网络支付分层监管 行业面临大浪淘沙
- 发布时间:2015-08-03 07:18:32 来源:一财网 责任编辑:王磊
作为互联网金融创新的核心功能——网络支付,已广泛渗透在人们生活的各个方面。它在为网络消费、支付和理财等提供便利的同时,也因缺乏监管和相应标准而引发安全担忧。
如何在创新与安全之间取得平衡,确实令监管层操碎了心。经过多轮讨论,网络支付监管第四版草案征求意见稿终于发布,却因为“最高限额5000元”的误读,引发强烈质疑。
参与意见稿起草的央行相关人士第一时间出来澄清,并向《第一财经日报》记者回应,消费额并无限制。出于安全考虑,只是对支付账户交易额分档监管,网购最高限额为5000元的说法为误读。
第三方支付机构对意见稿也提出看法,认为监管层要求的多重验证方式,特别是手机数据认证难题有待攻克,国内没几家能做得到,支付行业将面临一次大洗牌。
根据验证账户分类
7月31日,央行发布《非银行支付机构网络支付业务管理办法(征求意见稿)》(下称“意见稿”)。上一轮,《支付机构网络支付业务管理办法》面向公众征求意见首秀还是2012年1月,至今时间过去了3年6个月。
“应该说在当前零售支付工具快速发展、非银行信用支撑的电子支付账户变得更加复杂的情况下,这是一种过渡性的次优选择。”中国社科院金融研究所所长助理杨涛向《第一财经日报》解读意见稿时说。
“经过多轮讨论之后,意见稿对最初的限额管理有了较大放松,并且不是按照网络账户转账和消费的交易行为,而是转为根据实名制强弱的账户性质。”杨涛说。
这次征求意见,将支付账户分为综合账户、消费账户两种类型。
综合账户可以用于消费、转账以及购买投资理财产品或服务。综合账户需要面对面核验身份,或者用至少5种方式进行交叉验证身份。消费账户仅可以用于消费以及转账至自己的同名银行账户,消费账户需要至少3种方式进行交叉验证。
意见稿第十六条(三)规定,支付机构应根据客户身份对同一客户开立的所有支付账户进行关联管理。个人客户拥有综合类支付账户的,其所有支付账户的余额付款交易(不包括支付账户向客户本人同名银行账户转账,下同)年累计应不超过20万元。个人客户仅拥有消费类支付账户的,其所有支付账户的余额付款交易年累计应不超过10万元。超出限额的付款交易应通过客户的银行账户办理。
“综合账户年支付账户消费额不超过20万元,消费账户不超过10万元。当然,他们如果使用银行账户消费同样是没有限制。”一位参与意见稿起草的央行相关人士向《第一财经日报》表示,“理论上,监管部门不对这类客户(通过最高级别验证的客户)作支付账户消费限制。但是出于安全考虑,往往支付机构反而会对客户的支付账户消费进行限制。”
有市场人士提出疑问:支付机构给个人开户,如果是消费类账户,需要三个机构为用户做身份验证。如果是具备理财、转账功能的综合账户,则需要5个机构来验证。也就是说,未来用户如果要发微信红包,需要先向微信提交5个机构的证明来验证自己身份才可以?
