近日,中国人民银行发布《非银行支付机构网络支付业务管理办法》,这个备受关注的第三方支付管理办法终于正式出台。
今年7月31日,央行公布《非银行支付机构网络支付业务管理办法》(征求意见稿),对第三方支付业务提出明确的监管要求,引发了全社会热议。专家学者认为,征求意见稿回归网络支付业务本质,厘清支付机构定位,有利于第三方支付业务持续健康发展。但部分金融消费者和从业机构对办法有所误读,网购一族担心自己的网络消费和支付行为受到过度限制,而第三方支付机构自认为遭遇了史上最严厉的监管。
那么,在经过广泛深入的讨论之后,《办法》又有哪些改变呢?我们看到,《办法》很好地坚持了“依法监管、适度监管、分类监管、协同监管、创新监管”原则,既对支付机构网络支付服务明确了监管要求,又充分考虑行业现状,尊重市场创新,保护消费者合法权益。相对于五个月前的征求意见稿,正式版的《办法》主要在支付账户和支付机构分类等两方面进行了修改和完善,并为下一步的探索和创新发展留出了弹性的空间。
概括起来,《办法》主要有以下五个方面内容:
一是明确概念定义。哪些是非银行支付机构?《办法》所称的支付机构,是指“依法取得《支付业务许可证》,获准办理网络支付业务的非银行机构”。这就明确了支付机构的两个核心要素:第一,支付机构应取得支付业务许可证;第二,支付机构不是金融机构,更不是银行。因此,第三方支付是支付市场的补充者,协助商业银行开展支付结算业务,与商业银行形成互助、互补的关系。
那么,什么是网络支付业务?网络支付业务是指“收款人或付款人通过计算机、移动终端等电子设备,依托公共网络信息系统远程发起支付指令,且付款人电子设备不与收款人特定专属设备交互,由支付机构为收付款人提供货币资金转移服务的活动”。这个听起来有点晦涩的定义,界定了网络支付的业务边界,也向我们传递了一个信息:目前比较普遍的线下扫描二维码进行支付的行为,并未得到央行认可,不属于网络支付业务。
二是回归业务本质。《办法》强调,支付机构应当遵循主要服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨,这是对支付机构的根本定位。这就要求,支付机构不忘初心、回归本质,以服务好电子商务发展为出发点和落脚点,不经营或者变相经营证券、保险、信贷、融资、理财、担保、信托、货币兑换、现金存取等业务。
支付机构为客户提供网络支付服务,既可以基于客户的银行账户,也可以按照《办法》规定为客户开立支付账户。那么,支付账户的本质又是什么?《办法》强调,支付账户所反映余额的本质是预付价值,类似于预付费卡中的余额,与客户的银行存款完全不同。预付价值仅代表支付机构的企业信用,法律保障机制上远低于货币,也不受存款保险保障。一旦支付机构出现经营风险或信用风险,将可能导致支付账户余额无法使用,也不能回兑为银行存款,使客户遭受财产损失。在现实中,这样的案例已经多次出现。
三是实施分类管理。《办法》的最大亮点,在于对支付账户和支付机构实施分类管理:
第一,优化了个人支付账户分类方式,从征求意见稿的综合类账户、消费类账户等两类扩充为Ⅰ类、Ⅱ类、Ⅲ类等三类,三类账户相应身份核实方式、余额付款功能和限额各有不同:Ⅰ类账户的开立仅需通过1个外部渠道验证客户身份,开户过程最为便捷,但仅用于消费和转账,且累计付款限额1000元;Ⅱ类如果以非面对面方式,应通过至少3个外部渠道验证身份,功能也是消费和转账,但限额提高到每年10万元;Ⅲ类账户最强大,除了消费和转账,还有投资理财功能,年累计限额为20万元,但需要至少5个外部渠道验证身份。
第二,对支付机构实施分类管理,将支付机构分为A、B、C等三类,对于高等级的支付机构,在客户身份验证、账户转账功能、单日交易限额、快捷支付验证、个人卖家管理等方面,制定了差别化措施。如A、B类机构的客户,在安全认证级别不足情况下的单日交易限额,可以从5000元分别提高到10000元、7500元。
四是加强风险防范。近年来,网络支付领域风险隐患较多,《办法》着重从5个方面对支付机构提出要求:综合客户类型、身份核实方式、交易行为特征、资信状况等因素,建立客户风险评级管理制度和机制;根据客户风险评级、验证方式、交易渠道等因素,建立交易风险管理制度和交易监测系统,对疑似风险及时采取控制措施;向客户充分提示潜在风险,及时揭示不法分子新型作案手段,加强安全教育,与其他机构合作开展金融类产品销售前必须充分了解合作机构信息并向客户充分提示;以“最小化”原则采集和使用客户信息,告知客户相关信息的使用目的和范围,不得向其他机构或个人提供客户信息;提高交易验证方式的安全级别,采用的数字证书、电子签名、一次性密码、生理特征等验证要素应符合法律法规要求。
此外,《办法》还对网络支付系统设施、数据备份、技术规范等提出要求,并要求支付机构制定突发事件应急预案。
五是保护客户权益。《办法》针对支付机构客户权益保护方面的不足,明确4个方面要求:在知情权方面,以显著方式提示客户注意服务协议中重要事项,确认客户充分知晓并清晰理解相关权责利,每年1 月底前公布上一年度客户投诉和风险事件报告;在选择权方面,充分尊重客户真实意愿,由客户自主选择支付机构、收付方式,不得以诱导、强迫等方式侵害客户自主选择权;在信息安全方面,制定客户信息保护措施和风险控制机制,特别强调应对商户采取有效措施进行监督,防范因商户违规存储信息而导致客户信息泄露或资金损失;在资金安全方面,及时处理客户提出的差错争议和投诉,建立健全风险准备金和客户损失赔付机制,对不能有效证明因客户原因导致的资金损失及时先行赔付或无条件赔付。
征求意见稿出台之后,我就撰文《央妈是金融消费者的亲妈》,认为相关办法突出了对金融消费者的权益保护。果不其然,央行用心良苦啊!
