曹君怡
(中国人民银行长春中心支行,吉林长春 130051)
代收业务指付款人同意后,收款人委托代收机构按照约定频率、额度等状况从付款人开户机构扣划账户资金给收款人,且付款人开户机构不再与付款人逐笔确认交易支付业务,支付链条中的主体包括付款人、收款人、开户机构、代收机构及清算机构。在实际生活中房贷还款业务就是具有代表性的代收业务,付款人在开户行主动发起充值并授权同意收款方代收资金行为,随后收款人根据付款人的支付意愿向合作的代收机构发起扣款指令,代收机构向清算机构发送支付请求,清算机构将调用支付接口的指令传给付款人开户行进行资金结算,付款人开户行将参与交易的账户金额进行记账并扣划资金,此过程即完成了代收业务。代收业务最初开展是用于固定性收费的支付场景,如代收水电费、房贷、信用卡还款等业务,但随着金融业务发展,代收业务的使用范围及场景有所扩大,且支付链条上多个支付参与主体来自全国不同地域,业务模式一般采取某一地机构签订业务开展协议,全国其他机构按该协议内容统一开展业务。
新型金融业务多与金融科技融合,需要平台、接口、运营等维护成本较高,加之激烈的行业竞争让参与主体急需扩展金融业务范围以广泛吸收社会各方面存款,留存资金形成资金池的意愿极强,刺激了支付行业各方将代收业务视为抢占市场、开辟效益增长点的主攻方向。一方面代收业务最大的特征属性是资金划转不需逐笔向付款人确认交易即可自动划转账户资金,相较于其他确认的支付业务而言交易验证弱,这一特性满足了部分新型金融业务使用代收业务渠道完成资金划转的需求,促使金融机构将本应适用于公众日常生活紧密相关场景的支付业务应用于了资金损失风险较高的场景。另一方面代收业务很长一段时间内只关注业务扩展速度及覆盖面,往往忽视支付场景资金划转模式的考量因素,如最初的外汇、P2P网贷等网络平台因存量业务清理机制不明确短期难以摆脱资金池模式,而部分支付主体依然模糊代收业务的使用规则扩大应用场景,支付场景的混淆使用是导致资金损失高风险事件频发的直接原因。
代收业务市场扩展空间较大,本身渠道建设成熟,使用方便快捷、收费低廉等优势释放了市场空间,金融机构对代收业务也不断的开发新项目,一些外包服务机构、金融科技公司等主体沿着支付价值链进行布局。代收业务对金融机构主要有两方面效益吸引,一方面是业务发生时获得的手续费收入和吸收存款产生的效益,另一方面借助代收业务吸收新客户,从而留存用户扩展其他业务收益。两方面利益使代收业务支付链条中衍生出多个主体,特别是规模较小的银行或支付机构会以业务创新协议的方式转接多个接口或渠道,从而参与到代收业务的支付链条中,即在付款人或收款人的交易流水中可以看到款项通过多个支付主体最终到达收款方账户。代收机构的角色是收款方通过与付款方签订协议约定对相关款项的处置权后,再授权代收机构对付款方资金进行划转。多个代收机构在支付链条中存在给支付交易及信息的处理带来冲击,支付风险从交易环节向前段和后端延伸。
互联网的开放性和无疆界性使支付信息更易受到外部供给,支付交易信息篡改、隐匿性加剧了支付安全管理压力,在代收业务中篡改、隐匿支付交易信息大致出现两大类情况,第一类变更结算通道。主要包括将通过快捷支付传输渠道进行结算的业务用于代收业务渠道进行结算,避免快捷支付客户验证环节;将一般代收业务交易信息篡改为代收公共事业费,使用该结算渠道便于享受更低的结算费率等国家优惠政策;篡改代收业务交易信息将结算通道更改为小额免密渠道,避免资金划转中密码验证环节。第二类存在黑箱,黑灰产业违规出售、转让系统接口,将代收业务应用于高风险场景或非法交易;或伪造、变造交易信息,黑箱环境下无法直接判断资金划转操作是否由本人意愿完成,即违法分子通过代收通道业务套用客户身份及验证信息编纂支付指令盗取客户资金。
在代收业务支付链条中,每个环节的两个支付主体主要通过签订协议规定双方权利及义务,协议中多数存在约定俗成的条款。这就产生了间接授权,主要是收款方与付款方签订协议约定收款方可对相关款项进行划扣、支付、冻结以及其他权利,意味着收款人可授权支付链条中的其他主体对付款人资金进行划转;收款方与代收机构签订协议约定同意代收机构在服务范围内提供资金代收付的相关服务,意味着代收机构间接获得付款方授权。两两签约使支付链条中某一方增减操作程序或建立绑定关系均不需要通过付款人亲自授权,业务责任主体同时发生转移,不但模糊了权力与义务的主体,同时削弱了对付款方的权益保护。例如在付款方开户银行对付款人的权益保护中,付款方开户行应履行在事先或首笔交易时取得付款人授权,并在后续交易时及时提示付款人交易信息的义务,但因为银行机构与代收机构及清算机构之间存在协议,导致部分银行机构在未取得客户直接授权、未有效审核客户真实意愿情况下开通付款人的代收业务。
