一、互联网支付概述
(一)发展背景。近年来,国内电子商务行业发展迅猛,陆续涌现出以淘宝、京东、苏宁为代表的大型电商平台,以及一大批涉及购物、旅游、民生等各个领域、各种规模的电商企业。互联网技术的广泛应用,给予电商行业以有力的支持,并且这种影响力正在逐步渗透到传统的金融行业。基于电子商务需求而衍生的互联网支付,已经成为目前主流的支付方式之一。国内互联网支付的服务供应商现在主要有五类。一是独立的第三方支付企业,比如快钱、易宝支付等;二是国内电子商务平台价值链延伸的在线支付工具,比如支付宝、财付通、易付宝等;三是银行阵营,比如中国银联的ChinaPay、各家银行传统的网上银行,以及以建设银行“善融商务”为代表的银行系电商平台;四是依托社交平台延伸的支付工具,如微信支付,虽然规模小,但增长势头迅猛;五是以中国移动等运营商为代表的移动支付企业,现阶段数量还比较少。目前,国内取得央行非金融支付牌照的支付机构(以下简称“支付机构”)已超过200家,国内网购用户2.5亿,2012年互联网支付交易额达到3.7万亿元,互联网支付市场已经进入了同质化竞争日趋激烈的高速发展阶段。
(二)互联网支付的主要模式。互联网支付主要可分为银行支付模式和支付机构支付模式。银行支付模式的服务供应商是商业银行为代表的金融机构,支付机构支付模式的服务供应商是以支付宝为代表的支付机构。与传统的支付结算业务相比,互联网支付交易规模庞大、业务量增长的爆发力强,同时容错率低、追索成本高。
二、互联网支付的主要风险
互联网支付属于以提供资金转移服务为目的的支付结算业务,会因支付手段和路径的差别而产生不同风险,主要有以下三个方面。
(一)网络环境安全控制风险。大量的互联网支付业务是支付机构通过专线或互联网渠道,将支付指令发送给银行,完成最终支付。无论选择何种方式或渠道,在大幅度提高效率的同时,都存在着信息、资金被盗的风险。一是用户基础信息泄露风险。对于大多数的互联网支付业务,特别是近两年发展很快的快捷支付业务,用户在初次注册时,一般只需提供手机号码、银行账号、姓名、身份证号等基础信息,个人的保管不当容易使这些基础信息泄漏。另外,支付机构的日常运营和信息管理不够规范,若其未按规定留存、使用及销毁客户及交易信息,也会造成信息泄漏。一旦不法分子掌握了这些信息,再通过技术手段复制手机号码,就可以进行虚假注册,在用户不知情的情况下开通账户互联网支付的功能,威胁账户安全。二是支付密码被破解风险。即使用户在注册环节是真实合法的,由于快捷支付等互联网支付业务具有“一次认证、重复使用”的特点,用户一旦被虚假网址、计算机木马、恶意软件、山寨应用等网络手段攻破,以及电商平台或者支付机构系统被网络攻破,就会出现支付密码泄露或被破解的风险,用户的银行账户就失去了安全防护。
(二)备付金管理风险。备付金是指支付机构为办理客户委托的支付业务而实际收到的预收待付货币资金。备付金包括客户在支付机构开立的支付账户内资金、支付在途资金、与银行之间清算在途资金。现实中,备付金管理不当已直接威胁到用户资金安全,并产生了严重后果。
一是支付机构挪用备付金的风险。由于相关规章制度与约束机制尚不健全,目前支付机构对客户备付金和自有资金的分类管理主要依赖于自律。但市场上支付机构众多,管理水平参差不齐,监管实践中已发现部分支付机构擅自挪用客户备付金用于购买理财产品、备付金与自有资金混合使用、自有资金存放或拆借关联公司缺乏必要依据等情况,这些做法给备付金账户的安全带来了很大的隐患。同时,仍有大量尚未取得支付机构牌照的电商企业,存在自行开立和管理用户支付账户、以电商公司清算账户统一管理资金的现象,资金挪用、损失的风险更高。例如,湖南维财大宗贵金属交易所,利用客户备用金进行交易操作,在8个月的时间骗取客户保证金超过23亿元,受骗人数遍布全国27个省市、达到3.9万人。
二是支付机构及商户间不规范合作带来的安全风险。很多支付机构间的业务合作是以备付金在两家以上支付机构间的转移为基础,有些转移的备付金金额高达数千万元甚至上亿元。此类业务合作挪用了客户备付金,显然违背了客户指令。同时,由于支付机构往往不参与电商运营商辖下的商户拓展工作,会加大风险防控难度,给一些不法分子提供了可趁之机。比如,2011年5月媒体报道,有大量用户投诉某支付机构与某信息科技公司涉嫌网络诈骗,仅某个诈骗受害者QQ群里,就有全国各地193名被挂马网页欺骗的买家,涉案金额从50元到上万元不等,多数没能追回。
