色不少确是不争的事实。

第三方支付上展现状

手机支付只是当前第三方支付业爆发式增长的一个缩影。近年来中国第三方支付交易量一直快速攀升。

在2014年全年工业通信业发展情况发布会上,工业和信息化部副部长毛伟明提到,信息消费在服务业中占了很大的比重。去年整个信息消费达到了2.8万亿元,增长了18%,尤其是电子商务交易额达到了12万亿元,增长了20%。信息消费拉动相关产业1.2万亿元的发展,对GDP贡献约0.8个百分点。网络零售交易额已经达到了2.6万亿元,增长了41%。

移动支付呈“井喷”增长态势的同时安全问题也集中爆发。互联网络信息中心数据显示,截至2014年6月,我国网络购物用户规模达到3.32亿,为全球各国网购人群规模之最。移动支付用户规模达2.05亿,占比61%;31.8%有网络购物经历的网民曾在网购过程中遇到钓鱼网站或诈骗网站,网购被骗网民的规模达6169万人次。

由此可见,在网络支付日益兴盛的同时,网络安全问题也成了人们在日常生活中不得不面对的棘手问题。

不过在此态势之下,还是有很多人持有乐观的心态。在采访中有专家认为,结合当前影响中国网络支付安全的案例分析,对中国网络支付安全的总体判断是:中国网络支付安全风险可控,总体平稳,趋势向好;但仍面临诸多潜在风险,需进一步重视、规范和提前筹划。

本文将在分析我国网络支付产业法律监管的环境下,借鉴国外经验,并提出相关建议。

近年来,国内第三方支付市场发展迅猛,规模不断扩大。为规范国内第三方支付行业,央行规定第三方支付企业必须获得支付牌照后才能进行商业运营。自2011年至今,央行一共发布了五批第三方支付牌照,持牌单位共计269家。

如何构建我国的第三方支付业务监管体系,确保第三方支付业务在规范的前提下健康可持续发展,为扩大内需、刺激消费,促进我国经济发展方式转变贡献力量,是当前央行及政府有关部门都在探寻的一个课题。

近期,央行发布了《关于推动移动金融技术创新健康发展的指导意见》(下称《指导意见》),提升移动金融安全可控能力,促进移动金融技术创新健康发展,切实发挥移动金融普惠民生的作用。

一位监管领域的专家向媒体介绍了《指导意见》的出台背景:“银行业、互联网企业、移动商都在开展移动金融业务,但相同的业务做法各有特点、各有风险。因此业内有一个呼声,希望央行牵头做一个指导意见,制定一个业务流程标准,从而有利于业内分享经验和风险控制。”

有央行人士表示,《指导意见》目前包含银行业金融机构和银联,将来会纳入支付宝与微信支付等。

一位从事监管的人士对媒体透露,针对非金融机构的移动金融文件目前正在征求意见,不久也会推出,两个文件是配套的。

《指导意见》发布的目的是:进一步贯彻落实《国务院关于促进信息消费扩大内需的若干意见》和《国务院办公厅转发密码局等部门关于金融领域密码应用指导意见的通知》有关精神,明确了移动金融技术创新健康发展的方向性原则。

第35次中国互联网络发展状况统计报告显示,网络信任不仅成为社会信任的重要组成部分,更是电子商务、互联网金融等深层网络应用发展的重要社会基础。2014年,有54.5%的网民表示对互联网信任,相比2007年的35.1%,网民对互联网的信任度有较大幅度提高。

网民对于互联网的信任离不开政府在监管力度上的持续加强,进而推动了网络支付行业的健康规范发展,赢得了网民的信任。《非金融机构支付服务管理办法》及其配套实施细则的出台,划定了网络支付机构规范发展的总体框架,明确了非金融支付行业的地位及业务属性,设立了行业的准入门槛,从备付金安全、实名制规范、反洗钱与反恐怖融资、支付风险管理、用户权益保护等方面提出了监管要求;中国支付清算协会成立近两年来,在行业自律、机构合规性检查以及行业研究方面开展了大量工作。同时,网络支付机构作为高新技术企业的代表,各地方政府对网络支付机构的关注和支持力度也明显提升。

