论文部分内容阅读
中国银监会与中国人民银行于2014年4月联合发布《关于加强商业银行与第三方支付机构合作业务管理的通知》(以下简称《通知》),该文件旨在规范银行与第三方支付机构的合作,保障客户支付交易安全。《通知》延续了银监会于2011年8月下发的《加强电子银行客户信息管理有关规定》,2014年1月央行下发的《关于加强银行卡管理业务的有关规定》,从保护客户资金安全和信息安全出发,对有针对性的问题进行了细化规范,涉及客户身份认证、信息安全、交易限额、交易通知、赔付责任、第三方支付机构资质和行为、银行的相关风险管控等。本文对《通知》的主要内容及其影响进行分析。
新规的主要内容
加强客户信息安全与客户风险能力评估
《通知》首先从客户视角对商业银行提出了明确要求,以防范客户纠纷给金融秩序带来的挑战。《通知》重申对客户信息安全和保密的要求。故《通知》第一条明确指出:“商业银行与第三方支付机构合作开展各项业务,对涉及到的客户金融信息管理,应严格遵循有关法律法规和监管制度的规定,严格遵照客户意愿和指令进行支付,不得违法违规泄露”。
为了预防银行与客户纠纷的发生,《通知》还要求银行建立对客户技术风险承受能力进行测评,第二条规定“应对客户的技术风险承受能力进行评估,客户与第三方支付机构相关的账户关联、业务类型、交易限额等决策要求应与其技术风险承受能力相匹配”。这也是针对实践中使用第三方支付机制客户结构日益复杂化的现实问题做出的反应,有助于加强银行对客户的了解,也有助于银行关注和推动客户技术风险意识和风险防御能力的提升。
严格准入和准入后的监督管理
强调了准入环节的认证监管。《通知》明确要求客户银行账户与第三方支付机构首次建立业务关联时,应经双重认证,即客户在通过第三方支付机构认证同时,还需通过商业银行的客户身份鉴别。为了确保认证的可操作和规范,《通知》进一步明确,账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份,明确双方权利与义务。这里突出了银行机构对客户身份的“直接验证”,并要求验证应明确双方权责。对于验证和识别客户身份问题,《通知》还强制性要求采用“双(多)种因素验证方式对客户身份进行鉴别”,同时还做出禁止性规定,“对不具备双(多)种因素认证条件的客户,其任何账户不得与第三方支付机构建立业务关联。”这势必大大强化准入环节监管的刚性效应。
设置及时“通知”机制强化预警和提示。为加强客户对支付情况的了解和掌控,《通知》明确要求“商业银行对账户与第三方支付机构建立业务关联的客户,应开通至少一种账户变动即时通知技术方式”,同时把这种技术设置作为建立一次签约、多次支付业务的前提条件。这实质上是借助支付及时知情的机制来强化客户对风险的防范。《通知》对于大额支付、可疑支付的“通知”做了特别规范,强制性要求商业银行应就大额支付、可疑支付要及时通知客户,对开通短信或其他方式即时通知功能的客户,应就每一笔支付交易即时通知客户。值得注意的是,《通知》还就通知信息的内容作了明确规定——包含但不限于第三方支付机构名称、交易金额、交易时间等。为保障“即时通知”机制的可靠性,《通知》构建了预留手机号码审核机制。该文件对发出短信的手机预留号码设置了银行审查机制,即“对预留的手机号码且设定短信通知的客户,商业银行应在客户进行支付时对第三方支付机构提供的手机号码和银行预留的手机号码进行一次检验,通过后方可进行支付”。这里把预留手机号码的审验作为刚性机制要求,并为提高交易效率,《通知》进一步明确规定,如果银行已按照前述要求在业务关联时进行了相关信息验证,确保客户身份真实可靠,在交易时可以无需再次验证。