(三)信息不对称的衍生风险。基于互联网技术的支付服务通常具有复杂性、技术性和风险性并存的特点,但由于互联网支付的相关信息披露、普及和教育程度不够,衍生了一些问题和风险。
一是支付产品信息揭示不足的风险。服务供应商推介产品时,往往在产品优势方面介绍较多,而对风险提示不够,一定程度上侵害了消费者的知情权和选择权。比如,某着名支付机构2013年推出的理财产品,通过集合投资货币基金的方式,提高用户资金收益率,在较短的时间内其规模超过千亿元。但该产品的收益规则是按日结算,如当日收益不足1分钱,则不计入累计收益。按照目前平均每万份收益1.3元左右测算,用户每日的资金余额不能低于80元,否则将不产生收益。然而,支付机构并未对此规则做详细的说明和提示,很多存放在支付账户中的小额资金并未给用户带来收益。
二是资金流向的信息不对称隐患。用户调度资金到支付机构备付金专户后,不论是用户、金融机构还是监管部门,都缺少有效手段监测支付机构的备付金运作,存在着诸多安全隐患和问题。比如,一些互联网支付机构,利用自身清算系统与各商业银行直接对接,避开人民银行现代化支付系统的监管。虽然其用户可以免费实现多个银行账户之间的资金划转,但这种模式给资金市场头寸管理、银行间备付金调整、反洗钱等多项金融工作带来了隐患,不利于整个金融体系的稳定发展。
三、风险控制的制约因素分析
互联网支付在快速发展的过程中,之所以产生了上述的风险和问题,一方面,新技术、新模式的出现形成了新的风险成因;另一方面,国内法律规范、风险防范等配套机制不完善,与风险形成有较大的关系。溯本求源,互联网支付领域的风险控制主要受制于以下几个方面的问题。
(一)法律规范、监管和执行方面。当前,央行已经针对支付机构准入和管理、支付机构的备付金管理制定了专门的制度办法。但从实践情况来看,相关法规体系的建设还存在一些问题。
一是缺少完善的法律框架和监管体系。互联网支付与电子商务紧密关联,国内电子商务目前没有标准可遵循,缺乏标准体系和法律框架;相关部门在制定、执行互联网支付规定时,审核、检查的事项内容不够全面,技术要求和规范不够细化,电子商务立法规范的统筹协调有待加强,法规的覆盖层次和内容有待丰富。例如,针对互联网支付机构的准入,央行在非金融支付机构服务管理办法和互联网支付业务管理办法中提出了审核要求,但在技术保障、信息管理、支付赔偿等环节的流程,还没有明确的标准和要求。
二是法律规范的执行力亟待提高。前期央行已经制定了一系列办法和规定,但执行难度较大。比如,央行2013年6月发布的《支付机构客户备付金存管办法》中,对备付金账户管理有严格要求。《办法》第十六条规定,“支付机构在满足办理日常支付业务需要后,可以以单位定期存款、单位通知存款、协定存款或中国央行认可的其他形式存放客户备付金”;第二十五条规定,“支付机构每月在备付金存管银行存放的客户备付金日终余额合计数,不得低于上月所有备付金银行账户日终余额合计数的50%”。但实践中,由于存在各种因素,导致相应的法律规范难以执行。一方面是缺乏技术手段。
目前还没有银行与支付机构建立实时连接、信息高度共享的备付金存管系统,银行端不掌握支付机构备付金的账户、交易及资金明细,难以有效区分支付机构的备付金和自有账户资金;同时,由于跨行信息的交流缺乏组织,监管部门和银行都无法及时掌握支付机构在多家银行的资金头寸。另一方面是商业银行间存在恶性竞争。支付机构的备付金是银行存款的重要来源,在资金市场竞争激烈的背景下,银行往往会满足支付机构提出的不同形式的高利率要求,甚至会对其挪用备付金购买理财产品等违规操作疏于管理。因此,央行对支付机构备付金的监管要求难以实现。
三是监管的范围需要进一步延伸,职责需要进一步明确。互联网支付风险并不仅限于购物支付过程中,当前的法律规范侧重于交易过程中的监管和保护,对支付业务前后、包括出现纠纷后,银行与支付机构间的责任划分、消费者资金追索、权益保障等问题,没有明确的规范和要求。同时,跨银行支付工具及支付机构资金划拨系统的存在,给金融系统资金头寸管理和反洗钱带来了很大的困难,在这一方面的责任和义务也亟须进行明确和强化。
