劉楠

中國銀監(jiān)會與中國人民銀行于2014年4月聯(lián)合發(fā)布《關(guān)于加強商業(yè)銀行與第三方支付機構(gòu)合作業(yè)務(wù)管理的通知》（以下簡稱《通知》），該文件旨在規(guī)范銀行與第三方支付機構(gòu)的合作，保障客戶支付交易安全。《通知》延續(xù)了銀監(jiān)會于2011年8月下發(fā)的《加強電子銀行客戶信息管理有關(guān)規(guī)定》，2014年1月央行下發(fā)的《關(guān)于加強銀行卡管理業(yè)務(wù)的有關(guān)規(guī)定》，從保護客戶資金安全和信息安全出發(fā)，對有針對性的問題進行了細化規(guī)范，涉及客戶身份認證、信息安全、交易限額、交易通知、賠付責(zé)任、第三方支付機構(gòu)資質(zhì)和行為、銀行的相關(guān)風(fēng)險管控等。本文對《通知》的主要內(nèi)容及其影響進行分析。

新規(guī)的主要內(nèi)容

加強客戶信息安全與客戶風(fēng)險能力評估

《通知》首先從客戶視角對商業(yè)銀行提出了明確要求，以防范客戶糾紛給金融秩序帶來的挑戰(zhàn)?！锻ㄖ分厣陮蛻粜畔踩捅Ｃ艿囊?。故《通知》第一條明確指出：“商業(yè)銀行與第三方支付機構(gòu)合作開展各項業(yè)務(wù)，對涉及到的客戶金融信息管理，應(yīng)嚴格遵循有關(guān)法律法規(guī)和監(jiān)管制度的規(guī)定，嚴格遵照客戶意愿和指令進行支付，不得違法違規(guī)泄露”。

為了預(yù)防銀行與客戶糾紛的發(fā)生，《通知》還要求銀行建立對客戶技術(shù)風(fēng)險承受能力進行測評，第二條規(guī)定“應(yīng)對客戶的技術(shù)風(fēng)險承受能力進行評估，客戶與第三方支付機構(gòu)相關(guān)的賬戶關(guān)聯(lián)、業(yè)務(wù)類型、交易限額等決策要求應(yīng)與其技術(shù)風(fēng)險承受能力相匹配”。這也是針對實踐中使用第三方支付機制客戶結(jié)構(gòu)日益復(fù)雜化的現(xiàn)實問題做出的反應(yīng)，有助于加強銀行對客戶的了解，也有助于銀行關(guān)注和推動客戶技術(shù)風(fēng)險意識和風(fēng)險防御能力的提升。

嚴格準入和準入后的監(jiān)督管理

強調(diào)了準入環(huán)節(jié)的認證監(jiān)管。《通知》明確要求客戶銀行賬戶與第三方支付機構(gòu)首次建立業(yè)務(wù)關(guān)聯(lián)時，應(yīng)經(jīng)雙重認證，即客戶在通過第三方支付機構(gòu)認證同時，還需通過商業(yè)銀行的客戶身份鑒別。為了確保認證的可操作和規(guī)范，《通知》進一步明確，賬戶所在銀行應(yīng)通過物理網(wǎng)點、電子渠道或其他有效方式直接驗證客戶身份，明確雙方權(quán)利與義務(wù)。這里突出了銀行機構(gòu)對客戶身份的“直接驗證”，并要求驗證應(yīng)明確雙方權(quán)責(zé)。對于驗證和識別客戶身份問題，《通知》還強制性要求采用“雙（多）種因素驗證方式對客戶身份進行鑒別”，同時還做出禁止性規(guī)定，“對不具備雙（多）種因素認證條件的客戶，其任何賬戶不得與第三方支付機構(gòu)建立業(yè)務(wù)關(guān)聯(lián)?！边@勢必大大強化準入環(huán)節(jié)監(jiān)管的剛性效應(yīng)。

