上证报记者确认,为切实保护商业银行客户信息安全,保障客户资金和银行账户安全,维护客户合法权益,加强商业银行与第三方支付机构合作业务管理,银监会与央行近日联合下发《关于加强商业银行与第三方支付机构合作业务管理的通知》(银监发【2014】10号)。该通知对商业银行与第三方支付机构建立业务关系提出系列明确要求。
这是自上月央行就第三方支付机构相关业务管理办法征求意见,并暂停二维码(条码)支付业务引发市场轩然大波以来,又一次针对该行业的规范行动。与上月不动的是,此次银监会领衔了此次规范市场合作的行动,并且向与支付机构合作的银行业机构提出了要求。
客户信息安全、资金安全成为银监会与央行此次联合行动的主要宗旨。该通知要求,商业银行与第三方支付机构合作开展各项业务,对涉及到的客户金融信息管理,应严格遵循有关法律法规和监管制度的规定,严格遵照客户意愿和指令进行支付,不得违法违规泄露。
并且,商业银行应对客户的技术风险承受能力进行评估,客户与第三方支付机构相关的账户关联、业务类型、交易限额等决策要求应与其技术风险承受能力相匹配。
该通知称,客户银行账户与第三方支付机构首次建立业务关联时,应经双重认证,即客户在通过第三方支付机构认证同时,还需通过商业银行的客户身份鉴别。账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份,明确双方权利与义务。
分析人士认为,增加银行的身份鉴别,会影响开通快捷支付的便捷性和客户体验。
该文件的第六条称,商业银行应设立与客户技术风险承受能力相匹配的支付限额,包括单笔支付限额和日累计支付限额。业内人士称,这实际上代表着,监管层认可了此前业界备受争议的四大行下调支付限额的行动。
不过,该文件也称,“商业银行应向客户提供临时调整支付限额的服务,在进行身份验证和辨别后,按照客户申请,在临时期限内可以适当调整单笔支付限额和日累计支付限额。”
该文件的第十四条规定,“商业银行应将与第三方支付机构的合作业务纳入全行业务运管风险监测系统的监控范围,对其中的商户和客户在本行的账户资金活动情况进行实时监控,达到风险标准的应组织核查。特别是对其中大额、异常的资金收付应做到逐笔监测、认真核查、及时预警、及时控制。”
而且,第十六条还规定,“商业银行应就第三方支付机构备付金存管业务建立统一管理机制,未经总行书面授权,任何分支机构不得直接与第三方支付机构合作开展备付金存管业务,强化备付金的监督管理。”
业内人士称,将合作业务纳入到全行业务运管风险监测系统的监控范围,以及对备付金存管业务统一管理的要求,将使得此前部分大型支付机构采取对各分行逐个“击破”的合作方式难以为继。
银监会和央行要求,商业银行应按照该通知各项要求,做好相应的制度及合同修订工作。相关工作最迟应于2014年6月30日前完成。
点评:
中金:第三方快捷支付功能将受进一步限制
据媒体报道,银监会和央行[微博]联手下发《中国银监会中国人民银行[微博]关于加强商业银行与第三方支付机构合作业务管理的通知》(银监发10号),试图规范商业银行和第三方支付机构的合作。
我们认为第三方支付机构的快捷支付和数据共享面临挑战,但实际效果取决于执行力度:
1、第三方支付机构的快捷支付功能将受到进一步限制。继四大行下调快捷支付的支付限额后,此次10号文提到了两点,可能会对快捷支付,包括余额宝[微博]等的申购产生影响:
a、快捷支付用途受限。10号文指出,“银行应构建安全的网络通道,制定安全边界,防止第三方机构越界访问”。所谓越界访问,指快捷支付的功能超出了银行的授权范围。据我们了解,银行普遍对支付接口的用途设定一定的限制,比如只能用于缴纳水电煤气费,但部分第三方支付机构在操作中存在扩宽支付接口用途的行为,比如将之扩宽到购物。
b、快捷支付开通受限。10号文指出,“首次建立业务关联时,必须通过第三方支付机构和银行的双重身份鉴别”。而实践操作中,开通快捷支付时一般只需要第三方支付机构的身份鉴别。增加银行的身份鉴别,会影响开通快捷支付的便捷性和客户体验。
2、第三方支付需要和银行共享客户和交易信息。10号文和去年央行发布的《银行卡收单业务管理办法》指出,“收单机构应当...正确选用交易类型,准确标识交易信息并完整发送...交易信息至少应包括:直接提供商品或服务的商户名称、类别和代码,受理终端(网络支付接口)类型和代码,交易时间和地点(网络特约商户的网络地址),交易金额,交易类型和渠道,交易发起方式等。网络特约商户的交易信息还应当包括商品订单号和网络交易平台名称。”但实际操作中,部分第三方支付机构发送给银行的信息并不包括二级账户的信息,即银行只能看到这有一笔钱通过支付宝[微博]交易,但无法得知资金具体流向和用途。我们理解,客户和交易信息是大数据环境下第三方支付公司的重要资产,如果未来被迫和银行分享,将影响第三方支付公司这些数据的价值。 (中金公司银行业团队作者 黄洁 毛军华等)