银行(行情 专区)和第三方支付机构之间的“战争”天平,正渐渐偏向银行。
继3月份接连曝出虚拟信用卡业务被叫停、银行调降快捷支付额度等一系列风波后,昨日,一份由银监会和央行联合发布的关于加强第三方支付机构业务管理的通知突然浮出水面。早报记者从知情人士处证实了这份文件的真实性。而从这份题为《中国银监会中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》的文件内容看,两大监管部门对第三方支付机构的监管堪称“严苛”。
譬如,文件明确提出,客户银行账户与第三方支付机构首次建立业务关联时,即应经“双重认证”,即客户在通过第三方支付机构认证的同时,还需通过商业银行的客户身份鉴别。其中,客户通过电子渠道认证时,又要通过双重甚至多重因素验证的方式识别身份。
简单地说,这将直接影响到快捷支付业务的用户体验。因为目前客户签约开通快捷支付业务,往往只需要一个动态密码就可以了。快捷支付之所以备受欢迎,正是因为其开通和消费时验证方式的便捷。
而这还只是一个缩影。此次两部委还祭出了一系列新的监管要求。譬如,明确提出商业银行应设立与客户技术风险承受能力相匹配的支付限额,包括单笔支付限额和日累计支付限额;文件还规定银行应将与第三方支付机构的合作业务纳入监控范围;此外,文件还提出构建安全的网络通道(如专线连接),指定安全边界,阻止第三方支付机构越界访问。
“这份文件对第三方支付机构的影响还是比较大的。”一位银行业内人士昨日对早报记者分析,这份文件和银监、央行此前出台的部分文件要求加强监管的精神一脉相承,但力度也很明显,尤其是针对快捷支付业务的影响。
惹人遐想的是,这份文件落款日期为4月3日,印发日期为4月9日,彼时离商业银行和第三方支付打嘴仗不过一周时间。
不过,昨日多位接受早报记者采访的相关人士指出,此次文件也确实明确了一些风险监管上的空白,有利于支付行业发展,而“此次文件最终效果则还要看两部委的决心,以及银行落实的程度”。
报仇快捷支付之争?
“综观整份文件,最主要的就是对快捷支付业务有一定影响。”昨日几乎所有接受采访的人士都说出了类似的话。
根据业内人士的介绍,所谓快捷支付,其本质是第三方支付机构直接和银行签约,银行把后台开放给第三方支付机构、验证信息的权限也给第三方支付机构,从而客户可以不用输入银行密码就可以完成支付,在消费过程中享有最大的便捷。
但是,从最新文件看,文件一共有二十条条文,而其中至少有第三条、第四条、第七条、第八条、第十三条和客户身份验证相关,这还不包括第五条、第十条等要求及时给客户发送账户变动通知的条文。
具体看这些条文,譬如,文件明确提出,“客户银行账户与第三方支付机构首次建立业务关联时,应经双重认证,即客户在通过第三方支付机构认证的同时,还需通过商业银行的客户身份鉴别。账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份,明确双方权利与义务。”而在电子渠道验证时,“应采取双(多)因素验证方式对客户身份进行鉴别,对不具备双(多)因素认证条件的客户,其任何账户都不得与第三方支付机构建立业务关联。”
这意味着什么?某股份制银行的相关人士具体解释说,现在快捷支付签约,尤其考虑到移动终端的适配,一般只验证动态密码,但双因素的话,就以网上电子银行认证为例,还要跳转到银行界面,输入静态的交易密码,“这样用户体验就会差一些。”
而如前所述,最新文件中影响到快捷支付政策的远不止这一点。比如,文件还强调,“商业银行应对客户通过第三方支付机构进行大额资金划转强化身份认证,确保由客户本人发出资金划转要求。”何为“强化认证”?对此,文件没有进一步阐述。
有意思的是,这一点上,文件还明确提出,商业银行在与第三方支付机构签订业务合作协议时,应就非商业银行直接进行客户身份认证的批量扣款或电子支付,与第三方支付机构就赔付责任达成一致。
在部分业内人士看来,或许监管层此次文件大力着墨快捷支付不难理解。
显见的是,之前的3月份,银行和第三方支付机构之间曾就快捷支付大打口水仗,其中第三方支付机构力陈遭银行依靠垄断“欺负”,银行则力陈因为验证方式上的缺陷,快捷支付不安全。而一片沸沸扬扬之后,后来央行等监管机构出面表态担忧第三方支付安全问题,其时天平已经渐渐偏向银行,此次文件开始即对此“下手”也就在情理之中。
明确将设支付限额
而从此次文件看,有一个条款不容忽视:商业银行应设立与客户技术风险承受能力相匹配的支付限额,包括单笔支付限额和日累计支付限额。
早报记者查阅了2011年发布的第86号文(《中国银监会关于加强电子银行客户信息管理工作的通知》)和今年的第5号文(《中国人民银行关于加强银行卡业务管理的通知》),其中都没有如此直白涉及额度的表述。
事实上,这可能正是此前银行和第三方支付机构争论的另一个焦点。按照当时业内人士介绍的情况,在监管层的眼里,第三方支付就应该是银行支付体系的补充,应该主要服务于小额支付,所以就应该设置支付额度限制;但是第三方支付机构认为这是银行利用垄断地位的不正当竞争。这也是当时第三方支付机构和银行就快捷支付开吵的导火索之一。
从此次文件的表述看,文件使用了支付限额“与客户技术风险承受能力相匹配”这样的表述。同时,文件提出,“商业银行应向客户提供临时调整支付限额的服务,在进行身份验证和辨别后,按照客户申请,在临时期限内可以适当调整单笔支付限额和日累计支付限额。”
对此,相关业内人士指出,这一条款的影响,就还需要看监管部门下一步更加具体的执行细则。
最终效果尚待实施细则
“总的来看,其实这份文件中很多条款都需要看监管部门下一步的动作。”对于上述文件,多位业内人士如是评论。
譬如文件中另外两个较为重要的要点。一个是在加强银行内部风险防范方面,要求银行将与第三方支付机构的合作业务纳入运营风险监测系统的监控范围,特别是对其中大额、异常的资金收付要逐笔监测。另一个是银行应构建安全的网络通道(如专线连接、VPN通道等),指定安全边界(如部署防火墙、DMZ隔离区等),防止第三方支付机构越界访问。
前述银行业内人士说,就以第二点为例,关于越界访问的问题,这个就要看监管部门最后怎么定细则,如果界定只有专线才行,那么肯定会提高支付公司的成本。像大公司目前可能已经有专线了,但是很多小公司没有,那么对这些小的支付公司就会影响很大。而如果监管层认可只要通过公网加密传输,则影响不大。
所谓越界访问,是指支付接口原本只是用于缴纳水电煤费用,但可能第三方支付机构让其他消费也从这个通道走了。
“除了监管部门下一步的动作,另一个也要看各商业银行是否坚决,别因为蝇头小利放水,然后坏了规矩,后面就不了了之。”该人士说。
有意思的是,和各方都愿意称要看监管部门下一步的动作相比,对于早报记者要求分析这份文件出台原由的问题,时隔一个月,无论是第三方支付机构业内人士还是银行人士都出言谨慎。部分受访人士指出,监管机构出于风险考虑出台的上述文件,填补了部分监管空白,厘清了银行和第三方支付机构的责任,同时“希望未来能对商业银行和第三方支付机构的风险责任进一步明确和清晰的界定”。
按照文件规定,“商业银行应按照本通知各项要求,做好相应的制度及合同修订工作。相关工作最迟应于2014年6月30日前完成。”(东方早报)