建立支付限额机制。支付限额是最近以来是社会最为关注的第三方支付领域的焦点问题,一些商业银行近期已纷纷推出限额机制,但是引起了一些专家或当事人的质疑。《通知》明确肯定了限额支付机制的合规性,该文件第六条指出“商业银行应设立与客户技术风险承受能力相匹配的支付限额,包括单笔支付限额和日累计支付限额”。这不仅从正面肯定了商业银行已经推出的限额制度的合理性合规性,而且将限额支付机制的设置作为银行的刚性义务。但是具体如何限额未做出明确,留给商业银行结合客户技术风险承受能力的情况来确定。《通知》兼顾了客户对限额支付方面的个性化需求,允许客户在“临时期限”对其个性化需求提出申请,并要求银行应当向客户提供临时调整支付限额的服务,但是这种调整应该“在进行身份验证和辨别后”,应严格遵守客户申请进行调整,既可以调整单笔支付限额,也可调整日累计支付限额。
大额划转身份认证、交易纠错及赔付机制。针对大额支付的特殊性,《通知》要求商业银行应对客户通过第三方支付机构进行大额资金划转强化身份认证,确保由客户本人发出资金划转要求。为了强化第三方支付引发纠纷时有关赔付问题得到及时解决,《通知》要求银行与第三方支付机构在合作协议中做出相应安排,有关协议应就商业银行直接进行客户身份认证的批量和扣数或电子支付,与第三方支付机构就赔付问题达成一致。为救济交易终止或失败等问题,《通知》规定“从银行账户划出的支付交易资金,遇到交易终止、失败应划回原银行账户”。这是为了强化客户权益的保障,促进银行和第三方机构及时纠错。
信息保存和查询机制。为了保障客户对支付交易情况的核查,《通知》要求银行应保留完整的支付信息,并且在保留期限方面应按照相关法律法规规定来执行。同时规定,银行应向客户提供第三方支付机构的签约查询和交易查询功能,但是这种查询是否免费未做出明确规定。此外,《通知》还就第三方支付机构在支付界面和接口管理方面做了规范:银行应要求第三方支付机构不得在未经授权的情况下屏蔽本银行的支付界面与接口。对于客户拟撤销账户与第三方机构业务合作关联服务,《通知》要求商业银行应当提供配套服务。
强化银行内部控制
《通知》还从银行内部控制角度对第三方支付合作业务的管理做了规范。这主要表现在以下几方面。 要求银行将合作业务纳入运营风险管控。即商业银行应将与第三方支付机构的合作业务纳入全行业运营风险监测系统的监控范围,对其中的商户和客户在本行的账户资金活动情况进行实时监控,达到风险标准的应组织核查,特别是对其中大额、异常的资金收付应做到逐笔监测、认真核查、及时预警、及时控制。
加强客户交易监控,健全有关数据和记录的管理。《通知》明确指出,银行对客户通过第三方支付机构进行的交易建立自动化的交易监控机制和风险监控模型,对资金实时监控,及时发现和处置异常行为、套现或欺诈事件。《通知》还要求商业银行应做好数据和操作指令的整理和日志备份,便于事后检查和审计。商业银行与第三方支付机构合作开展各项业务,凡涉及备付金存放和资金划转的,均应建立每日对账制度,不得使用或变相使用银行内部账户以待清算资金等名义为第三方支付机构存放客户备付金。商业银行应就第三方支付机构备付金存管业务建立统一管理机制,未经总行书面授权,任何分支机构不得直接与第三方支付机构合作开展备付金存管业务,强化备付金的监督管理。
完善银行内部技术保障机制,加强制度和协议保障。《通知》要求银行对数据传输和操作指令等提供技术保障措施,将来自第三方机构的传输数据(如客户数据、交易数据等)和操作指令(如支付指令、身份验证指令等)的完整性、一致性和不可抵赖性等事项明确规范为银行的义务,要求银行提供技术保障措施,同时要求银行审核第三方机构在安全保障能力方面的情况,对不具备对等安全保障能力的第三方支付机构,原则上应不予合作。同时,《通知》还要求银行应构建安全的网络通道,制定安全边界(如部署防火墙、DMZ(demilitarized zone)隔离区等),防止第三方机构越界访问。由于《通知》对银行及第三方支付机构的合作事项作了较为具体的规范,既涉及了银行与第三方机构合作的权利义务,也有关银行内部控制方面的要求,为此《通知》要求银行对其内部管理制度和有关协议及时做出修改和完善,并且明确规定银行应将前述工作最迟应于2014年6月30日前完成。在《通知》的适用范围上,它还把将其适用机构范围从商业银行延伸至其他银行业金融机构,明确要求其他银行业金融机构开展相关业务时,参照本通知执行。