設(shè)置及時“通知”機制強化預(yù)警和提示。為加強客戶對支付情況的了解和掌控，《通知》明確要求“商業(yè)銀行對賬戶與第三方支付機構(gòu)建立業(yè)務(wù)關(guān)聯(lián)的客戶，應(yīng)開通至少一種賬戶變動即時通知技術(shù)方式”，同時把這種技術(shù)設(shè)置作為建立一次簽約、多次支付業(yè)務(wù)的前提條件。這實質(zhì)上是借助支付及時知情的機制來強化客戶對風(fēng)險的防范?！锻ㄖ穼τ诖箢~支付、可疑支付的“通知”做了特別規(guī)范，強制性要求商業(yè)銀行應(yīng)就大額支付、可疑支付要及時通知客戶，對開通短信或其他方式即時通知功能的客戶，應(yīng)就每一筆支付交易即時通知客戶。值得注意的是，《通知》還就通知信息的內(nèi)容作了明確規(guī)定——包含但不限于第三方支付機構(gòu)名稱、交易金額、交易時間等。為保障“即時通知”機制的可靠性，《通知》構(gòu)建了預(yù)留手機號碼審核機制。該文件對發(fā)出短信的手機預(yù)留號碼設(shè)置了銀行審查機制，即“對預(yù)留的手機號碼且設(shè)定短信通知的客戶，商業(yè)銀行應(yīng)在客戶進行支付時對第三方支付機構(gòu)提供的手機號碼和銀行預(yù)留的手機號碼進行一次檢驗，通過后方可進行支付”。這里把預(yù)留手機號碼的審驗作為剛性機制要求，并為提高交易效率，《通知》進一步明確規(guī)定，如果銀行已按照前述要求在業(yè)務(wù)關(guān)聯(lián)時進行了相關(guān)信息驗證，確?？蛻羯矸菡鎸嵖煽浚诮灰讜r可以無需再次驗證。

建立支付限額機制。支付限額是最近以來是社會最為關(guān)注的第三方支付領(lǐng)域的焦點問題，一些商業(yè)銀行近期已紛紛推出限額機制，但是引起了一些專家或當(dāng)事人的質(zhì)疑。《通知》明確肯定了限額支付機制的合規(guī)性，該文件第六條指出“商業(yè)銀行應(yīng)設(shè)立與客戶技術(shù)風(fēng)險承受能力相匹配的支付限額，包括單筆支付限額和日累計支付限額”。這不僅從正面肯定了商業(yè)銀行已經(jīng)推出的限額制度的合理性合規(guī)性，而且將限額支付機制的設(shè)置作為銀行的剛性義務(wù)。但是具體如何限額未做出明確，留給商業(yè)銀行結(jié)合客戶技術(shù)風(fēng)險承受能力的情況來確定?！锻ㄖ芳骖櫫丝蛻魧ο揞~支付方面的個性化需求，允許客戶在“臨時期限”對其個性化需求提出申請，并要求銀行應(yīng)當(dāng)向客戶提供臨時調(diào)整支付限額的服務(wù)，但是這種調(diào)整應(yīng)該“在進行身份驗證和辨別后”，應(yīng)嚴格遵守客戶申請進行調(diào)整，既可以調(diào)整單筆支付限額，也可調(diào)整日累計支付限額。

大額劃轉(zhuǎn)身份認證、交易糾錯及賠付機制。針對大額支付的特殊性，《通知》要求商業(yè)銀行應(yīng)對客戶通過第三方支付機構(gòu)進行大額資金劃轉(zhuǎn)強化身份認證，確保由客戶本人發(fā)出資金劃轉(zhuǎn)要求。為了強化第三方支付引發(fā)糾紛時有關(guān)賠付問題得到及時解決，《通知》要求銀行與第三方支付機構(gòu)在合作協(xié)議中做出相應(yīng)安排，有關(guān)協(xié)議應(yīng)就商業(yè)銀行直接進行客戶身份認證的批量和扣數(shù)或電子支付，與第三方支付機構(gòu)就賠付問題達成一致。為救濟交易終止或失敗等問題，《通知》規(guī)定“從銀行賬戶劃出的支付交易資金，遇到交易終止、失敗應(yīng)劃回原銀行賬戶”。這是為了強化客戶權(quán)益的保障，促進銀行和第三方機構(gòu)及時糾錯。