尽管我国政府在不遗余力地跟上第三方支付的发展步伐,确保用户、机构、企业的资金在交易过程中的安全,但是难免会在一些地方出现缺角少棱的现象。

国务院发展研究中心金融研究所副所长巴曙松在其《中国网络支付安全白皮书》研究报告中指出,目前我国第三方支付监管中还是存在着不少问题,在这里就“拿来”一用。

（一）第三方支付监管立法有待完善

首先,我国虽然制定了《非金融机构支付服务管理办法》(以下简称《管理办法》),但其仅是一部部门规章,在我国的法律层级划分体系中,法律效力层级比较低,可以采取的监管和处罚方法有限。其次,《管理办法》仅对各类支付服务业务规则、沉淀资金管理、消费者保护、反洗钱等做了原则性规定,可操作性较差,有必要尽快制定相应的配套办法。再次,与第三方支付有关的刑事立法、民事立法也有待进一步完善。

（二）第三方支付的分类不适应业务上展和监管需要

《管理办法》将非金融机构支付服务分为网络支付(包括货币汇兑、互联网支付、移动电话支付、固定电话支付、数字电视支付)、预付卡发行与受理、银行卡收单,并按这种业务分类发放《支付业务许可证》。这种分类方法基本上是按照支付工具或者支付通道的角度来分的。但随着科技的发展和支付服务市场分工的进一步细化,各种支付工具、支付方式和支付渠道之间相互融合,相互连接,导致原有的分类方法已不能体现各种支付业务的本质特征和风险特点,不仅不适应第三方支付业务的发展,也给监管和相关法规制度的制定造成了困难。

（三）规范与上展需要进一步协调

总体来看,我国对第三方支付的监管遵循了规范与发展并重的原则,但在一些具体的监管政策方面存在着加强规范政策与促进发展政策不相协调的地方。特别是如何适应第三方支付发展的需要,如何随着第三方监管经验的不断丰富,有针对性的调整规范政策与发展政策的比重,仍需不断改进。

（四）备付金监管制度不够灵活

我国监管政策要求第三方支付机构的备付金只能以银行存款形式存在。这种监管政策在对第三方支付开展监管的初期,有助于防范备付金被挪用的风险,确保客户资金安全。但该方式规定不太灵活,不是最经济和最有效的备付金监管模式,有必要随着监管的逐步深入采用更加科学、更加有效的模式对备付金进行监管。

（五）消费者权益保护不足

从我国金融消费者保护领域的整体来看,还存在着缺乏完善的金融消费者保护法律制度体系、维权程序不健全、监管机制不足等问题。在此大环境下,由于第三方支付的科技性导致消费者与支付机构之间存在着更加明显的信息不对称,且我国对第三方支付的监管刚刚起步,因此在第三方支付消费者保护方面仍存在着很多不足,如客户备付金被挪用、客户信息被泄漏、服务协议霸王条款等,影响到第三方支付行业和电子商务的发展。

电子支付风险控制的国外经验

当前日益复杂的网络支付风险需要网络支付产业链各主体的通力合作来防范和化解,而探索并制定各方认可的风险分担规则是关键环节。

虽然网络支付既不同于传统的支票、信用证等支付模式,也不同于金融机构的电子支付业务模式,但由于目前我国网络电子支付通常都是利用信用卡或借记卡充值来实现的,风险分担规则可参考国际上相对较完善的关于借记卡或信用卡电子支付的风险分担规定。

在巴曙松所著的《中国网络支付安全白皮书》中,则详尽阐述了国外的先进理念和操作流程。文章主要从监管模式、监管目标、监管原则、监管措施等方面给予法律监管等方面的支持。在这里我们不妨一起学习一下美国以及欧盟是如何管控第三方支付的。

1.监管模式

美国对第三方支付实行的是功能性监管,将监管的重点放在交易的过程而不是从事第三方支付的机构。美国国会以及财政部通货监理署、美联储、联邦存款保险公司、储贷监理署等多个监管部门先后颁布了一系列适用于第三方支付机构的法律法规。1999年颁布的《金融服务现代化法》将第三方支付机构界定为非银行金融机构,其监管从属于金融监管的整体框架,即实行功能性监管。在法律上,美国将第三方支付视为货币转移业务,本质上是传统货币服务的延伸,因此美国并没有将其作为一类新的机构通过专项立法进行监管,而主要从货币服务业务的角度管理。