新规的主要影响
从上文内容来看,《通知》将对商业银行、第三方支付机构、客户及支付合作业务都将产生深远影响。
更加严格的限制快捷支付的开通和使用。从上文可知,《通知》在银行与第三方支付机构有关业务准入方面设置了较为严格的机制,如客户银行账户与第三方支付机构首次建立业务关联时,须通过第三方支付机构和商业银行的双重身份鉴别;账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份。特别是《通知》对银行限额支付给予了肯定和强化,不仅规定商业银行应设立与客户技术风险承受能力相匹配的支付限额,包括单笔支付限额和日累计支付限额,这势必对快捷支付业务的功能和效用产生重大影响。
提升银行与第三方支付机构合作业务的管理成本。《通知》对银行在安全保障方面设置了一系列要求,不仅体现在事前的准入审核,而且在银行自身技术保障支持方面也提出了更为严格的要求,如银行应构建安全的网络通道,制定安全边界,防止第三方机构越界访问等。在加强银行内部风险防范方面,要求银行将与第三方支付机构的合作业务纳入运营风险监测系统的监控范围,特别是对其中大额、异常的资金收付要逐笔监测,这也势必大大增加银行的风险管理成本。同时《通知》也通过要求银行审核第三方支付机构技术风险防控能力来间接提升第三方机构的风控成本。
间接提高了第三方机构在资质方面的要求。《通知》在要求银行采取技术措施保障来自第三方支付机构的传输数据和操作指令的完整性、一致性和不可抵赖性的同时,也要求银行审核第三方机构的安全保障能力,并且明确规定“对不具备对等安全保障能力的第三方支付机构,原则上应不予合作”,这实际上强化了第三方机构在技术安全方面的资质要求。
一定程度影响快捷支付的便捷性和客户体验。《通知》在银行与第三方支付机构合作业务准入环节方面设置了诸多审核机制,尤其是增加银行的身份鉴别等,会在一定程度上影响开通快捷支付的便捷性和客户体验。快捷支付实践操作中,其开通一般只需要第三方支付机构的身份鉴别,《通知》增加银行的身份鉴别,会影响开通快捷支付的便捷性和客户体验。《通知》规定银行应构建安全的网络通道,制定安全边界,防止第三方机构越界访问,这里的“越界访问”的限制实际上强化了银行对会计支付功能的约束。
(作者单位:北京银行法律合规部)
新规的主要内容
加强客户信息安全与客户风险能力评估
《通知》首先从客户视角对商业银行提出了明确要求,以防范客户纠纷给金融秩序带来的挑战。《通知》重申对客户信息安全和保密的要求。故《通知》第一条明确指出:“商业银行与第三方支付机构合作开展各项业务,对涉及到的客户金融信息管理,应严格遵循有关法律法规和监管制度的规定,严格遵照客户意愿和指令进行支付,不得违法违规泄露”。
为了预防银行与客户纠纷的发生,《通知》还要求银行建立对客户技术风险承受能力进行测评,第二条规定“应对客户的技术风险承受能力进行评估,客户与第三方支付机构相关的账户关联、业务类型、交易限额等决策要求应与其技术风险承受能力相匹配”。这也是针对实践中使用第三方支付机制客户结构日益复杂化的现实问题做出的反应,有助于加强银行对客户的了解,也有助于银行关注和推动客户技术风险意识和风险防御能力的提升。
严格准入和准入后的监督管理
强调了准入环节的认证监管。《通知》明确要求客户银行账户与第三方支付机构首次建立业务关联时,应经双重认证,即客户在通过第三方支付机构认证同时,还需通过商业银行的客户身份鉴别。为了确保认证的可操作和规范,《通知》进一步明确,账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份,明确双方权利与义务。这里突出了银行机构对客户身份的“直接验证”,并要求验证应明确双方权责。对于验证和识别客户身份问题,《通知》还强制性要求采用“双(多)种因素验证方式对客户身份进行鉴别”,同时还做出禁止性规定,“对不具备双(多)种因素认证条件的客户,其任何账户不得与第三方支付机构建立业务关联。”这势必大大强化准入环节监管的刚性效应。
