劉楠

中國(guó)銀監(jiān)會(huì)與中國(guó)人民銀行于2014年4月聯(lián)合發(fā)布《關(guān)于加強(qiáng)商業(yè)銀行與第三方支付機(jī)構(gòu)合作業(yè)務(wù)管理的通知》（以下簡(jiǎn)稱(chēng)《通知》），該文件旨在規(guī)范銀行與第三方支付機(jī)構(gòu)的合作，保障客戶(hù)支付交易安全?！锻ㄖ费永m(xù)了銀監(jiān)會(huì)于2011年8月下發(fā)的《加強(qiáng)電子銀行客戶(hù)信息管理有關(guān)規(guī)定》，2014年1月央行下發(fā)的《關(guān)于加強(qiáng)銀行卡管理業(yè)務(wù)的有關(guān)規(guī)定》，從保護(hù)客戶(hù)資金安全和信息安全出發(fā)，對(duì)有針對(duì)性的問(wèn)題進(jìn)行了細(xì)化規(guī)范，涉及客戶(hù)身份認(rèn)證、信息安全、交易限額、交易通知、賠付責(zé)任、第三方支付機(jī)構(gòu)資質(zhì)和行為、銀行的相關(guān)風(fēng)險(xiǎn)管控等。本文對(duì)《通知》的主要內(nèi)容及其影響進(jìn)行分析。

新規(guī)的主要內(nèi)容

加強(qiáng)客戶(hù)信息安全與客戶(hù)風(fēng)險(xiǎn)能力評(píng)估

《通知》首先從客戶(hù)視角對(duì)商業(yè)銀行提出了明確要求，以防范客戶(hù)糾紛給金融秩序帶來(lái)的挑戰(zhàn)?！锻ㄖ分厣陮?duì)客戶(hù)信息安全和保密的要求。故《通知》第一條明確指出：“商業(yè)銀行與第三方支付機(jī)構(gòu)合作開(kāi)展各項(xiàng)業(yè)務(wù)，對(duì)涉及到的客戶(hù)金融信息管理，應(yīng)嚴(yán)格遵循有關(guān)法律法規(guī)和監(jiān)管制度的規(guī)定，嚴(yán)格遵照客戶(hù)意愿和指令進(jìn)行支付，不得違法違規(guī)泄露”。

為了預(yù)防銀行與客戶(hù)糾紛的發(fā)生，《通知》還要求銀行建立對(duì)客戶(hù)技術(shù)風(fēng)險(xiǎn)承受能力進(jìn)行測(cè)評(píng)，第二條規(guī)定“應(yīng)對(duì)客戶(hù)的技術(shù)風(fēng)險(xiǎn)承受能力進(jìn)行評(píng)估，客戶(hù)與第三方支付機(jī)構(gòu)相關(guān)的賬戶(hù)關(guān)聯(lián)、業(yè)務(wù)類(lèi)型、交易限額等決策要求應(yīng)與其技術(shù)風(fēng)險(xiǎn)承受能力相匹配”。這也是針對(duì)實(shí)踐中使用第三方支付機(jī)制客戶(hù)結(jié)構(gòu)日益復(fù)雜化的現(xiàn)實(shí)問(wèn)題做出的反應(yīng)，有助于加強(qiáng)銀行對(duì)客戶(hù)的了解，也有助于銀行關(guān)注和推動(dòng)客戶(hù)技術(shù)風(fēng)險(xiǎn)意識(shí)和風(fēng)險(xiǎn)防御能力的提升。

嚴(yán)格準(zhǔn)入和準(zhǔn)入后的監(jiān)督管理

強(qiáng)調(diào)了準(zhǔn)入環(huán)節(jié)的認(rèn)證監(jiān)管?！锻ㄖ访鞔_要求客戶(hù)銀行賬戶(hù)與第三方支付機(jī)構(gòu)首次建立業(yè)務(wù)關(guān)聯(lián)時(shí)，應(yīng)經(jīng)雙重認(rèn)證，即客戶(hù)在通過(guò)第三方支付機(jī)構(gòu)認(rèn)證同時(shí)，還需通過(guò)商業(yè)銀行的客戶(hù)身份鑒別。為了確保認(rèn)證的可操作和規(guī)范，《通知》進(jìn)一步明確，賬戶(hù)所在銀行應(yīng)通過(guò)物理網(wǎng)點(diǎn)、電子渠道或其他有效方式直接驗(yàn)證客戶(hù)身份，明確雙方權(quán)利與義務(wù)。這里突出了銀行機(jī)構(gòu)對(duì)客戶(hù)身份的“直接驗(yàn)證”，并要求驗(yàn)證應(yīng)明確雙方權(quán)責(zé)。對(duì)于驗(yàn)證和識(shí)別客戶(hù)身份問(wèn)題，《通知》還強(qiáng)制性要求采用“雙（多）種因素驗(yàn)證方式對(duì)客戶(hù)身份進(jìn)行鑒別”，同時(shí)還做出禁止性規(guī)定，“對(duì)不具備雙（多）種因素認(rèn)證條件的客戶(hù)，其任何賬戶(hù)不得與第三方支付機(jī)構(gòu)建立業(yè)務(wù)關(guān)聯(lián)?！边@勢(shì)必大大強(qiáng)化準(zhǔn)入環(huán)節(jié)監(jiān)管的剛性效應(yīng)。

