作者:刘学梅
单位:环球律师事务所
继央行公布《非银行支付机构网络支付业务管理办法(征求意见稿)》近五个月之后,《非银行支付机构网络支付业务管理办法》(以下简称《管理办法》)终于于2015年12月28日尘埃落定,并将于2016年7月1日起正式实施。
从其内容不难看出,《管理办法》仍是基于进一步贯彻央行等十部门于2015年7月18日公布的《关于促进互联网金融健康发展的指导意见》(以下简称《指导意见》)的基本精神,按照“鼓励创新、防范风险、趋利避害、健康发展”的互联网金融发展总体要求,落实非银行支付机构从事和开展网络支付业务的具体监管配套制度。
网络支付在最近几年的兴起促进了电子商务和互联网金融的快速发展。但与此同时,网络支付业务所产生的问题和风险也日益显现。因此,对网络支付的监管既要考虑到鼓励服务创新和促进市场发展,又要兼顾支付风险的防范和客户权益的保护。基于上述考虑,《管理办法》集中体现了央行目前对网络支付业务的监管思路:坚持支付账户实名制、平衡支付业务安全与效率、保护消费者权益和推动支付创新。
为贯彻这一监管思路,央行在《管理办法》中确立了五大监管措施:清晰界定支付机构定位、坚持支付账户实名制、兼顾支付安全与效率、突出对个人消费者合法权益的保护、实施分类监管推动创新。
一、清晰界定支付机构定位
《管理办法》继承了《指导意见》颁布以来国家对互联网支付业务发展的一贯思路,继续将网络支付业务定位为主要服务于电子商务发展和为社会提供小额、快捷、便民小微支付服务,并要注意有效隔离跨市场风险,维护市场公平竞争秩序及金融稳定。
根据《管理办法》第二条,支付机构是指依法取得《支付业务许可证》,获准办理互联网支付、移动电话支付、固定电话支付、数字电视支付等网络支付业务的非银行机构。网络支付业务(包括互联网支付、移动电话支付、固定电话支付、数字电视支付等形式)应同时具备四个基本特征:(1)为收款人提供资金转移服务的主体是支付机构;(2)支付指令的发起借助于计算机、移动终端等电子设备;(3)电子设备经由公共网络信息系统与相关后台系统交互并传递支付指令;(4)支付指令发起过程中,付款人的电子设备不与“收款人特定专属设备”交互。由于目前付款人电子设备需要与受理设备进行交互的业务仍处于研究和探索阶段,因此暂未将此类支付方式纳入《管理办法》的规范范畴。
为了隔离跨市场风险,维护市场公平竞争秩序及金融稳定,《管理办法》第八条规定,支付机构为金融机构和从事网络借贷、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等业务的机构提供网络支付服务时,不可开立支付账户,各项资金收付均应基于其银行账户办理,以对相关机构进一步明晰资金流向、加强资金监管。
二、坚持支付账户实名制
支付账户与银行账户不同。支付账户并非是在银行开立的账户,而是由支付机构为客户开立,主要用于电子商务交易收付款结算的账户。一方面,其账户余额的本质是预付价值,类似于预付费卡中的余额,该余额资金虽然所有权归属于客户,但并未以客户本人名义存放在银行,而是由支付机构以其自身名义存放在银行,并实际由支付机构支配与控制。支付账户余额仅代表支付机构的企业信用,而非银行信用,也不受存款保险制度的保护,一旦支付机构出现经营风险或信用风险,将可能导致支付账户余额无法使用,不能回提为银行存款,使客户遭受财产损失。另一方面,因支付账户的支付方式以网络为依托,具有全天候、非面对面、超越地理空间限制、资金转移瞬时到账等特点,更易于被非法资金所利用,成为洗钱、恐怖主义等违法犯罪活动的工具。账户的实名制,能够更好地保护账户所有人的资金安全,从法律制度上保护消费者财产权利和明确债权债务关系,维护正常的经济金融秩序,切实落实反洗钱、反恐怖融资要求,防范和遏制违法犯罪活动。《管理办法》将支付账户实名制管理放到了分则的第一条,也着重凸显了其重要性。