(二)盈利模式所衍生的问题。目前支付机构的收入主要来自两个方面,一是支付手续费收入,二是备付金存款的利息收入。在支付市场快速发展的过程中,同质化竞争导致支付机构间的价格战升级,出现了抵扣率、零扣率和暗中返点等恶性竞争手段。在整个行业利润空间被挤压的前提下,违规行为就有可能被触发,这也是部分支付机构挪用备付金进行投资套利的动因之一。
对商业银行来说,互联网支付的效率更高、成本更低,收费标准也大幅降低,直接收益相对降低,其在银行的主营业务收入中占比很低,从而导致了商业银行对互联网支付业务重视不足,产品创新和研发相对滞后。
(三)互联网金融知识普及的问题。互联网支付的很多风险、案件的发生,很大程度上是由于公众对互联网支付业务的认知程度不深,仅关注支付的便捷性、易操作性,而忽视了安全性。一方面,公众对结算账户的认知不够。开户人必须对账户功能有足够的认知和关注,既可以充分发挥账户功能,又使自己更了解支付风险。近期的调查发现,不少人认为只要银行卡在手中就是安全的,殊不知一旦账户及密码信息外漏,不法分子便可以通过网上支付、转账平台或伪造卡、手机等手段操作账户,以互联网支付的途径盗取资金或给户主带来不良记录。另一方面,公众对互联网支付的安全防范意识不强,中国互联网络信息中心近期的调查显示,47.2%的用户对网上支付安全问题表示非常不关注或较不关注,57.6%的用户表示不知道保障网上支付安全的办法。
(四)技术风险控制的问题。在传统支付领域,客户的每一笔支付都基于实体账户交易,客户和账户信息封闭在银行系统内。银行对客户信息一般都有专门的信息管理系统和严密的信息保密制度,审计部门、银监会、央行等监管机构也会对银行信息的安全管理做检查。在这种情况下,除非银行内部人员违规,客户信息被泄露、盗取的可能性较低。
而在互联网支付领域,用户保存在银行中的客户、账户信息不再是封闭、独立的,而会根据互联网支付业务的开通,与银行之外的机构产生信息传递,被泄漏的可能性较大。与银行相比,支付机构的技术能力、风控水平和制度建设都有一定差距,海量客户信息的管理存在一定隐患;各类支付服务提供商的技术支持能力也有差距,对虚假网址、计算机木马等技术隐患的防范和控制手段存在不足。
三、对策建议
(一)加强法规体系建设,从制度上强化业务监管。一是法规建设要进一步丰富和完善。国内互联网支付领域的立法还有很大的空白地带,应建立相关的法规对其身份认证、业务范围以及网络虚拟财产等给予明确解释,增加用户透明度,加大实名制推行力度,使网络支付行为与个人信用关联;从技术及安全监管角度建立网络建设、安全认证审核等相关法律,建立健全业务开展的管理办法,推动电子商务的保障体系建设,严厉打击各种违法犯罪活动。二是对互联网支付机构的准入和审查要更加严格、更加细化。央行在准入、发放牌照以及对支付机构开展检查时,要区别对待不同类型的支付机构。对提供互联网支付服务的机构,对其运营流程、技术保障、信息管理、备付金使用等关键环节应当有更细化的准入和检查条件,对信息披露的及时性、真实性和准确性要求要进一步明确,确保支付机构有充分的技术能力和制度安排,保障用户的资金安全、支付安全和信息安全。三是对执行法规要更到位。法规体系建设,更重要的是执行。一方面,监管部门在制定法规时,要充分考虑可操作性;另一方面,要严格执行已制定的法规,强化日常监管,如将支付机构备付金存管系统的建设纳入到牌照审核和年检工作中,促进相关制度办法的执行更加机制化、常态化。
(二)加强风控体系建设,从流程上消除业务漏洞。一是加强各类支付机构的内部控制。商业银行、支付机构,首先应从内部完善安全管理办法、互联网金融风险防范制度以及操作规程;其次应充实科技力量,建立专业的互联网支付风险防范的技术队伍,创新风险控制手段,如利用大数据分析,将与客户行为习惯不同的支付进行事中监控,与客户及时确认。监管机构也应加强引导,在各类银行、支付机构内部以及监管机构中构建起全面的互联网支付业务的动态风险监测和预警系统,及时对各类支付机构发布风险预警信息,进行窗口指导。
二是加快社会信用体系建设。完善的社会信用体系是减少信息不对称、降低市场选择风险的基础。因此,应以央行的企业、个人征信系统为基础,全面收集非银行信用信息,建立客观全面的企业、个人信用评估体系和电子商务身份认证体系,避免互联网支付提供者因信息不对称作出不利选择;对各类互联网支付机构建立信用评价体系,降低业务不确定性,避免客户因不了解支付机构服务质量而作出逆向选择。