設(shè)置及時(shí)“通知”機(jī)制強(qiáng)化預(yù)警和提示。為加強(qiáng)客戶(hù)對(duì)支付情況的了解和掌控，《通知》明確要求“商業(yè)銀行對(duì)賬戶(hù)與第三方支付機(jī)構(gòu)建立業(yè)務(wù)關(guān)聯(lián)的客戶(hù)，應(yīng)開(kāi)通至少一種賬戶(hù)變動(dòng)即時(shí)通知技術(shù)方式”，同時(shí)把這種技術(shù)設(shè)置作為建立一次簽約、多次支付業(yè)務(wù)的前提條件。這實(shí)質(zhì)上是借助支付及時(shí)知情的機(jī)制來(lái)強(qiáng)化客戶(hù)對(duì)風(fēng)險(xiǎn)的防范?！锻ㄖ穼?duì)于大額支付、可疑支付的“通知”做了特別規(guī)范，強(qiáng)制性要求商業(yè)銀行應(yīng)就大額支付、可疑支付要及時(shí)通知客戶(hù)，對(duì)開(kāi)通短信或其他方式即時(shí)通知功能的客戶(hù)，應(yīng)就每一筆支付交易即時(shí)通知客戶(hù)。值得注意的是，《通知》還就通知信息的內(nèi)容作了明確規(guī)定——包含但不限于第三方支付機(jī)構(gòu)名稱(chēng)、交易金額、交易時(shí)間等。為保障“即時(shí)通知”機(jī)制的可靠性，《通知》構(gòu)建了預(yù)留手機(jī)號(hào)碼審核機(jī)制。該文件對(duì)發(fā)出短信的手機(jī)預(yù)留號(hào)碼設(shè)置了銀行審查機(jī)制，即“對(duì)預(yù)留的手機(jī)號(hào)碼且設(shè)定短信通知的客戶(hù)，商業(yè)銀行應(yīng)在客戶(hù)進(jìn)行支付時(shí)對(duì)第三方支付機(jī)構(gòu)提供的手機(jī)號(hào)碼和銀行預(yù)留的手機(jī)號(hào)碼進(jìn)行一次檢驗(yàn)，通過(guò)后方可進(jìn)行支付”。這里把預(yù)留手機(jī)號(hào)碼的審驗(yàn)作為剛性機(jī)制要求，并為提高交易效率，《通知》進(jìn)一步明確規(guī)定，如果銀行已按照前述要求在業(yè)務(wù)關(guān)聯(lián)時(shí)進(jìn)行了相關(guān)信息驗(yàn)證，確?？蛻?hù)身份真實(shí)可靠，在交易時(shí)可以無(wú)需再次驗(yàn)證。

建立支付限額機(jī)制。支付限額是最近以來(lái)是社會(huì)最為關(guān)注的第三方支付領(lǐng)域的焦點(diǎn)問(wèn)題，一些商業(yè)銀行近期已紛紛推出限額機(jī)制，但是引起了一些專(zhuān)家或當(dāng)事人的質(zhì)疑。《通知》明確肯定了限額支付機(jī)制的合規(guī)性，該文件第六條指出“商業(yè)銀行應(yīng)設(shè)立與客戶(hù)技術(shù)風(fēng)險(xiǎn)承受能力相匹配的支付限額，包括單筆支付限額和日累計(jì)支付限額”。這不僅從正面肯定了商業(yè)銀行已經(jīng)推出的限額制度的合理性合規(guī)性，而且將限額支付機(jī)制的設(shè)置作為銀行的剛性義務(wù)。但是具體如何限額未做出明確，留給商業(yè)銀行結(jié)合客戶(hù)技術(shù)風(fēng)險(xiǎn)承受能力的情況來(lái)確定?！锻ㄖ芳骖櫫丝蛻?hù)對(duì)限額支付方面的個(gè)性化需求，允許客戶(hù)在“臨時(shí)期限”對(duì)其個(gè)性化需求提出申請(qǐng)，并要求銀行應(yīng)當(dāng)向客戶(hù)提供臨時(shí)調(diào)整支付限額的服務(wù)，但是這種調(diào)整應(yīng)該“在進(jìn)行身份驗(yàn)證和辨別后”，應(yīng)嚴(yán)格遵守客戶(hù)申請(qǐng)進(jìn)行調(diào)整，既可以調(diào)整單筆支付限額，也可調(diào)整日累計(jì)支付限額。