《管理办法》第六条要求,支付机构应当遵循“了解你的客户”原则,对于在支付机构开立的支付账户严格实行实名制管理,登记并采取有效措施验证客户身份基本信息,按规定核对有效身份证件并留存有效身份证件复印件或者影印件,建立客户唯一识别编码,并在与客户关系存续期间采取持续的身份识别措施,确保有效核实客户身份及其真实意愿,不得开立匿名、假名支付账户。
三、兼顾支付安全与效率
1、支付账户分类管理
《管理办法》对支付账户的管理采用了小额支付偏重便捷、大额支付偏重安全的思路。《管理办法》第十一条根据交易验证安全程度的不同,对支付账户进行了分类:
|
|
I类支付账户 |
Ⅱ类支付账户 |
Ⅲ类支付账户 |
|
客户类型 |
以非面对面方式通过至少一个合法安全的外部渠道进行身份基本信息验证,且为首次在本机构开立支付账户的个人客户 |
(1)支付机构自主或委托合作机构以面对面方式核实身份的个人客户,或 (2)以非面对面方式通过至少三个合法安全的外部渠道进行身份基本信息多重交叉验证的个人客户 |
(1)支付机构自主或委托合作机构以面对面方式核实身份的个人客户,或 (2)以非面对面方式通过至少五个合法安全的外部渠道进行身份基本信息多重交叉验证的个人客户 |
|
账户余额用途 |
消费和转账 |
消费和转账 |
消费、转账、购买投资理财等金融类产品 |
|
交易限额 |
余额付款交易自账户开立起累计不超过1000元(包括支付账户向客户本人同名银行账户转账) |
所有支付账户的余额付款交易年累计不超过10万元(不包括支付账户向客户本人同名银行账户转账) |
所有支付账户的余额付款交易年累计不超过20万元(不包括支付账户向客户本人同名银行账户转账) |
可见,I类账户开户过程最为便捷。若客户只需要进行小额、临时支付,或者可用的网上验证身份手段较少,可以快速开立I类账户并完成支付。Ⅱ类和Ⅲ类账户的客户实名验证强度相对较高,能够在一定程度上防范假名、匿名支付账户问题,防止不法分子冒用他人身份开立支付账户并实施犯罪行为,因此具有较高的交易限额。鉴于投资理财业务的风险等级较高,仅实名验证强度最高的Ⅲ类账户可以使用余额购买投资理财等金融类产品,以保障客户资金安全。同时,为兼顾便捷性和安全性,支付机构可以通过强化客户身份验证,将I类账户升级为Ⅱ类或Ⅲ类账户,以提高交易限额和减少账户资金的使用限制。
为防止身份验证影响网络支付的便捷性,《管理办法》要求支付机构而非客户通过外部渠道进行信息的交叉验证。在身份验证过程中,客户只需要按照支付机构的要求在网上填写并上传相关信息即可,由支付机构负责与外部数据库或系统进行连接并验证客户身份信息的真实性。目前,央行认可的外部渠道信息来源包括公安、社保、民政、住建、交通、工商、教育、财税等政府部门,以及商业银行、保险公司、证券公司、征信机构、移动运营商、铁路公司、航空公司、电力公司、自来水公司、燃气公司等单位。支付机构可以根据本机构客户的群体特征和实际情况,选择与其中部分单位开展合作,实现多个渠道交叉验证客户身份信息。
2、银行卡快捷支付
快捷支付是支付机构和银行通过协议与客户约定,由支付机构代其向银行发送支付指令,直接扣划客户绑定的银行账户资金的支付方式。快捷支付以其开通简单、交易验证便捷的特点深受客户欢迎,已成为我国电子商务交易的主要支付方式之一。但是,实践中,由于该业务涉及客户、支付机构及银行三方,权责关系相对复杂,一旦发生风险损失,客户维权困难。
《管理办法》对该类业务提出了两项明确的要求:一是支付机构要获得客户和银行的授权,同意其向客户的银行账户发起支付指令扣划资金;二是银行要通过与客户直接签订协议的方式,直接获取客户授权,并明确约定扣款适用范围和交易验证方式,设立与客户风险承受能力相匹配的单笔和单日累计交易限额,承诺无条件全额承担此类交易的风险损失先行赔付责任。支付机构不得代替银行进行交易验证。