与美国的功能监管模式不同,欧盟对第三方支付的监管为机构监管,倾向于对第三方支付机构给出明确的界定,先后颁布了多部具有针对性的法律法规。早在 1998年,欧盟就规定网上第三方支付媒介只能是商业银行货币或电子货币。基于这种规定,欧盟对第三方支付机构的监管也是通过对电子货币的监管加以实现的。第三方支付机构只有在获得银行或者电子货币机构营业执照的前提下才能从事相关业务,在电子货币的发行、交易清算、回赎等方面接受相关监管机构的监管。此外,欧盟颁布的《增进消费者对电子支付手段的信心》、《反对非现金支付工具的欺诈和伪造行动框架》等通告是规范第三方支付机构的有益补助。

2.监管目标

在监管目标方面,世界主要发达国家具有较高一致性。总体目标均是建立和维护一个稳定、健全和高效的第三方支付体系,保证第三方支付机构和第三方支付市场稳健发展,进而推动经济和金融发展。从具体目标看,首先是促进第三方支付手段和支付体系的高效和安全,这也与中央银行对零售支付的监管目标是一致的,因为电子货币出现和发展的基础仍是法定货币。其次是加强对消费者的保护。由于第三方支付机构与消费者之间存在信息不对称,且多数第三方业务存在负的外部性和天然垄断性,如果立法不能有效保护消费者,消费者将会因担心权益受损或安全问题而减少通过非金融机构的交易,不利于第三方支付企业的发展。因此,各国监管部门都把消费者保护作为第三方支付监管的重要目标。再次是防范洗钱等方面的风险。第三方支付为资金的转移提供了一种新的快捷渠道,有可能被洗钱者所利用,因此反洗钱也成为各国第三方监管的重要目标。

3.监管原则

（1）审慎监管原则

鉴于客户沉淀资金(备付金)在确保第三方支付稳健运营、保护消费者权益方面处于核心地位,美国对第三方支付机构的审慎监管原则首先体现在对客户沉淀资金的监管上。鉴于美国法律将第三方支付平台上滞留的资金视为负债,而非联邦银行法中定义的存款,通过规定第三方支付平台滞留的资金需要存放在商业银行的无息账户中,美国联邦存款保险公司进而以提供存款延伸保险实现对滞留资金的监管,每个用户资金的保险上限为10万美元。

欧洲议会与欧盟理事会于2000年9月18日颁布的《关于电子货币机构业务开办、经营与审慎监管的2000/46/EC指令》是为规范欧盟电子货币活动而采取的一项重大立法措施,其中体现的重要原则之一就是审慎监管的原则。该指令不仅对电子货币机构提出了自有资金、初始资本金和持续资金要求,也对电子货币机构所能从事的业务范围及其所收资金的投资活动给予了严格限制。

（2）强化监管与支持创新兼顾的原则

美国作为第三方支付业务和互联网电子商务的主导者、先行者及全球最大的受益者,主张政府尽量减少管制措施以促进第三方支付和电子商务的发展。因此,尽管美国针对第三方支付建立了较为完备的监管框架,但在一些具体规定上相较其他国家仍显宽松,以鼓励创新。

欧盟所引入的电子货币机构审慎监管机制虽然是以信用机构业务审慎监管框架为参照标准,并在后者的基础上产生,但它毕竟是不同于后者的一套独立的具有自身特色的监管机制。欧盟希望其构建的监管框架一方面可确保电子货币机构稳健和审慎运营,有助于电子货币在发行和应用中充分发挥其优势;另一方面又极力避免使自身成为电子货币技术不断革新的障碍,以免遏制有关技术的进一步发展和创新。如规定第三方支付机构只要取得一个成员国的“单一执照”,即可在整个欧盟通用。

（3）消费者保护原则

在防范系统风险的前提下保护消费者权益是西方市场经济监管的核心原则之一,第三方支付行业也不例外。从法律规定看,美国相关的消费者保护主要是从消费者使用信用卡、借记卡以及电子现金等支付工具进行支付的角度来规定,通过第三方进行的支付也被纳入其中。

在欧盟方面,从20世纪80年代中期以后,欧盟委员会逐渐从成员国手中接过了制定消费者保护政策的责任。欧盟委员会1997年发布了名为《增进消费者对电子支付手段的信心》的通告,提到监管机构应考虑与消费者有关的问题:一是监管机构必须向电子货币的发行人和使用者提供透明度、责任和争议解决程序的指南,以维护使用者的信心。二是监管机构必须考虑欺诈和伪造的风险,提高安全性。