大額劃轉(zhuǎn)身份認(rèn)證、交易糾錯(cuò)及賠付機(jī)制。針對(duì)大額支付的特殊性，《通知》要求商業(yè)銀行應(yīng)對(duì)客戶(hù)通過(guò)第三方支付機(jī)構(gòu)進(jìn)行大額資金劃轉(zhuǎn)強(qiáng)化身份認(rèn)證，確保由客戶(hù)本人發(fā)出資金劃轉(zhuǎn)要求。為了強(qiáng)化第三方支付引發(fā)糾紛時(shí)有關(guān)賠付問(wèn)題得到及時(shí)解決，《通知》要求銀行與第三方支付機(jī)構(gòu)在合作協(xié)議中做出相應(yīng)安排，有關(guān)協(xié)議應(yīng)就商業(yè)銀行直接進(jìn)行客戶(hù)身份認(rèn)證的批量和扣數(shù)或電子支付，與第三方支付機(jī)構(gòu)就賠付問(wèn)題達(dá)成一致。為救濟(jì)交易終止或失敗等問(wèn)題，《通知》規(guī)定“從銀行賬戶(hù)劃出的支付交易資金，遇到交易終止、失敗應(yīng)劃回原銀行賬戶(hù)”。這是為了強(qiáng)化客戶(hù)權(quán)益的保障，促進(jìn)銀行和第三方機(jī)構(gòu)及時(shí)糾錯(cuò)。

信息保存和查詢(xún)機(jī)制。為了保障客戶(hù)對(duì)支付交易情況的核查，《通知》要求銀行應(yīng)保留完整的支付信息，并且在保留期限方面應(yīng)按照相關(guān)法律法規(guī)規(guī)定來(lái)執(zhí)行。同時(shí)規(guī)定，銀行應(yīng)向客戶(hù)提供第三方支付機(jī)構(gòu)的簽約查詢(xún)和交易查詢(xún)功能，但是這種查詢(xún)是否免費(fèi)未做出明確規(guī)定。此外，《通知》還就第三方支付機(jī)構(gòu)在支付界面和接口管理方面做了規(guī)范：銀行應(yīng)要求第三方支付機(jī)構(gòu)不得在未經(jīng)授權(quán)的情況下屏蔽本銀行的支付界面與接口。對(duì)于客戶(hù)擬撤銷(xiāo)賬戶(hù)與第三方機(jī)構(gòu)業(yè)務(wù)合作關(guān)聯(lián)服務(wù)，《通知》要求商業(yè)銀行應(yīng)當(dāng)提供配套服務(wù)。

強(qiáng)化銀行內(nèi)部控制

《通知》還從銀行內(nèi)部控制角度對(duì)第三方支付合作業(yè)務(wù)的管理做了規(guī)范。這主要表現(xiàn)在以下幾方面。endprint

要求銀行將合作業(yè)務(wù)納入運(yùn)營(yíng)風(fēng)險(xiǎn)管控。即商業(yè)銀行應(yīng)將與第三方支付機(jī)構(gòu)的合作業(yè)務(wù)納入全行業(yè)運(yùn)營(yíng)風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)的監(jiān)控范圍，對(duì)其中的商戶(hù)和客戶(hù)在本行的賬戶(hù)資金活動(dòng)情況進(jìn)行實(shí)時(shí)監(jiān)控，達(dá)到風(fēng)險(xiǎn)標(biāo)準(zhǔn)的應(yīng)組織核查，特別是對(duì)其中大額、異常的資金收付應(yīng)做到逐筆監(jiān)測(cè)、認(rèn)真核查、及時(shí)預(yù)警、及時(shí)控制。