信息保存和查詢機制。為了保障客戶對支付交易情況的核查，《通知》要求銀行應(yīng)保留完整的支付信息，并且在保留期限方面應(yīng)按照相關(guān)法律法規(guī)規(guī)定來執(zhí)行。同時規(guī)定，銀行應(yīng)向客戶提供第三方支付機構(gòu)的簽約查詢和交易查詢功能，但是這種查詢是否免費未做出明確規(guī)定。此外，《通知》還就第三方支付機構(gòu)在支付界面和接口管理方面做了規(guī)范：銀行應(yīng)要求第三方支付機構(gòu)不得在未經(jīng)授權(quán)的情況下屏蔽本銀行的支付界面與接口。對于客戶擬撤銷賬戶與第三方機構(gòu)業(yè)務(wù)合作關(guān)聯(lián)服務(wù)，《通知》要求商業(yè)銀行應(yīng)當(dāng)提供配套服務(wù)。

強化銀行內(nèi)部控制

《通知》還從銀行內(nèi)部控制角度對第三方支付合作業(yè)務(wù)的管理做了規(guī)范。這主要表現(xiàn)在以下幾方面。endprint

要求銀行將合作業(yè)務(wù)納入運營風(fēng)險管控。即商業(yè)銀行應(yīng)將與第三方支付機構(gòu)的合作業(yè)務(wù)納入全行業(yè)運營風(fēng)險監(jiān)測系統(tǒng)的監(jiān)控范圍，對其中的商戶和客戶在本行的賬戶資金活動情況進行實時監(jiān)控，達到風(fēng)險標準的應(yīng)組織核查，特別是對其中大額、異常的資金收付應(yīng)做到逐筆監(jiān)測、認真核查、及時預(yù)警、及時控制。

加強客戶交易監(jiān)控，健全有關(guān)數(shù)據(jù)和記錄的管理。《通知》明確指出，銀行對客戶通過第三方支付機構(gòu)進行的交易建立自動化的交易監(jiān)控機制和風(fēng)險監(jiān)控模型，對資金實時監(jiān)控，及時發(fā)現(xiàn)和處置異常行為、套現(xiàn)或欺詐事件?！锻ㄖ愤€要求商業(yè)銀行應(yīng)做好數(shù)據(jù)和操作指令的整理和日志備份，便于事后檢查和審計。商業(yè)銀行與第三方支付機構(gòu)合作開展各項業(yè)務(wù)，凡涉及備付金存放和資金劃轉(zhuǎn)的，均應(yīng)建立每日對賬制度，不得使用或變相使用銀行內(nèi)部賬戶以待清算資金等名義為第三方支付機構(gòu)存放客戶備付金。商業(yè)銀行應(yīng)就第三方支付機構(gòu)備付金存管業(yè)務(wù)建立統(tǒng)一管理機制，未經(jīng)總行書面授權(quán)，任何分支機構(gòu)不得直接與第三方支付機構(gòu)合作開展備付金存管業(yè)務(wù)，強化備付金的監(jiān)督管理。

完善銀行內(nèi)部技術(shù)保障機制，加強制度和協(xié)議保障?！锻ㄖ芬筱y行對數(shù)據(jù)傳輸和操作指令等提供技術(shù)保障措施，將來自第三方機構(gòu)的傳輸數(shù)據(jù)（如客戶數(shù)據(jù)、交易數(shù)據(jù)等）和操作指令（如支付指令、身份驗證指令等）的完整性、一致性和不可抵賴性等事項明確規(guī)范為銀行的義務(wù)，要求銀行提供技術(shù)保障措施，同時要求銀行審核第三方機構(gòu)在安全保障能力方面的情況，對不具備對等安全保障能力的第三方支付機構(gòu)，原則上應(yīng)不予合作。同時，《通知》還要求銀行應(yīng)構(gòu)建安全的網(wǎng)絡(luò)通道，制定安全邊界（如部署防火墻、DMZ（demilitarized zone）隔離區(qū)等），防止第三方機構(gòu)越界訪問。由于《通知》對銀行及第三方支付機構(gòu)的合作事項作了較為具體的規(guī)范，既涉及了銀行與第三方機構(gòu)合作的權(quán)利義務(wù)，也有關(guān)銀行內(nèi)部控制方面的要求，為此《通知》要求銀行對其內(nèi)部管理制度和有關(guān)協(xié)議及時做出修改和完善，并且明確規(guī)定銀行應(yīng)將前述工作最遲應(yīng)于2014年6月30日前完成。在《通知》的適用范圍上，它還把將其適用機構(gòu)范圍從商業(yè)銀行延伸至其他銀行業(yè)金融機構(gòu)，明確要求其他銀行業(yè)金融機構(gòu)開展相關(guān)業(yè)務(wù)時，參照本通知執(zhí)行。