主要有几点因素影响,一是资金交易参与主体异地分割。代收业务整个不同的环节均可通过互联网完成,支付主体可能均在异地操作完成业务;且扩展业务的银行分行、批准业务的银行总行、执行业务的各银行支行可能都在异地,权力义务关系缺乏明确规定,在管辖地点确认上增加了难度。二是并未明确规定参与主体资格。部分新型金融服务交易资金需要进入中间账户过渡,资金结算模式与“二清”①银行机构或支付机构将结算款支付给某个人或某个公司,再由某个人或某个公司结算给商户。模式相似,为避免违规为无证经营支付业务机构提供支付服务,大型正规的银行机构或支付结构一般不会为此类支付场景提供服务,就此催生了其他支付参与主体,在金融机构与新型金融服务主体间以协议方式转接代收业务并承担相应风险,新的参与主体不断更新监管范畴。三是监管交叉领域成为监管真空地带,新型金融业务、支付业务与互联网融合发展速度远超出预判方向,加之各部门对中间账户及资金划转模式等方面的规章制度及监管标准难以统一,监管空白区域逐渐扩大。
代收业务中参与主体更侧重于为发卡行和收单机构提供银行卡交易处理,往往忽视了前端风险信息系统中对不良信息的筛选。直接引发几种现象,首先无法有效排查受理终端和支付接口的使用状况,如果某一结算环节接收了篡改、隐匿后的交易类型信息,错误的支付请求及指令将继续在结算通道中传递,其后的支付环节都根据虚假的支付信息进行业务操作,即支付链条中支付流程前后信息不匹配,资金仍会顺利完成支付、清算、结算。其次,各支付参与主体扣划付款方账户资金是根据前一个环节被动接收调用接口指令,而不是根据持卡人的交易日志,实质上在资金结算服务过程中并不掌握付款人的支付意愿及支付行为。另外,支付参与主体对风险的监控大多以扣除外包机构保证金、暂停收款方代收服务等事后监督的方式实施风险管理,支付信息不透传降低了事前或事中监管的可能性,同时使新型金融服务中的个别风险向支付领域蔓延。
目前金融监管范围中覆盖到银行卡清算机构业务的规章制度偏少,对其监管内容、违规行为的认定、罚则等方面几乎空白,清算机构也缺少提供转接清算服务业务细则及报备,导致金融监管部门无法全面掌握清算组织在交易转接和资金清算服务中的业务规则,以及其与成员机构签订的协议中是否存在违规行为。银行卡清算机构作为银行卡产业的核心和枢纽,其制定推广的银行卡业务规则和技术标准如果与其他监管部门的规章制度相违背,一方面将误导其成员机构把违规行为当成行业惯例操作,形成“灰犀牛”事件,不同身份接入支付系统的参与主体在交易信息无法共享时,增加了风险在系统间传播的概率。另一方面银行、第三方支付机构以遵循与银行卡清算机构之间的协议为由拒绝承担风险责任,继而成为其他支付主体违规和责任推脱的借口,不利于对支付市场的有效监管。
在《中国人民银行关于规范代收业务的通知》①2020年10月26日出台,自发布之日起六个月后实施。文件出台前,因缺乏详细且有针对性的监管制度,多数市场支付主体忽视支付风险无顾虑的开展代收业务,由此也造成相关制度缺乏关注,相应的纠纷在实际业务中产生争议。目前支付监管特别是对新兴支付业务监管仍缺少明确的罚则,处罚手段以通报及整改为主,震慑力不足以抵抗支付主体违规后获得收益的诱惑力,同时责任主体概念不清,因为即使同一环节的支付主体也分为扩展主体、执行主体及批准主体,处罚时对处罚对象仍有疑虑。另外,目前我国并没有作为支付市场的基础性法律可全面保护消费者利益,除《人民银行法》原则性地赋予人民银行监管支付系统的职责外,仅靠部门规章难以确保对市场机构的影响力和震慑力。则最直接出现了三种反应,一是没有可操作的较严苛的处罚规定,支付机构违规后拒不改正;二是支付机构的业务形态、创新脱离央行监控;三是致使支付主体发生纠纷后无法可依的尴尬境地。
建立穿透式支付监管体系,对支付业务交易类型、支付指令管控,交易监测等方面进行模块化分类;实施针对性的风险管理,针对身份识别、账户服务、支付结算、收单等服务面临的风险建立针对策略,全面覆盖支付链条中的参与主体;明确责任主体及需要承担的责任内容,防止各支付主体推脱、转移承担风险责任,监管部门要持续关注支付市场衍生新的交易场景。
严格规划金融创新业务的结算通道,加强跨系统业务追踪和资金冻结功能,推动支付安全防御系统向智能化方向发展;逐渐放宽支付交易信息范围,支付链条中的各主体掌握必要的支付指令信息,发送支付指令的基础交易信息应逐渐包括参与主体之间签订的授权协议及业务开展协议;强化授权强度及交易验证步骤,严格要求付款人开户机构风险把控能力。
基于新型金融业务全生命周期管理,以相关监管部门不同视角梳理业务中参与主体承担的角色和功能,在业务合规的标准下进行分类评级;在商户资质审核、资金结算、客户认证等方面整合各方系统资源加强技术验证;加强监管部门的合作学习,多方收集线索核实情况,逐步排除高风险应用场景,健全黑名单信息管理机制,提升支付风险联合防控整治能力。