我国支付市场发展迅速,市场规模庞大。整个市场中支付服务商的数量和种类繁多,由此形成了一家商户同时拥有多家支付服务商的支付设备这一特殊局面,这既增加了支付服务商的业务拓展成本,也增加了商户的经营成本。
在这种由于支付渠道、支付平台互不相通而造成支付环境碎片化的背景下,聚合支付业务应运而生。目前,聚合支付业务发展迅速,但由此产生的一系列风险隐患也逐渐显现。本文在对聚合支付业务风险进行分析的基础上,提出相应的防范对策和建议。
1、聚合支付业务发展现状
与我国支付行业市场驱动在先、监管完善在后的大环境相类似,聚合支付是支付服务商为解决支付环境隔离化、碎片化这一市场痛点提供的服务。
通过业务分析可以发现,在支付业务流程中,聚合支付介于持牌支付机构(银行、第三方支付机构)和商户之间,负责支付、结算、清算业务链条中的“支付”部分,主要业务是为商户提供支付通道、集合对账、技术对接、金融服务、终端维护等服务,以此减少商户在接入、维护支付结算服务时面临的成本支出,提高商户支付结算效率和效益。
与第三方支付机构实行持牌经营制度不同,当前对聚合支付业务开展实行的是备案制。中国支付清算协会组织印发的《收单外包服务机构备案管理办法(试行)》(以下简称《管理办法》)明确了包括聚合支付企业在内的收单外包服务机构的定义、范围、申请备案的条件、备案工作流程和取消备案情形等内容。《管理办法》的发布,既为聚合支付行业设定了准入门槛,又降低了其接受有效管理的门槛,为相关监管工作提供了依据。
按照业务场景划分,聚合支付业务可分为线上业务和线下业务。线上业务是指聚合支付将各类主流的网络支付方式集成到服务商自建平台,形成聚合网络支付;线下业务则是指聚合支付将合作机构的收单方式集成于一个二维码或终端,客户扫描二维码后,自动跳转到聚合支付平台完成支付。
按照技术实现方式划分,聚合支付可分为以下四类:第一类是“二清”类。此类方式下,聚合支付服务商直接处理客户资金,存在较大的资金安全隐患和业务风险,一直是监管机构明令禁止和重点打击对象。
第二类是技术集成类。此类方式下,聚合支付服务商只向商户提供技术服务,帮助商户实现一次性对接多支付机构,解决商户快速连接多支付通道的问题,但不负责商户与支付机构之间的接入谈判,更不会接触客户资金。
第三类是机构转接类。此类方式下,聚合支付服务商在提供技术集成服务的基础上,还向商户提供申请接入支付机构的服务,同样不直接处理客户资金。第四类是机构直清类。这类聚合支付机构主要是银行和持牌支付机构,他们互相合作、互相连通,只要商户在其中一家开通业务,就可以实现支付方式多家通用。
2、聚合支付业务存在的风险
聚合支付业务快速发展,在缓解支付市场痛难点、提升支付服务质量、改善客户支付体验的同时,也隐含着一系列风险。
1. 经营风险
聚合支付作为连接持牌支付机构与商户之间的“桥梁”,其收入来源主要包括收单手续费分润、技术服务费、收单机构返佣,以及其他衍生服务收益等。当前,聚合支付服务商在营收方面面临较为严峻的挑战,原因如下。
一是支付手续费收入下降。我国支付市场经过多年发展,作为行业收入主要组成的支付手续费,其费率已降至较低水平,叠加当前正在实行的降费政策的影响,聚合支付服务商的支付手续费收入将会受到一定程度的冲击。
二是支付市场格局发生变化。我国支付市场规模庞大,持牌支付机构数量较多,这本有利于聚合支付服务商拓展市场空间,扩大收入来源,但事实上我国支付市场已经形成了支付宝、财付通和银联云闪付“三足鼎立”的格局,众多中小支付机构的生存环境恶劣,市场份额被不断缩小。这种市场格局压缩了聚合支付服务商的收入空间,同时显着降低了其面对巨头机构时的议价能力,盈利空间将会进一步萎缩。
2. 业务违规风险
按照监管规定,聚合支付服务商只能从事“支付”业务,严禁处理客户资金,但部分机构在经营压力下,可能会通过开展超出许可范围的业务,甚至是开展违规违法业务来获取非法收益,从而产生业务违规风险。
一是“二清”风险。聚合支付服务商通过沉淀客户资金、开展商户资金结算等方式开展“二清”业务,并获取收益。
二是为非法活动提供结算服务产生的风险。聚合支付服务商在利益的诱惑下,为赌博、非法娱乐、电信诈骗等违法犯罪行为提供支付通道、资金清(结)算服务,以获取不法收益。
