随着互联网及电子商务应用的快速普及,第三方支付行业迅速崛起,在支付化体系中扮演着重要角色。第三方支付对以银行为主导的传统支付体系带来了冲击,引起了监管部门的关注。
一、第三方支付发展现状。
(一)第三方支付发展情况。第三方支付是指非金融机构作为中介机构,在收、付款人之间提供的货币资金转移服务。第三方支付行业的崛起,为创新支付业务奠定了坚实的基础,并为电子商务行业的发展开辟了新路径。随着网络化的日益普及,截至2014年末,我国网络购物用户规模达到3.61亿,较2013年底增长19.7%,同时,网络购物的使用率从48.9%提升至55.7%.为适应互联网及移动支付的需要,2004年我国第三方支付行业开始起步,在2008年和2009年两年时间里发展相当迅速。截至2014年7月份,中国人民银行共向269家企业颁发《支付业务许可证》。2013年,互联网支付和移动电话支付交易额分别为5.4万亿元和1.3万亿元,同比增长46.8%和800.3%.根据艾瑞咨询数据报告显示,2014年中国第三方互联网支付交易规模达到80767亿元,同比增速达到50.3%.预计随着支付场景的不断丰富以及金融创新的活跃,2018年,中国第三方互联网支付交易规模将达到22万亿。
(二)第三方支付制度体系。随着第三方支付市场的快速发展,部分支付组织为抢占市场份额,不顾市场规范和行业自律,存在扰乱市场行为和资金风险隐患。
人民银行作为支付行业管理机构,出台了一系列加强行业监管的制度办法,通过法律法规、市场竞争等手段逐步完善行业规则,实现行业自律。自2010年9月《非金融机构支付服务管理办法》(中国人民银行令[2010]第2号)颁布以来,第三方支付机构正式"照牌化".随后,《支付机构反洗钱和反恐怖融资管理》、《金融机构支付服务业务系统检测认证管理规定》、《支付机构客户备付金存管暂行办法》([2013]第6号令)、《支付机构网络支付业务管理办法》和《关于加强商业银行与第三方支付机构合作业务管理的通知》(银监发[2014]10号)等一系列法规相继出台,对第三方支付机构提出了规范内控制度,完善业务核心系统及网络安全,严格规范管理业务发生,提高风险防范意识,以及加强对客户信息安全等要求。以上各项规章的出台,标志着我国正逐步建立对第三方支付机构管理的制度体系。
二、第三方支付发展风险和矛盾。
(一)资金管理风险。第三方支付机构在买卖双方发生交易但尚未完成的时候,会在一段时间内保留交易资金,现有制度规范中,未对此类资金用途和管理方式有具体规定。对于第三方支付机构在保留资金期间产生利息收入,虽然法律规定资金未转至卖方前,资金所有权及利息属于买方,但作为保管方的第三方支付机构未按照法律规定进行利息分配。央行发布《非金融机构支付服务管理办法》也未对利息归属予以明确。同时第三方支付机构是否有资金支配的权力尚不明确。
目前,大多数第三方支付机构未向用户公开资金的管理状态,无纸化网络支付交易存在无凭证的留存的状况,数据一旦消失,责任分担不清。
(二)信息泄露风险。根据国际通行规则,需要以匿名的形式使用电子现金,从而有效保证消费隐私和安全。但国内互联网消费环境对于消费者信息的保护却非常薄弱,大量用户信息掌握在少数支付公司手中,公众无法得知哪些人可以获知和如何利用这些信息,从而对公众信息安全造成危害。2014年3月22日,乌云漏洞报告了携程网在处理用户支付信息上存在可被"骇客"任意读取的风险,大量用户银行卡信息遭泄露。
这一事件暴露了当前第三方支付机构在保护用户信息及交易安全方面的安全隐患,一定程度上影响第三方支付行业的发展。目前,第三方需要实名认证客户,收集了海量的客户个人信息,信息安全保障环节都是第三方支付机构自行管理,监管部门基本没有建立具体的制度和规定来约束第三方支付机构如何使用、储存和保护客户信息不被泄露。
(三)洗钱风险。第三方支付机构的不断壮大和业务范围的不断扩张,已经将业务触角延伸到传统金融领域,比如转汇贷等。客户无需与第三方支付机构面对面"开户",支付机构对客户的"了解"也仅通过身份证件单一核实,同时也提供洗钱资金转移和分解的便利条件,加大了洗钱风险的可能性。
(四)制度冲突。第三方支付行业的法律地位不明朗,人民银行2010年颁布的《非金融机构支付服务管理办法》也只旨在规范支付机构行业发展和承认其合格资质,其在资金安全管理方面还需要一个长期和持续关注的过程。一项法律的制定需要逐步完善,基于这种较长的周期性,法律对第三方支付行业的约束性势必会滞后,不匹配行业发展的速度,而且对于风险的预见性也较差。现行制度中,对未保护客户商业秘密的第三方支付机构仅能处以警告或一万元以上三万元以下的罚款,处罚力度的薄弱也体现了监管制度威慑力缺乏,自然也不利于第三方支付行业的规范和持久发展。