同时,为兼顾支付安全与效率,《管理办法》对银行卡快捷支付作出了灵活性规定:单笔金额不超过200元的小额支付业务,公共事业缴费、税费缴纳、信用卡还款等收款人固定并且定期发生的支付业务,支付机构可以代替银行进行交易验证。被评定为“A”类的支付机构办理银行卡快捷支付的相关业务时,可以与银行根据业务需要,通过协议自主约定由支付机构代替进行交易验证的情形,但支付机构应在交易中向银行完整、准确发送交易渠道、交易终端或接口类型、交易类型、商户名称、商户编码、商户类别码、收付款客户名称和账号等交易信息;银行应核实支付机构验证手段或渠道的安全性,且对客户资金安全的管理责任不因支付机构代替验证而转移。
3、支付账户与银行账户之间的转账业务
随着网络支付业务的不断发展,支付账户与银行账户之间的交互越来越多,对于二者之间的转账业务的安全与效率也提出了更高的要求。根据《管理办法》,原则上,支付账户与非同名的银行账户之间不可以相互转账。支付机构应按照与客户的约定及时办理支付账户向客户本人银行账户转账业务,不得对Ⅱ类、Ⅲ类支付账户向客户本人银行账户转账设置限额。同时,《管理办法》对支付账户的转账交易功能也有所扩充,即对于被评定为“A”类且Ⅱ类、Ⅲ类支付账户实名比例超过95%的支付机构,对于已经实名确认、达到实名制管理要求的支付账户,可以同时办理其与同名银行账户之间和非同名银行账户之间的转账业务。但是,该项功能扩充的规定以交易信息的透明度为前提。如果支付机构未向银行准确、完整发送交易信息,则应严格执行同名账户之间转账的规定。
4、交易信息的保存:真实性、完整性、可追溯性及一致性
交易信息的真实性、完整性、可追溯性及一致性是有效识别客户支付行为、开展风险防控、保障交易安全及维护客户权益的重要基础。《管理办法》要求支付机构真实反映和详尽记载交易信息,并在基于银行卡的支付业务中向相关银行真实、完整、准确提供交易信息。同时,为了保证交易的可追溯性,《管理办法》作出了交易资金的“原路返回”的规定:因交易取消(撤销)、退货、交易不成功或者投资理财等金融类产品赎回等原因需划回资金的,相应款项应当划回原扣款账户。另一方面,对于客户的网络支付业务操作行为,《管理办法》规定,支付机构应当在确认客户身份及真实意愿后及时办理,并在操作生效之日起至少五年内,真实、完整保存操作记录。
四、突出对个人消费者合法权益的保护
《管理办法》从保障客户的知情权、选择权、信息安全和资金安全等方面做出了具体的规定,以切实保障个人消费者的合法权益。
首先,《管理办法》要求支付机构与客户签订服务协议,约定双方责任、权利与义务,强调支付机构应以显著方式提示客户注意服务协议中与其有重大利害关系的事项,确保客户在充分知晓并清晰理解相关权利、责任、义务的前提下自愿接受服务协议。特别强调的是,支付机构有义务使客户充分知晓并理解支付账户余额与银行账户余额的不同。支付账户余额所反映的本质是预付价值,类似于预付费卡中的余额,与客户的银行存款不同。该余额资金虽然所有权归属于客户,却未以客户本人名义存放在银行,而是支付机构以其自身名义存放在银行,并实际由支付机构支配与控制。同时,该余额仅代表支付机构的企业信用,法律保障机制上远低于《人民银行法》、《商业银行法》及《存款保险条例》保障下的央行货币与商业银行货币。一旦支付机构出现经营风险或信用风险,将可能导致支付账户余额无法使用,不能回提为银行存款,使客户遭受财产损失。同时,《管理办法》要求支付机构增加信息透明度,定期将风险事件、客户风险损失发生和赔付等情况在网站对外公告,并在年度监管报告中如实反映上述内容和风险准备金计提、使用及结余等情况,以加强客户和舆论监督。