设置及时“通知”机制强化预警和提示。为加强客户对支付情况的了解和掌控,《通知》明确要求“商业银行对账户与第三方支付机构建立业务关联的客户,应开通至少一种账户变动即时通知技术方式”,同时把这种技术设置作为建立一次签约、多次支付业务的前提条件。这实质上是借助支付及时知情的机制来强化客户对风险的防范。《通知》对于大额支付、可疑支付的“通知”做了特别规范,强制性要求商业银行应就大额支付、可疑支付要及时通知客户,对开通短信或其他方式即时通知功能的客户,应就每一笔支付交易即时通知客户。值得注意的是,《通知》还就通知信息的内容作了明确规定——包含但不限于第三方支付机构名称、交易金额、交易时间等。为保障“即时通知”机制的可靠性,《通知》构建了预留手机号码审核机制。该文件对发出短信的手机预留号码设置了银行审查机制,即“对预留的手机号码且设定短信通知的客户,商业银行应在客户进行支付时对第三方支付机构提供的手机号码和银行预留的手机号码进行一次检验,通过后方可进行支付”。这里把预留手机号码的审验作为刚性机制要求,并为提高交易效率,《通知》进一步明确规定,如果银行已按照前述要求在业务关联时进行了相关信息验证,确保客户身份真实可靠,在交易时可以无需再次验证。
建立支付限额机制。支付限额是最近以来是社会最为关注的第三方支付领域的焦点问题,一些商业银行近期已纷纷推出限额机制,但是引起了一些专家或当事人的质疑。《通知》明确肯定了限额支付机制的合规性,该文件第六条指出“商业银行应设立与客户技术风险承受能力相匹配的支付限额,包括单笔支付限额和日累计支付限额”。这不仅从正面肯定了商业银行已经推出的限额制度的合理性合规性,而且将限额支付机制的设置作为银行的刚性义务。但是具体如何限额未做出明确,留给商业银行结合客户技术风险承受能力的情况来确定。《通知》兼顾了客户对限额支付方面的个性化需求,允许客户在“临时期限”对其个性化需求提出申请,并要求银行应当向客户提供临时调整支付限额的服务,但是这种调整应该“在进行身份验证和辨别后”,应严格遵守客户申请进行调整,既可以调整单笔支付限额,也可调整日累计支付限额。
大额划转身份认证、交易纠错及赔付机制。针对大额支付的特殊性,《通知》要求商业银行应对客户通过第三方支付机构进行大额资金划转强化身份认证,确保由客户本人发出资金划转要求。为了强化第三方支付引发纠纷时有关赔付问题得到及时解决,《通知》要求银行与第三方支付机构在合作协议中做出相应安排,有关协议应就商业银行直接进行客户身份认证的批量和扣数或电子支付,与第三方支付机构就赔付问题达成一致。为救济交易终止或失败等问题,《通知》规定“从银行账户划出的支付交易资金,遇到交易终止、失败应划回原银行账户”。这是为了强化客户权益的保障,促进银行和第三方机构及时纠错。
信息保存和查询机制。为了保障客户对支付交易情况的核查,《通知》要求银行应保留完整的支付信息,并且在保留期限方面应按照相关法律法规规定来执行。同时规定,银行应向客户提供第三方支付机构的签约查询和交易查询功能,但是这种查询是否免费未做出明确规定。此外,《通知》还就第三方支付机构在支付界面和接口管理方面做了规范:银行应要求第三方支付机构不得在未经授权的情况下屏蔽本银行的支付界面与接口。对于客户拟撤销账户与第三方机构业务合作关联服务,《通知》要求商业银行应当提供配套服务。
强化银行内部控制
《通知》还从银行内部控制角度对第三方支付合作业务的管理做了规范。这主要表现在以下几方面。 要求银行将合作业务纳入运营风险管控。即商业银行应将与第三方支付机构的合作业务纳入全行业运营风险监测系统的监控范围,对其中的商户和客户在本行的账户资金活动情况进行实时监控,达到风险标准的应组织核查,特别是对其中大额、异常的资金收付应做到逐笔监测、认真核查、及时预警、及时控制。