4.监管措施

欧美等发达国家和地区对第三方支付机构规定了必要的准入门槛,要求第三方支付平台需通过审批取得执照,审批的内容包括资金实力、财务状况、风险管理以及报告制度等方面。更重要的是,这种对第三方支付机构的审慎监管并不是单一、静态的,准入审批只是监管的开始,分类监管和动态监管的实施能够更好地控制风险、保证第三方支付机构维持良好的经营和财务状况。

欧盟也同样对第三方支付机构实行动态监管,主要注重以下几点:自有资本、充足的流动资金、合适的风险管理系统以及必要的报告制度。此外,欧盟要求第三支付机构在经营过程中对业务风险进行动态管理,第三方支付机构必须具备稳健与审慎管理、行政管理和会计核算程序以及适当的内部控制机制。

对完善我国第三方支付监管的建议

(一)增强消费者对信息安全的防范意识。在安全问题上,加强支付者对身份验证或使用密码钥匙的常规了解,通过实施防火墙技术、加密技术、认证技术、防病毒软件即时升级来保障交易安全,同时对专业提供网上支付服务和第三方平台作用的企业也应有足够的认知。

(二)金融监管部门和央行应当加强对电子支付平台的监督管理和检查力度,及时进行风险提示或处理。此外要对第三方支付的账户进行规范,要求第三方严格区分自有资金和中转账户资金,不得随意挪用挤占,不得进行风险性盈利投资甚至投机;要求第三方在开户行存入保证金,一旦出现问题,银行可以抵御风险。

(三)借鉴欧美经验,建立针对第三方支付的多层次的、全面的法律体系。进一步细化对第三方支付业务的监管措施,不断提高第三方支付监管措施的可操作性。此外,由于网络跨国性交易特性,除自律规范之外,更需要通过各国有关银行或金融相关法规加以规范,给电子支付的发展提供规范明确的法律环境。

(四)建立协同动态监管机制。第三方支付包括支付网关型、虚拟账户型、电子货币发行型等多种类型。对监管的个性化要求较高,需要人民银行、银监会、工信部等相关部门协同监管,而不宜采用一刀切的监管做法。涉及电子支付市场的监管主体为央行及银监会;央行从反洗钱、反非法集资等金融市场稳定的角度实施监管;央行与工信部对第三方支付平台实施双重监管,前者维护支付清算系统稳定,后者则从信息服务市场许可制度出发。此外,由于电子支付方式的无国界性,还需建立国际统一的法制体系,加强金融监管的国际合作。

2014年4月26日,由中国社会科学院金融所、社会科学文献出版社共同在北京举办《支付清算蓝皮书:中国支付清算发展报告(2014)》的报告会上,国际信用卡组织VISA中国区总经理廖光宇在会上谈了自己对互联网的看法。

他指出,由于互联网的发展,以及移动技术的发展,出现了很多新产品,但也让犯罪分子有很多机会,“因为互联网与移动技术发展,犯罪分子可以随时随地在任何的地方任何时候发起攻击。”

“为了有效对抗这样的威胁,VISA没有其他选择,我们必须吸收各方的力量,包括政府、银行、商户,大家通力合作才能够在全球范围内有效的遏制交易、欺诈,以及数据泄露,这样才能够保持所有从业者的信誉。”他说。

中国银联近期也宣布,已经将境外可以使用银联卡的范围扩大到150个国家和地区,累计发行超过40亿张银联卡。2014年中国银联全球交易额达41万亿元人民币。

取得如此骄人成绩,中国银联董事长葛华勇在接受媒体采访时表示,银联掌握的海量数据是银联“不可估量”的财富。很多企业也在开发此类大数据的商业化运用,但信息泄漏时有发生;如何利用这些大数据,急需出台相关的信息管理办法,以确保网络数据安全。

他透露,银联已经成立了专门的银联数据公司,相关的研究已经为国家宏观经济层面的决策发挥了比商业价值更大的作用,银联还正在研究与国家征信部门寻求合作。

中国整个支付行业已经形成了百花齐放、百家争鸣的现象。促成这一现象的出现,不外乎企业间的良性竞争和彼此合作。但从竞争层面来看,线上线下界限越来越模糊,传统的支付组织从线下往线上发展,支付宝是从线上向线下发展,PayPal也在进行线下支付的尝试,但到目前为止规模都比较有限,远远小于目前为止双方已经合作多年的业务规模。

随着整个生态体系的日臻完善,我们呼吁中国所有的支付产业参与方,我们可以竞争,但是今天为了整个中国健康发展,我们应一起打造一个零风险支付环境。