对此,央行相关人士解释,只要客户授权同意查询,支付机构和合作机构通过系统查验即可,不需去居委会,商业征信也可以,只要客户授权同意查询,支付机构和合作机构通过系统查验即可。也就是说,商业征信和身份证号都可以。
支付账户交易额分档
意见稿还对支付账户的交易额度进行监管,根据安全验证信息以确定其交易额度,分别为1000元、5000元和无限额三档。
简单来说,只有一类验证的单日限额1000元;有两类验证的单日限额5000元,比如密码+短信的验证方式;交易用数字证书或电子签名验证的进行验证,额度不限制,具体多少支付机构跟客户自己决定。
有市场人士将意见稿解读为,第三方支付账户最高支付额度仅为5000元。对此,市场反应强烈。
上述参与意见稿起草的央行相关人士向《第一财经日报》记者回应,市场上关于意见稿规定网购最高限额为5000元的说法为误读,消费额并无限制。出于安全考虑,只是对支付账户交易额分档监管。
“第三方支付账户和银行账户肯定是存在区别的,央行根据不同的验证标准,对支付账户设置了高中低三种层级的消费等级,”央行相关人士向本报记者解释,“最高级别包括数字证书或电子签名在内两类验证信息,中档不包括数字证书、电子签名在内两类验证信息,低档只包括一类验证信息就够了。”
上述央行人士称,有了高安全级别,可以确定唯一性、不可抵赖、不可伪造,所以理论上可以无限额消费。但反而是支付机构会对这高安全级别的客户作一定的消费额限制,但我们并未设限,这由支付机构根据自身情况来定。
手机数字认证技术尚待提高
第三方支付机构对意见稿似乎不太乐观。
针对意见稿,国内某大支付机构相关人员对《第一财经日报》说:“开户很难去完成,设置了很多这样的验证方式,要完成这样的验证方式,国内几乎是不可能的,国内没有几家能够做到。”
实际上,上述支付机构人士所说的就是数字证书、电子签名这一条规定。
根据意见稿规定,支付机构采用包括数字证书或电子签名在内的两类(含)以上要素进行验证的交易,理论上可以无限额使用支付账户交易。
但根据意见稿第二十九条规定,支付机构采用数字证书、电子签名作为验证要素的,应当通过符合相关技术安全标准、具有数据安全存储和运算能力的硬件载体对数字证书及生成电子签名的过程进行保护,确保数字证书的唯一性、完整性及交易的不可抵赖性。
数字证书是由第三方认证中心对用户身份进行严格的审核后,为用户颁发的,它通过公钥加密技术对用户的公钥信息和用户的身份信息做了数字签名,把用户所宣称的身份信息与公钥绑定在一起。于是,包含有用户个人身份信息、公钥和数字签名的一个特殊的电子文件就形成了数字证书。
数字证书通常存储在usbkey硬件设备里。采用数字证书进行电子签名,可以解决交易信息的完整性和有效性,并且不可被抵赖。
而据多名接受采访的业内人士均向《第一财经日报》介绍,目前数字证书与电子签名在手机端是不好实现的。据了解,手机数字证书或电子签名目前国内体验较差(据说是外置设备插在手机上)。因此,很多支付机构担心,这是不是对支付机构技术的倒逼?
关于我国电子支付行业数字证书与电子签名的应用现状,有业内人士称,电子签名在我国尚未广泛普及,同样移动端数字证书也面临小众化、用户认知度低的境遇。
动了支付机构的“奶酪”?
“余额这一个概念就没有了,余额都转走了,这一块对我们来说影响挺大。”上述支付机构相关人士向本报说。
此前,第三方支付机构凭借着快捷支付的快速体验迅速占领支付市场,目前也成为第三方支付最重要的支付手段。业内人士认为,本次对支付账户交易额的限制的确某种程度“动了支付机构的奶酪”。
实际上,这也是央行对第三方支付沉淀资金的担忧。余额支付方式限制额度,将消费者引导至其他支付方式,自然在第三方支付平台的沉淀资金就少了。
“比如消费者支付账户虽然5000元限额只针对余额,但是通过刷银行卡的时候还有一道卡,就是快捷支付,每一家银行对快捷支付的额度都不一样,这就造成了一定障碍。”上述支付机构相关人士说。
的确,网银支付、快捷支付现在也不是无限额的,这是由各家银行规定的。目前我国商业银行的快捷支付额度各有不同,据本报记者了解,市场上银行卡快捷支付单日额度从最小的5000元到50万元不等。
“目前,监管部门尚未对银行卡快捷支付有确切的额度监管。”某银行网络银行部人士向本报记者表示。他认为,站在银行的角度看,仅仅通过手机验证码来进行快捷支付是不够安全的,所以有一定的额度限制是出于对消费者的资金保护。
而监管层对快捷支付额度的管理,更多的是根据资金安全考虑,银行账户相对比企业账户要安全,银行信用更为安全可靠。上述央行人士称,银行账户是银行信用,支付账户是企业信用。支付机构是企业账户,账户金额比较大,企业挪用客户存款的事件也屡屡发生。不久前出台的存款保险制度则规定对个人存款账户50万以内的赔付,这比企业信用安全等级高。
对于支付机构来说,意见稿的规定无疑是行业竞争中的大浪淘沙。杨涛也表示,对于支付行业排名靠后的机构来说,本身内部管理和控制能力有限,难以承载这些功能扩展性业务;对于行业领先的支付机构来说,则能促使其跳出支付账户的范畴,尝试改变单一支付业务的发展模式,在大平台经济的思路下,或者争取向网络银行发展,或者以不同机构或产品的层面来整合,从而开展支付承载的多元化金融功能创新,以更加规范和明晰的框架来把握风险和消除监管疑虑。