三是开展超出许可范围的业务。聚合支付服务商在业务拓展过程中,偏离“收单外包机构”的定位,违规开展特约商户资质审核、受理协议签订、资金结算、收单业务交易处理、风险监测、受理终端(网络支付接口)主密钥生成和管理、差错和争议处理等核心收单业务,并从中获利。
3. 信息安全风险
聚合支付服务商连接了众多支付机构和大量商户,汇集了较大量级的消费者信息、商户信息、商品消息和支付机构信息,其中也包含了诸如特约商户和消费者的身份、账户或交易信息等敏感信息,蕴藏着潜在的信息安全风险。
一是信息过度利用风险。在当前的信息时代,信息数据是重要的生产资料。聚合支付服务商在对其掌握的信息数据进行再开发时,易在利益驱使下过度使用相关信息,从而对信息主体的权益造成损害,引发纠纷。
二是信息泄露风险。聚合支付是非持牌业务,受到的监管强度较小,在缺少强力外部监督的情况下,聚合支付服务商如果不进行严格的内控管理、提升自身信息安全防护水平,就容易成为信息泄露重灾区,给不法分子带来可乘之机。
3、聚合支付业务风险的防范对策和建议
聚合支付业务的稳健发展,离不开聚合支付服务商、行业自律组织和监管机构的多方合力,针对潜在的风险隐患采取有效措施,进行精准治理。
1. 强化监管力度
为规范聚合支付业务发展,防范风险隐患,人民银行于2017年3月发布了《关于持续提升收单服务水平规范和促进收单服务市场发展的指导意见》(以下简称《指导意见》),监管机构可以此作为指导,采取多种措施强化对聚合支付服务商的监管。
一是加强对收单机构的监管。监管机构要督促收单机构增强责任意识,严格规范其与聚合支付服务商的合作,要求其采取协议或技术手段,强化对聚合支付业务外包服务的风险管理,坚决落实《指导意见》等规章制度中对收单企业的责任要求;同时要严肃查处收单机构将特约商户资质审核、受理协议签订、资金结算等核心收单业务交由聚合支付服务商处理的行为,通过加强对收单企业的监管,压缩聚合支付服务商违规开展业务的外部空间。
二是强化行业自律管理。可由中国支付清算协会牵头落实《管理办法》的要求,通过开展检查、鼓励投诉举报等方式,在行业内部强化守规意识,对违规开展业务的聚合支付服务商取消备案资格,并向监管机构提供案件线索。
三是开展对聚合支付服务商的检查。监管机构可重点检查并严厉打击违规开展“二清”、为非法活动提供结算服务、开展超出许可范围业务的聚合支付机构,完善针对这类违规机构的处理和处罚机制,并做到处理结果及时公示。
2. 开展业务创新
聚合支付业务作为支付行业的一个组成部分,在支付行业整体降低支付手续费、参与方支付手续费收入受到影响的大环境下,要积极作为、主动应对,通过开展符合监管要求的业务创新,拓展生存空间,寻找新的业务发展方向,努力改变主营收入渠道较为单一的现状,力争实现收入来源多元化,提高行业整体抗风险能力。
例如,在行业内部进行资源整合,打造有影响力的服务品牌,以提高对支付巨头的议价能力,并降低边际成本;开展广告业务,利用贴近市场、直面终端消费者的优势,在聚合支付平台的支付界面、支付终端提供各类广告服务;开展数据增值服务,利用大数据技术对在业务服务过程中积累的非敏感信息数据进行再开发,并向支付机构和商户提供营销参考、服务优化改进等咨询服务。
3. 提高信息安全水平
聚合支付服务商可从外部督促和内部提升两个方面,提高信息安全能力和意识。
一是外部督促。相关机构在接受备案申请时,可对申请企业的信息安全能力进行重点检查,比如是否建立完善了客户信息安全管理制度和技术保障体系、相关业务系统是否符合国家金融行业标准等。同时,收单机构在选择合作伙伴时,也应将对方的信息安全能力作为一项重要考量因素,并在业务合作期间,督促合作伙伴持续提升信息安全水平。
二是内部提升。聚合支付服务商要严格落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规的要求,做好客户信息的保护和合理利用,同时要严格落实网络安全等级保护制度2.0标准的要求,主动接受等级保护测评,及时发现并弥补不足,全面提升企业的安全管理能力、安全技术水平和员工安全意识,更好地履行网络安全和信息安全保护义务,增强信息安全保护能力。
