随着互联网特别是移动互联网的普及,非银行支付机构(以下简称支付机构)提供的业务已在居民日常支付中得到广泛应用。支付机构利用新一代信息技术手段提供一些应用接口,为持有不同银行账户的收付双方提供资金结算、转移及其延伸服务,简化了支付流程并降低了交易成本,同时还可以附带信用保障,极大满足了居民日常生活中高频率的零售支付需求,日益成为重要的金融服务模式。
支付机构商业模式的持续扩张既带来了交易便利,也在支付机构资质、客户备付金管理、防控洗钱风险、消费者权益保护等方面对监管机制和监管制度立法提出了更高要求。2010年以来我国进行了一系列立法,明确了中国人民银行作为支付机构的监管部门,对支付机构进行监管,对支付机构业务进行规范。
总的来看,完善支付机构业务的监管有利于明确各方的权利义务关系,降低支付平台的风险,维护支付行业稳定和金融系统的安全。目前,对于支付机构业务并没有立法上的定义,而各国对于支付机构监管已经经过了一定时期的探索,因此本文主要对支付机构监管的各国实践进行了比较梳理。
一、支付机构监管概况
(一)监管模式
监管模式主要包括机构监管和功能监管两类模式。采用机构监管模式的有中国、欧盟等国家或地区,即按照机构类型进行划分,对支付机构的市场准入、业务资质许可、市场退出机制等进行严格规范。
其中,欧盟将支付机构界定为电子货币机构,并通过对电子货币的统一立法来实现对支付机构的监管,适用的法律法规主要包括《支付服务指令》《电子签名共同框架指引》《电子货币指令》等。支付机构只要取得欧盟成员国的单一执照,便可在欧盟各成员国通用。
采用功能监管模式的有美国、新加坡等国家,即根据金融产品所实现的功能,依照金融业务划分对支付业务的具体流程进行规范。根据美国法律法规,支付机构业务属于货币转移业务,其本质上是传统货币服务的延伸,因此将支付机构视为提供货币服务的机构,并没有针对支付机构由统一的监管部门制定专门的法律法规,而是将监管的重点放在支付业务的过程上,将其统一纳入现有法律法规监管体系后补充相关规定。
在监管权的划分方面,美国采取联邦和州两个层面的监管体制。依据的法案主要是2001年由统一州法全国会议委员会发布的《统一货币服务法》,该法案作为示范法,确定了市场准入许可制度,各州可以参照或部分参照该法案对货币服务业务制定相关法律法规。新加坡对支付机构的监管更多地借鉴了美国经验,采用了功能监管模式。
新加坡于2020年1月28日起正式实施《支付服务法案》,对《货币兑换及转账服务法案》(1979年)和《支付系统监管法案》(2006年)进行了整合和修订,在原有监管业务范围(包括开户服务、跨境转账服务、电子支付服务、货币兑换服务等)的基础上,增加了对境内转账服务、商户收单服务和数字货币支付服务三种业务类型的监管。
(二)市场准入管理和资本要求
包括中国、美国、欧盟、新加坡在内的大部分国家或地区均对支付机构采取许可制度。在我国,非银行机构开展支付业务须取得《支付业务许可证》。《非金融机构支付服务管理办法》对申请许可证的具体条件以及许可证不得转让、出租或出借等内容进行了规定。同时,将支付机构许可证范围区分为全国通用和仅限省(自治区、直辖市)内使用两种。《非金融机构支付服务管理办法》及其实施细则对资本提出较严格的要求。
一是注册资本最低限额及其缴纳形式的要求。就注册资本最低限额而言,该办法明确规定,“拟在全国范围内从事支付业务的,其注册资本最低限额为人民币1亿元;拟在省(自治区、直辖市)范围内开展支付业务的,其注册资本最低限额为人民币3000万元”。同时,要求注册资本的缴纳形式为实缴货币资本。二是规定支付机构的实缴货币资本与客户备付金日均余额的比例不得低于10%。
美国从联邦和州两个层面对支付机构进行市场准入控制,实行有针对性的业务许可。依据美国《统一货币服务法》,支付机构从事支付业务必须获得州监管部门(多为银行业或金融业监管机构)颁发的许可证。美国各州自行制定许可证的获得条件,各州颁发的许可证也仅适用于本州。如果要开展跨州货币转移业务,需要另行申请许可证。
支付机构准入资本方面的要求包括资本净值下限和特别保证金下限。示范法《统一货币服务法》规定,货币服务商申请许可证需要维持资本净值不低于25000美元,同时需要缴纳保证金50000美元。美国各州的监管要求则各有不同,如加利福尼亚州、佛罗里达州等需要数百万美元,而夏威夷州只需要1000美元。