三是加强行业自律和协调发展。为改善互联网支付行业内恶性竞争的混乱局面,应加强行业自律和督导,促进规范经营。比如,南京人民银行牵头,于2012年成立了江苏省内的支付清算服务协会,参与者包括省内的各家金融机构、在省内注册以及在省内提供服务的支付机构。协会成立的目的在于促进各家银行、支付机构之间的良性竞争与合作,规范行业准入及定价标准,强化内部管理和风险控制。这种举措对于促进行业内部交流和沟通、明确和完善行业标准、促进整个互联网支付产业的健康发展都有较好的保障和支持作用,应该成为监管单位引导、规范国内互联网支付业务发展的一种有益思路。
四是引入互联网支付保险机制。互联网支付机构与保险公司合作开发新的支付业务险种,能形成双赢的局面。一方面,解决了结算安全和信用问题,提升了用户对交易安全的信任感,起到了信用背书的作用,从而促进互联网大额支付、B2B业务的进一步发展;另一方面,伴随着支付市场的迅速膨胀,保险公司也能随之获得稳定的保费,如支付宝已和平安保险合作,探索推出快捷支付保险业务。
(三)加强备付金监管,从资金安全上保障业务发展。备付金的合规管理是影响互联网支付业务发展的关键,也是保障用户权益、防范风险的重要措施。针对当前备付金监管不力、盗用挪用现象存在的情况,需要监管机构强化制度执行,加快实施对备付金的实质性监管,确保用户资金安全。在法规制定和执行到位的情况下,央行主导、商业银行和支付机构加强互动,加快建立、完善备付金存管系统,从两方面对支付机构备付金进行实质性监管。
一是备付金头寸的全面管理。备付金存管银行应当通过系统(人民银行结算账户管理系统、超级网银等),自动、及时、全面的掌握支付机构在各家银行开立的备付金账户及余额,根据监管要求,提示支付机构及时调整备付金头寸,确保其按照规定的方式、比率进行存放,并向监管机构做定期报告。
二是备付金的调拨和审核。对支付机构备付金的调拨和清算,应该在存管系统中建立相应的审核模块,控制支付方向和金额。总体来看,可通过两种方式来实现。第一,审核支付机构与商户的协议,建立备付金支付的“白名单”,这种方式可操作性较强,有助于控制支付方向、降低挪用盗取备付金的可能性,但不能够确保支付金额的准确性,也不能排除支付机构通过变造、伪造协议的方式增加虚拟交易对手。第二,建立与交易信息高度关联的支付审核模块,即银行与支付机构之间建立实时连接的数据库,在每笔备付金清算时,根据一定时间段、累计业务量和相关规则,由系统自动计算应支付金额,与支付机构提交的指令进行核对,审核一致后实施支付。这种方式监管效果好、潜在风险低,但对系统建设的要求高,同时也要充分考虑商业机密等因素。
(四)加快金融知识普及交易,从公众层面改善发展环境。只有在公众层面强化对互联网支付业务的宣传教育,引导用户安全、规范地使用互联网支付业务,才能从根源上规避业务风险、促进业务健康发展。
一方面,要加强对现代银行结算账户功能的宣传教育。央行、商业银行要加强宣传引导,逐步改变公众对银行账户凭存折、银行卡的传统观念,提高用户对账户结算功能和渠道的认知。同时,考虑到我国的个人结算账户用户规模庞大、功能综合化程度高,在加强教育的同时,应考虑对账户功能和权限做一定程度的区分和限制。参照我国互联网支付快速发展的情况,建议在个人结算账户的基础上,专门针对个人网络支付业务设立网络支付个人结算账户,可用于取现、互联网支付及刷卡消费,并在此账户上实行限额支付管理。通过分设账户,可以有效降低风险,缩小网络金融犯罪的潜在获利空间,并且能对互联网支付实名制的实施起到较好的促进作用。另一方面,要加强对互联网支付产品的宣传教育,对支付产品的宣传做强制性的要求。一是支付机构在提供某一种支付产品或服务时,要通过公开网站等渠道,对产品的功能、流程、风险、权利义务关系做详细的揭示,监管机构对其产品信息的披露情况做规范性的要求和常规性的检查;二是应引入类似于银行用户的风险评测机制,对拟开通互联网支付业务的用户,需在银行端或支付机构端做互联网业务的知识评估和风险测评,符合评估要求的用户才能开通支付业务,强化用户对互联网业务和风险的认知,提高其风险防范意识。