三、国外经验--以美国为例。
第三方支付行业属美国发展最早、支付规模和品种最大。众所周知,作为全球最大的支付企业,PayPal覆盖了网络支付、移动支付、近场支付、店内支付、预付卡支付等业务。随着支付机构逐步创新多元化支付业务,谷歌、苹果、亚马逊等科技型企业也将业务延伸到互联网金融服务领域。面对第三方支付机构对银行业的冲击,美国银行业积极应对,在业务流程中引入移动金融服务,满足了消费者对快速安全支付的需求。2011年,美国银行、摩根大通和富国银行联合开发"clearXchange"电子转账系统,客户仅通过邮箱地址或者手机号码即可在活期存款账户之间进行转账。在自我革新的同时,银行机构主动与第三方支付机构建立合作关系,打破对立面的发展僵局。2012年,美国发现金融服务公司和PayPal合作,消费者可以在特约商户支付终端以输入手机号码或身份证号码来完成支付达到双方共赢的效果。
在美国,第三方支付机构健康发展也离不开政府监管部门的引导和监督。第三方支付机构的准入和退出机制比较完善,监管层级为较高的联邦层面,主要监督第三方支付机构履行其等级和交易报告程序。州的监管层面则比较细节化,对货币转移业务发生的必须具备监管当局认可的专项业务经营许可,并且在一年后要重新经过审核和再次许可;同时对获取经营资格的条件格外严谨和苛刻,申请材料中,需要证明的信用文件极为关键,具备良好的经营状况和企业信誉形象的机构,更能够承担经济责任,也能合法合规开展经营活动;第三方支付机构作为被监管方,应完全服从监管部门定期的检查和随时的资金监测,一旦发现违规开展业务,财务状况发生问题,甚至涉嫌从事非法经济活动等行为,直接吊销营业执照。
四、有关建议。
(一)加强行业引导和规范。第三方支付涉及行业广泛、对象多元,监管部门理应联手根据第三方支付行业发展现状和大环境形势变化制定和完善监管规则。针对存在的资金风险,需要加强反洗钱监控,依法将支付机构纳入洗钱金融监管。行业监管要注重平衡与市场发展的关系,达到既规范发展又防止风险的目的。要通过建立行业协会等方式,完善自我约束、自我纠偏的自律机制。监管部门要创新支付服务市场管理机制,建立收单业务外包服务黑名单制度,规范银行卡收单业务,实行支付机构第三方审计和退出机制,逐步构建"人行监管、行业自律、社会监督、公司治理"的四位一体监管格局。
(二)保障资金安全。在目前的监管制度中未明确第三方支付机构职责,因此,需要明确监管制度,第三方支付机构需要对巨额保留资金的管理和运用透明公开化,用户拥有绝对的自愿权去决定该类资金的管理和运用模式,制定严谨的管理流程和协议方式,在人民银行的监督管理下,支付机构与开户银行共同管理资金,从而保证资金的安全性和用途的明确性。效仿美国联邦存款保险公司对此类资金作为无利息负债的认定,并设置金额上限,在用户协议中明确说明用户资金与自有资金的使用区别,保证用户资金的安全完整,随时测试第三方支付机构面对资金损失时能够承担的压力,培养应对由损失引起的资金风险的应急能力。
(三)强化风险管理意识。除了监管部门对第三方支付机构的积极督促和制度规范的引导,第三方应主动从自身出发,制定严格的风险管理机制。第三方支付机构要对信息系统和网络安全实施必要的技术保障手段,完善网络安全设置,提升安全设备保障性能,定期对信息系统和网络进行风险和漏洞的检测,建立应急预案,定期开展模拟风险测试。这既能有效地识别潜在安全风险,强化企业内风险管理,也能够有效地保证企业利益最大化,提升企业价值,形成市场竞争优势。
(四)保障用户信息安全。第三方支付机构应该加强安全体系建设,保障网络安全,建立完整的信息安全机制,规范业务操作流程,对客户进行风险评估,可嵌入反洗钱客户风险等级制度;监管部门专门对第三方支付机构个人隐私保护的立法,对第三方支付机构对获取、审核、保存以及管理用户信息做强制约束;用户本身也应该养成良好的用卡、用网习惯,注意个人信息的保密,相关核心信息(身份证号,银行卡密码,支付密码,手机号码等)在不必要的情况下不随意透露。
(五)加强行业合作,促进行业成长。传统银行业与第三方支付行业均从事支付行业,双方合作的基础大于竞争。第三方支付机构所提供的高效优质服务可以与商业银行进行错位互补,支付机构可以利用贴近市场的优势,在前台响应客户需求,而银行机构平台规模大,客户群体多,运营优势明显,可以运用长期累积的安全经验和客户基础,协同第三方机构实现客户管理和开发。总之,第三方支付机构的发展有着合理性和趋势性,应当得到监管部门和金融市场的接纳包容,在规范发展、趋利避害的基础上,实现行业的健康有序发展。