加强客户交易监控,健全有关数据和记录的管理。《通知》明确指出,银行对客户通过第三方支付机构进行的交易建立自动化的交易监控机制和风险监控模型,对资金实时监控,及时发现和处置异常行为、套现或欺诈事件。《通知》还要求商业银行应做好数据和操作指令的整理和日志备份,便于事后检查和审计。商业银行与第三方支付机构合作开展各项业务,凡涉及备付金存放和资金划转的,均应建立每日对账制度,不得使用或变相使用银行内部账户以待清算资金等名义为第三方支付机构存放客户备付金。商业银行应就第三方支付机构备付金存管业务建立统一管理机制,未经总行书面授权,任何分支机构不得直接与第三方支付机构合作开展备付金存管业务,强化备付金的监督管理。
完善银行内部技术保障机制,加强制度和协议保障。《通知》要求银行对数据传输和操作指令等提供技术保障措施,将来自第三方机构的传输数据(如客户数据、交易数据等)和操作指令(如支付指令、身份验证指令等)的完整性、一致性和不可抵赖性等事项明确规范为银行的义务,要求银行提供技术保障措施,同时要求银行审核第三方机构在安全保障能力方面的情况,对不具备对等安全保障能力的第三方支付机构,原则上应不予合作。同时,《通知》还要求银行应构建安全的网络通道,制定安全边界(如部署防火墙、DMZ(demilitarized zone)隔离区等),防止第三方机构越界访问。由于《通知》对银行及第三方支付机构的合作事项作了较为具体的规范,既涉及了银行与第三方机构合作的权利义务,也有关银行内部控制方面的要求,为此《通知》要求银行对其内部管理制度和有关协议及时做出修改和完善,并且明确规定银行应将前述工作最迟应于2014年6月30日前完成。在《通知》的适用范围上,它还把将其适用机构范围从商业银行延伸至其他银行业金融机构,明确要求其他银行业金融机构开展相关业务时,参照本通知执行。
新规的主要影响
从上文内容来看,《通知》将对商业银行、第三方支付机构、客户及支付合作业务都将产生深远影响。
更加严格的限制快捷支付的开通和使用。从上文可知,《通知》在银行与第三方支付机构有关业务准入方面设置了较为严格的机制,如客户银行账户与第三方支付机构首次建立业务关联时,须通过第三方支付机构和商业银行的双重身份鉴别;账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份。特别是《通知》对银行限额支付给予了肯定和强化,不仅规定商业银行应设立与客户技术风险承受能力相匹配的支付限额,包括单笔支付限额和日累计支付限额,这势必对快捷支付业务的功能和效用产生重大影响。
提升银行与第三方支付机构合作业务的管理成本。《通知》对银行在安全保障方面设置了一系列要求,不仅体现在事前的准入审核,而且在银行自身技术保障支持方面也提出了更为严格的要求,如银行应构建安全的网络通道,制定安全边界,防止第三方机构越界访问等。在加强银行内部风险防范方面,要求银行将与第三方支付机构的合作业务纳入运营风险监测系统的监控范围,特别是对其中大额、异常的资金收付要逐笔监测,这也势必大大增加银行的风险管理成本。同时《通知》也通过要求银行审核第三方支付机构技术风险防控能力来间接提升第三方机构的风控成本。
间接提高了第三方机构在资质方面的要求。《通知》在要求银行采取技术措施保障来自第三方支付机构的传输数据和操作指令的完整性、一致性和不可抵赖性的同时,也要求银行审核第三方机构的安全保障能力,并且明确规定“对不具备对等安全保障能力的第三方支付机构,原则上应不予合作”,这实际上强化了第三方机构在技术安全方面的资质要求。
一定程度影响快捷支付的便捷性和客户体验。《通知》在银行与第三方支付机构合作业务准入环节方面设置了诸多审核机制,尤其是增加银行的身份鉴别等,会在一定程度上影响开通快捷支付的便捷性和客户体验。快捷支付实践操作中,其开通一般只需要第三方支付机构的身份鉴别,《通知》增加银行的身份鉴别,会影响开通快捷支付的便捷性和客户体验。《通知》规定银行应构建安全的网络通道,制定安全边界,防止第三方机构越界访问,这里的“越界访问”的限制实际上强化了银行对会计支付功能的约束。
(作者单位:北京银行法律合规部)