部分州还规定了根据货币转移商营业网点数量或代理商数量来设置浮动的保证金和净资产范围,以平衡消费者利益的保护和行业合规成本。
欧盟在实行业务许可制度的同时,对部分市场主体的准入实施豁免制度。根据《电子货币监管指令Ⅱ》,支付机构必须获得银行业务牌照才可从事支付机构业务,初始资本不得低于35万欧元,同时规定了豁免制度的条件——支付机构沉淀资金小于500万欧元且无违规操作。
新加坡《支付服务法案》规定,“指定制度”和“牌照制度”两条监管框架并行。“指定制度”规定新加坡金管局可指定重要的支付系统,以确保金融系统的稳定性和市场效率以及支付体系的效率和市场竞争,从而杜绝垄断市场的可能性。
“牌照制度”则是为了更好顺应市场灵活性而设置的监管框架,将账户开立、国内汇款、跨境汇款、商户招募、电子货币发行、数字支付代币、货币兑换七种支付服务业务规范纳入三类许可证:货币兑换许可证、标准支付机构许可证和主要支付机构许可证。其中,货币兑换许可证仅限于货币兑换服务,因业务本身的商业规模较小,涉及的风险也较低,因此该牌照的监管范围也较窄。
标准支付机构许可证监管上述七种服务任意组合而成的商业行为,但对支付或转账额度上限有要求。由于额度较小,这一牌照的申请要求也较低。主要支付机构许可证监管超过标准支付机构许可证所设额度的所有业务,因涉及的金额更大、风险更高,牌照审批要求也更严格,监管范围也更广。
(三)退出机制
美国在示范法《统一货币服务法》中对支付机构的退出机制进行了规定,列明了监管机构可以撤销、暂停或终止许可证的情形。美国的得克萨斯州、加利福尼亚州等州规定了更为详细的退出安排。
欧盟《支付服务指令Ⅱ》规定了监管机构可以撤销业务许可的情形,并对支付机构实施持续监管,第8条、第9条规定支付机构的自有资金不得低于第7条所述的初始资本额或根据第9条计算的自有资金额中的较高者,并需始终持续持有。同时,规定了部分需要每年向委员会通报付款交易总额的情形。对于不再符合授予许可条件,或者未就此方面的重大进展通知监管当局的,可以撤销许可。
(四)客户资金管理
各国或地区均将确保支付机构业务中的客户资金安全作为监管重点,要求支付机构严格区分备付金账户和自有资金账户。
目前,我国支付机构已撤销开立在备付金银行的人民币客户备付金账户,并在法人所在地的人民银行分支机构开立“备付金集中存管账户”。同时,有关部门正在研究建立支付机构行业保障基金,以推动形成市场化的风险防范和化解机制,维护金融稳定。
美国联邦监管层面认为,支付机构所管理的客户资金属于负债而不是存款,要求支付机构对客户资金与自有资金进行区分,将客户资金存入银行并由联邦存款保险公司(FDIC)提供“存款延伸保险”。美国各州参照示范法《统一货币服务法》作出规定,支付机构需要将客户资金存入专门的信托账户。
同时,对备付金进行了各种投资限制,如只能将备付金用于低风险和高流动性的投资,只能将客户资金投资于银行储蓄、具有较高评级的债权、美联储支持的银行承兑汇票等。另外,还规定支付机构应定期向各监管机构报告支付机构业务开展情况和财务状况,以及不能擅自使用客户资金。
欧盟规定支付机构可以利用沉淀资金进行投资并从中获得收益,同时也对支付机构沉淀资金的利用作出具体规范。《支付服务指令Ⅱ》规定,客户资金与自有资金不得混在一起,沉淀资金应存入单独账户,或投资于由本国监管部门界定的安全、流动的低风险资产;为保障支付服务使用者的利益,在发生破产时应按照国内法与支付机构其他债权人的债权隔离。
另外,客户资金可以由保险公司或信贷机构提供保险单或其他担保,而保险公司或信贷机构不得属于支付机构同一集团。
新加坡《支付服务法案》规定了保护客户资金免受损失的方式:主要支付机构要与新加坡的任何银行或约定的金融机构签订协议,承诺对款项支付向客户承担全部责任;以新加坡金管局所要求的方式存入保证金账户;以新加坡金管局规定的其他方式进行保护等。
(五)消费者权益保护
支付机构业务的运作过程决定了其具有较强的网络虚拟性、隐蔽性、匿名性等特征,主要国家或地区通过制定和出台一系列法律法规,明确支付机构需要切实保护消费者合法权益的要求,包括交易安全、知情权、个人信息保护等。我国《非金融机构支付服务管理办法》对个人信息等消费者权益保护阐述了一些原则性规定。