总之,《办法》七大章四十六条规定,蔚为大观,内容丰富。纵观全文,我认为《办法》一以贯之的是两大精神,这也是修改后的正式版凸显的两大特点:
一是坚持原则性和灵活性的统一。账户实名制是一项重要的、基础性的金融制度,是各类经济活动的基础,是打击洗钱等犯罪活动、维护经济金融秩序的重要保障。因此,坚持实名制是《办法》的重要原则。《办法》要求支付机构遵循“了解你的客户”原则,建立健全客户身份识别机制,对客户实行实名制管理,不得开立匿名、假名支付账户。但在客户身份验证上,《办法》列出的验证渠道十分丰富,不但包括公安、社保、民政、住建、交通、工商、教育、财税等政府部门,还包括银行、保险、证券、铁路、电力、电信、水务、燃气、航空等公司以及征信机构等。由于这些机构都运营着能够验证客户身份基本信息的数据库或系统,多渠道交叉验证方式将显得更加灵活。部分评级较高的支付机构,经央行同意后还可以创新其他方式验证身份。
《办法》禁止第三方支付机构执行清算职能,原则上支付账户与非同名的银行账户之间不可以相互转账,但开出了个口子:部分机构,如“A”类且Ⅱ类、Ⅲ类支付账户实名比例超过95%的支付机构,支付账户与非同名银行账户之间可以相互转账。
二是坚持安全性和便捷性的统一。网络支付已经飞入老百姓家,不少人担心单日限额管理影响日常消费。而《办法》基于保护客户资金安全的考量,仍然设置单日累计限额:对支付机构采用不包括数字证书、电子签名在内的两类以上要素进行验证的交易,单个客户单日限额5000元;不足两类要求进行验证的交易,单个客户单日限额1000元。但对于安全级别较高的支付账户余额付款交易,如采用包括数字证书或电子签名在内的两类以上要素进行验证的交易,支付机构可以与客户自主约定限额,胆大的客户可以任性消费。
其实,央行的初衷是“鼓励创新、防范风险”,针对支付账户余额使用的限额规定是兼顾安全性和便利性的。事实上,根据代表性支付机构数据,2014 年全年使用支付账户余额付款,累计5000 元以下的个人客户数量占80.13%。因此,《办法》日累计限额管理措施,可以满足绝大部分客户的实际需求。也就是说,绝大部分客户的网络支付行为,即使仅仅通过支付账户进行,也不会受到影响。而且,客户使用银行账户付款,如银行网关支付、银行卡快捷支付,更是不受支付账户限额的约束。
因此,无论你“双十一”上网血拼还情人节买iPhone 6S当礼物,想买就买,消费支付的体验还是棒棒哒!
尽管对金融消费者直接影响不大,但千呼万唤始出来之后,《办法》将对整个第三方支付行业产生重大影响。总体上看,《办法》明确了第三方支付机构的性质定位和业务边界,加强规范,差别管理,鼓励创新,将有利于第三方支付行业健康可持续发展。对于那些资本实力、技术能力和市场份额占优的企业,这将是一个最好的时代。不出意外的话,大型支付机构还将继续扩大市场占有率,寡头垄断的市场格局最终将可能形成。而对那些仅仅拥有牌照、缺少优势和特色的小型支付机构而言,这将是一个最坏的时代。业务管理的加强、业务模式的限制,将直接压缩它们赖以生存的灰色空间,支付牌照的价值也将下降,发展前景不容乐观。可以预见的是,第三方支付市场“规模经济效应”将进一步显现,一轮大规模的洗牌将不可避免。
因此,对于第三方支付机构而言,应进一步认真落实《办法》精神和要求,加强业务管理和技术创新,提供安全性和便捷性俱佳的支付产品和服务,做我国支付市场的补充者,做互联网金融的链接者,做普惠金融的践行者,在我国金融体制改革和创新的浪潮中找准定位、健康发展。
在《非银行支付机构网络支付业务管理办法》发布之前,12月25日,央行发布了《关于改进个人银行账户服务 加强账户管理的通知》。应该说,央行正在按照“同一业务,同一规则”,对商业银行与互联网公司网络支付提出要求。无论是银行账户还是支付账户,只要提供安全、便捷的金融服务,都是好的账户。一个横跨商业银行和支付公司、贯彻线上支付和线下支付的更强大、更安全的账户体系,在央行和有关各方努力下逐步形成。