其次,《管理办法》要求支付机构充分尊重客户真实意愿,由客户自主选择提供网络支付服务的机构、资金收付方式等,不得以诱导、强迫等方式侵害客户自主选择权;支付机构变更协议条款、提高服务收费标准或者新设收费项目,应以客户知悉且自愿接受相关调整为前提。
第三,《管理方法》要求支付机构制定客户信息保护措施和风险控制机制,履行客户信息保护责任。确保自身及特约商户均不存储客户敏感信息,并依法承担因信息泄露造成的损失和责任。具体规定包括:支付机构不得存储客户银行卡的磁道信息或芯片信息、验证码、密码等敏感信息,原则上不得存储银行卡有效期。因特殊业务需要,支付机构确需存储客户银行卡有效期的,应当取得客户和开户银行的授权,以加密形式存储。支付机构应当以“最小化”原则采集、使用、存储和传输客户信息,并告知客户相关信息的使用目的和范围。支付机构不得向其他机构或个人提供客户信息,法律法规另有规定,以及经客户本人逐项确认并授权的除外。并且,支付机构应当通过协议约定禁止特约商户存储客户敏感信息。支付机构应对商户采取有效措施进行检查和监督,切实防范因商户违规存储敏感信息而导致客户信息泄露或资金损失。
最后,《管理方法》要求支付机构及时处理客户提出的差错争议和投诉,并建立健全风险准备金和客户损失赔付机制,对不能有效证明因客户原因导致的资金损失及时先行赔付,保障客户合法权益;要求支付机构对安全性较低的支付账户余额付款交易设置单日累计限额,并对采用不足两类要素进行验证的交易无条件全额承担客户风险损失赔付责任。
五、实施分类监管推动创新
根据《管理办法》,支付机构应接受分类监管。央行可以结合支付机构的企业资质、风险管控特别是客户备付金管理等因素,确立支付机构分类监管指标体系,建立持续分类评价工作机制,并对支付机构实施动态分类管理。
1、被评定为“A”类且Ⅱ类、Ⅲ类支付账户实名比例超过95%的支付机构:
该类机构可以采用能够切实落实实名制要求的其他客户身份核实方法,经法人所在地中国人民银行分支机构评估认可并向中国人民银行备案后实施;可以对从事电子商务经营活动、不具备工商登记注册条件且相关法律法规允许不进行工商登记注册的个人客户(以下简称个人卖家)参照单位客户管理,但应建立持续监测电子商务经营活动、对个人卖家实施动态管理的有效机制,并向法人所在地中国人民银行分支机构备案;可以将达到实名制管理要求的Ⅱ类、Ⅲ类支付账户的余额付款单日累计限额,提高至一般性规定的2倍。对于已经实名确认、达到实名制管理要求的支付账户,在办理银行账户与支付账户之间转账业务时,相关银行账户与支付账户可以不属于同一客户。但支付机构应在交易中向银行准确、完整发送交易渠道、交易终端或接口类型、交易类型、收付款客户名称和账号等交易信息。
2、被评定为“B”类及以上,且Ⅱ类、Ⅲ类支付账户实名比例超过90%的支付机构:
该类机构可以将达到实名制管理要求的Ⅱ类、Ⅲ类支付账户的余额付款单日累计限额,提高至一般性规定的1.5倍。
3、被评定为“C”类及以下、支付账户实名比例较低、对零售支付体系或社会公众非现金支付信心产生重大影响的支付机构,央行及其分支机构可以在一般性规定的基础上适度提高公开披露相关信息的要求,并加强非现场监管和现场检查。
分类监管的本质是央行通过对支付机构及其相关业务实施差别化管理,以正向激励的机制引导和推动支付机构在符合基本条件和实质合规的前提下开展技术创新、流程创新和服务创新,从而达到有效提升监管措施弹性和灵活性的同时,激发支付机构活跃支付服务市场动力的目的。(完)
环球律师事务所实习生安宁(中国人民大学法学院)对本文亦有贡献。
|
环球出版物提供免费订阅服务,欢迎您的订阅。点击<span style="font-size:12.0pt;line-height:200%;font-family:" color:#0000b4;"="">这里完成订阅表的填写,我们会定期将环球各类出版物发送至您的邮箱。 |