新規(guī)的主要影響

從上文內(nèi)容來看，《通知》將對商業(yè)銀行、第三方支付機構(gòu)、客戶及支付合作業(yè)務(wù)都將產(chǎn)生深遠影響。

更加嚴格的限制快捷支付的開通和使用。從上文可知，《通知》在銀行與第三方支付機構(gòu)有關(guān)業(yè)務(wù)準入方面設(shè)置了較為嚴格的機制，如客戶銀行賬戶與第三方支付機構(gòu)首次建立業(yè)務(wù)關(guān)聯(lián)時，須通過第三方支付機構(gòu)和商業(yè)銀行的雙重身份鑒別；賬戶所在銀行應(yīng)通過物理網(wǎng)點、電子渠道或其他有效方式直接驗證客戶身份。特別是《通知》對銀行限額支付給予了肯定和強化，不僅規(guī)定商業(yè)銀行應(yīng)設(shè)立與客戶技術(shù)風(fēng)險承受能力相匹配的支付限額，包括單筆支付限額和日累計支付限額，這勢必對快捷支付業(yè)務(wù)的功能和效用產(chǎn)生重大影響。

提升銀行與第三方支付機構(gòu)合作業(yè)務(wù)的管理成本?！锻ㄖ穼︺y行在安全保障方面設(shè)置了一系列要求，不僅體現(xiàn)在事前的準入審核，而且在銀行自身技術(shù)保障支持方面也提出了更為嚴格的要求，如銀行應(yīng)構(gòu)建安全的網(wǎng)絡(luò)通道，制定安全邊界，防止第三方機構(gòu)越界訪問等。在加強銀行內(nèi)部風(fēng)險防范方面，要求銀行將與第三方支付機構(gòu)的合作業(yè)務(wù)納入運營風(fēng)險監(jiān)測系統(tǒng)的監(jiān)控范圍，特別是對其中大額、異常的資金收付要逐筆監(jiān)測，這也勢必大大增加銀行的風(fēng)險管理成本。同時《通知》也通過要求銀行審核第三方支付機構(gòu)技術(shù)風(fēng)險防控能力來間接提升第三方機構(gòu)的風(fēng)控成本。

間接提高了第三方機構(gòu)在資質(zhì)方面的要求?！锻ㄖ吩谝筱y行采取技術(shù)措施保障來自第三方支付機構(gòu)的傳輸數(shù)據(jù)和操作指令的完整性、一致性和不可抵賴性的同時，也要求銀行審核第三方機構(gòu)的安全保障能力，并且明確規(guī)定“對不具備對等安全保障能力的第三方支付機構(gòu)，原則上應(yīng)不予合作”，這實際上強化了第三方機構(gòu)在技術(shù)安全方面的資質(zhì)要求。

一定程度影響快捷支付的便捷性和客戶體驗。《通知》在銀行與第三方支付機構(gòu)合作業(yè)務(wù)準入環(huán)節(jié)方面設(shè)置了諸多審核機制，尤其是增加銀行的身份鑒別等，會在一定程度上影響開通快捷支付的便捷性和客戶體驗?？旖葜Ц秾嵺`操作中，其開通一般只需要第三方支付機構(gòu)的身份鑒別，《通知》增加銀行的身份鑒別，會影響開通快捷支付的便捷性和客戶體驗。《通知》規(guī)定銀行應(yīng)構(gòu)建安全的網(wǎng)絡(luò)通道，制定安全邊界，防止第三方機構(gòu)越界訪問，這里的“越界訪問”的限制實際上強化了銀行對會計支付功能的約束。

（作者單位：北京銀行法律合規(guī)部）endprint