美国现行立法明确了支付机构的信息披露义务和对消费者隐私权益的保护。《电子资金转移法》及其解释规则E条例和《诚实信贷法》及其解释规则Z条例规定,从事支付机构业务的货币服务机构对消费者负有初次信息披露、定期信息披露、实时信息披露和变更信息披露等义务。隐私权方面,美国非常重视个人信息保护,多项法规涉及电子商务中消费者的信息安全。
《美国金融改革法案》及其解释规定,除非征得消费者同意,否则支付机构不能直接地、间接地或通过一个附属机构将非公开的个人信息透露给没有关联的第三人。
欧盟对支付机构消费者权益的保护体现在信息披露、消费者隐私权益保护及盗刷责任等方面。《数据保护指令》规定支付机构在特殊情况下可以使用或处理个人数据(如用于阻止支付欺诈行为和协助调查),但具体使用时仍需要满足相关条件。此外,规定了对非本人授权的支付行为进行盗刷补偿的责任范围。
《支付服务指令Ⅱ》规定,除非支付机构有合理的理由怀疑欺诈,并将这些理由书面通知相关的国家监管部门,否则支付机构应立即退还消费者未经授权的付款交易金额。消费者无欺诈行为而支付设备丢失或被盗时,可能承担最高50欧元与盗刷有关的损失。
在消费者及时履行告知义务、支付机构未按照规定履行告知义务,或支付机构未要求强有力的客户认证等情形下,消费者不需要承担损失。
(六)反洗钱及反恐怖融资
主要国家或地区对支付机构反洗钱及反恐怖融资方面的要求主要包括客户识别制度、可疑交易报告制度、记录保存和监督管理制度等。
在我国,《支付机构反洗钱和反恐怖融资管理办法》明确将支付机构纳入反洗钱法律框架,要求支付机构完善客户身份识别、客户身份资料和交易记录保存、可疑交易报告等反洗钱内控制度。2019年1月1日起施行的《互联网金融从业机构反洗钱和反恐怖融资管理办法(试行)》进一步强化了反洗钱和反恐怖融资的合规管理,完善了相关风险管理机制。
美国对第三方电子支付的反洗钱监管主要体现在《银行保密法》《洗钱控制法》《禁止洗钱法》《爱国者法案》等法律文件中。《银行保密法》规定了关于特定金融交易的交易报告和信息记录的具体规则。《洗钱控制法》对拆分交易进行了规制,对洗钱罪进行了金融交易洗钱罪、输送货币工具洗钱罪等细分。
《禁止洗钱法》规定了报告跨境现金输送的义务以及报告在外国银行和证券账户的义务,并提高了对洗钱罪的刑罚。《爱国者法案》对支付机构核实并保存开户人的重要身份信息、核对政府提供的恐怖组织及其人员名单等内容进行了规定。
欧盟《反洗钱反恐怖融资条例》及其后续的一系列指令规定支付机构须履行客户识别义务、可疑交易报告义务、文件记录保存义务、内控制度建立制度、员工培训与反馈义务等义务。《反洗钱反恐怖融资条例Ⅳ》规定,电子货币机构须对客户进行尽职调查,验证客户身份信息,不得开设匿名账户,交易记录至少保存五年;电子货币机构要及时提交可疑交易报告;授权电子货币机构暂停或拒绝可疑交易。
新加坡《支付服务法案》规定,数字支付代币交易服务提供商或交易所必须满足反洗钱和反恐融资的相关要求。新加坡金管局会对每种支付服务的商业模式进行分析和研判,以确定应采取何种监管措施。
(七)技术安全监管
中国、美国、欧盟、新加坡等国家和地区都要求在发放许可证或相应牌照前获得相关技术安全证明。
我国《非金融机构支付服务管理办法》规定,支付机构需提交技术安全检测认证证明,应当具备必要的技术手段确保支付业务的安全性;同时,需具备灾难恢复处理能力和应急处理能力,确保支付业务的连续性。
美国将多机构联合制定的《支付卡行业数据安全标准》作为支付机构的安全认定依据。美国联邦法律中虽没有要求支付机构使用这一标准,但各州在法律中作出了相应的规定。
欧盟《支付服务指令Ⅱ》规定,支付机构在申请牌照前需要表明它们如何确保高水平的技术安全和数据保护。会员国应确保支付机构每年或在监管部门确定的较短间隔内,向监管部门提供与其提供的支付服务有关的业务和安全风险的最新全面评估报告。欧洲银行管理局与欧洲央行定期(至少应每两年)审核安全指南。
新加坡《支付服务法案》对所有持牌机构提出技术风险管理要求。支付服务提供商需要确保有足够的风险治理举措和实施适当的风险防控制度,特别是对用户认证、数据加密以及网络攻击预防和检测等业务领域的风险控制。
二、支付机构监管比较分析
(一)从监管模式看,我国采用的机构监管模式主要适用于分业经营、分业监管格局下的传统金融机构及其相关业务,可以有效提高监管效率、降低监管成本、避免监管重复或监管真空。但在混业经营的趋势下,支付机构平台更多地显现出跨行业、跨领域经营的特征,纯粹的机构监管模式对新型金融业务模式的风险隐匿性和虚拟性难以作出更快、更有针对性的反应。
(二)从准入制度看,相较于其他国家轻重有别的差异化监管政策,我国对于支付机构的准入门槛过高。尽管严格的市场准入有利于规范支付机构行业的发展,有助于从源头预防对金融市场稳定性和消费者权益造成的伤害,但过高的门槛也会将一些具有创能力和竞争力的小微企业拒之门外,不利于行业的长期健康发展。
(三)从退出机制看,我国《非金融机构支付服务管理办法》详细规定了对支付机构责令限期改正并处以罚款或警告、停止办理部分或全部业务、注销支付机构《支付业务许可证》的情形。美国和欧盟对支付机构除了特定条件的退出,也规定了持续性监管的机制,根据相关规定持续跟进企业的运营情况,对支付机构或支付业务的许可进行终止或撤销。
(四)从客户资金管理看,我国对于支付机构靠沉淀资金投资利息作为主要盈利方式的机制进行了严格的限制,降低了消费者风险和监管难度。欧盟等国家则允许部分沉淀资金进入低风险资本市场,在一定程度上提高了经济效率。
(五)从消费者保护机制看,我国关于支付机构的交易安全等方面特别是个人信息保护等立法较少,对损害消费者权益的违法违规行为也缺少有力的惩罚措施,相关纠纷多依据《民法典》的相关规则进行处理。美国和欧盟对于消费者权益保护非常重视,对违规行为的处罚也有更为严格的规定。例如,欧盟规定了对于严重违反数据保护规定者将处以不超过2000万欧元或企业上一年度全球营业收入的4%中较大者的罚款。
(六)从技术安全监管看,支付机构所涉及的安全技术更新迅速,我国目前对于技术安全的检查仅限于申请牌照时提供技术安全证明,在牌照持有期间缺乏足够的监管举措保证机构会进行相应的技术更新。美国和欧盟每年持续更新技术安全指标,可以更为动态地对企业的硬件、软件升级进行监管,从而更好地保障支付机构技术安全。
三、政策建议
一是进一步健全法律体系。我国对于支付机构的立法大部分为部门规章,立法层级不高,缺乏顶层设计。应进一步完善立法,提高支付服务监管法律层级,提高支付服务相关法律法规间的协同性。
二是加强部门之间的协调,重视功能监管。支付机构持有的细分业务牌照不同,特别是一些拿到全牌照的支付机构,开展的业务种类也各不相同。不同业务之间可能会出现交叉,加大了监管难度。因此,需要加强各监管部门的协调,实施联合监管,有机结合功能监管与机构监管模式的多方优势,尽量减少出现监管空白和漏洞的情况。
三是建立轻重有别的差异化准入监管政策。在加强监管的同时,要继续对创新保持开放和鼓励的态度。目前,我国的准入条件统一并且对资本金限制过高,难以更好地推进新型商业模式下的信息技术公司的技术研发。考虑到轻准入重监管是国际金融监管的主要特征,应当根据业务规模等标准制定和实施差异化的监管政策,给予个别重要支付机构更为严格的监管措施,确保系统性安全,同时支持符合条件的支付机构创新发展。
四是持续、动态更新技术安全指标,并建立常态审查机制。对企业的硬件、软件升级提出标准,对于不达标的机构及时依法取缔牌照或者停办有关业务,保护消费者权益,防止出现系统性风险。
五是完善个人信息保护制度。与其他网络平台相比,支付机构获取的客户财务信息更为全面,如果发生信息泄露,更容易给客户带来经济损失。此外,支付机构通过分析客户个人信息获取收益、根据客户交易数据进行精准广告推送等也在损害客户的权益。
因此,需要加快完善我国个人信息安全保护立法,坚持最小必要原则,建立个人信息风险控制机制,进一步明确包括支付机构对客户个人信息的保密责任、具体的处罚方式以及对客户信息泄露的赔偿责任。
六是充分发挥行业自律的作用。行业自律组织具有较高的专业水准,贴近市场,可以更加敏锐准确地把握行业动向和由此产生的风险,更便于对支付机构进行日常监督和风险防控。行业自律机制应当进一步发挥更为积极的作用,从而不断提升支付行业的自我约束能力。