加強(qiáng)客戶(hù)交易監(jiān)控，健全有關(guān)數(shù)據(jù)和記錄的管理。《通知》明確指出，銀行對(duì)客戶(hù)通過(guò)第三方支付機(jī)構(gòu)進(jìn)行的交易建立自動(dòng)化的交易監(jiān)控機(jī)制和風(fēng)險(xiǎn)監(jiān)控模型，對(duì)資金實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)和處置異常行為、套現(xiàn)或欺詐事件?！锻ㄖ愤€要求商業(yè)銀行應(yīng)做好數(shù)據(jù)和操作指令的整理和日志備份，便于事后檢查和審計(jì)。商業(yè)銀行與第三方支付機(jī)構(gòu)合作開(kāi)展各項(xiàng)業(yè)務(wù)，凡涉及備付金存放和資金劃轉(zhuǎn)的，均應(yīng)建立每日對(duì)賬制度，不得使用或變相使用銀行內(nèi)部賬戶(hù)以待清算資金等名義為第三方支付機(jī)構(gòu)存放客戶(hù)備付金。商業(yè)銀行應(yīng)就第三方支付機(jī)構(gòu)備付金存管業(yè)務(wù)建立統(tǒng)一管理機(jī)制，未經(jīng)總行書(shū)面授權(quán)，任何分支機(jī)構(gòu)不得直接與第三方支付機(jī)構(gòu)合作開(kāi)展備付金存管業(yè)務(wù)，強(qiáng)化備付金的監(jiān)督管理。

完善銀行內(nèi)部技術(shù)保障機(jī)制，加強(qiáng)制度和協(xié)議保障。《通知》要求銀行對(duì)數(shù)據(jù)傳輸和操作指令等提供技術(shù)保障措施，將來(lái)自第三方機(jī)構(gòu)的傳輸數(shù)據(jù)（如客戶(hù)數(shù)據(jù)、交易數(shù)據(jù)等）和操作指令（如支付指令、身份驗(yàn)證指令等）的完整性、一致性和不可抵賴(lài)性等事項(xiàng)明確規(guī)范為銀行的義務(wù)，要求銀行提供技術(shù)保障措施，同時(shí)要求銀行審核第三方機(jī)構(gòu)在安全保障能力方面的情況，對(duì)不具備對(duì)等安全保障能力的第三方支付機(jī)構(gòu)，原則上應(yīng)不予合作。同時(shí)，《通知》還要求銀行應(yīng)構(gòu)建安全的網(wǎng)絡(luò)通道，制定安全邊界（如部署防火墻、DMZ（demilitarized zone）隔離區(qū)等），防止第三方機(jī)構(gòu)越界訪(fǎng)問(wèn)。由于《通知》對(duì)銀行及第三方支付機(jī)構(gòu)的合作事項(xiàng)作了較為具體的規(guī)范，既涉及了銀行與第三方機(jī)構(gòu)合作的權(quán)利義務(wù)，也有關(guān)銀行內(nèi)部控制方面的要求，為此《通知》要求銀行對(duì)其內(nèi)部管理制度和有關(guān)協(xié)議及時(shí)做出修改和完善，并且明確規(guī)定銀行應(yīng)將前述工作最遲應(yīng)于2014年6月30日前完成。在《通知》的適用范圍上，它還把將其適用機(jī)構(gòu)范圍從商業(yè)銀行延伸至其他銀行業(yè)金融機(jī)構(gòu)，明確要求其他銀行業(yè)金融機(jī)構(gòu)開(kāi)展相關(guān)業(yè)務(wù)時(shí)，參照本通知執(zhí)行。

新規(guī)的主要影響

從上文內(nèi)容來(lái)看，《通知》將對(duì)商業(yè)銀行、第三方支付機(jī)構(gòu)、客戶(hù)及支付合作業(yè)務(wù)都將產(chǎn)生深遠(yuǎn)影響。

更加嚴(yán)格的限制快捷支付的開(kāi)通和使用。從上文可知，《通知》在銀行與第三方支付機(jī)構(gòu)有關(guān)業(yè)務(wù)準(zhǔn)入方面設(shè)置了較為嚴(yán)格的機(jī)制，如客戶(hù)銀行賬戶(hù)與第三方支付機(jī)構(gòu)首次建立業(yè)務(wù)關(guān)聯(lián)時(shí)，須通過(guò)第三方支付機(jī)構(gòu)和商業(yè)銀行的雙重身份鑒別；賬戶(hù)所在銀行應(yīng)通過(guò)物理網(wǎng)點(diǎn)、電子渠道或其他有效方式直接驗(yàn)證客戶(hù)身份。特別是《通知》對(duì)銀行限額支付給予了肯定和強(qiáng)化，不僅規(guī)定商業(yè)銀行應(yīng)設(shè)立與客戶(hù)技術(shù)風(fēng)險(xiǎn)承受能力相匹配的支付限額，包括單筆支付限額和日累計(jì)支付限額，這勢(shì)必對(duì)快捷支付業(yè)務(wù)的功能和效用產(chǎn)生重大影響。

提升銀行與第三方支付機(jī)構(gòu)合作業(yè)務(wù)的管理成本?！锻ㄖ穼?duì)銀行在安全保障方面設(shè)置了一系列要求，不僅體現(xiàn)在事前的準(zhǔn)入審核，而且在銀行自身技術(shù)保障支持方面也提出了更為嚴(yán)格的要求，如銀行應(yīng)構(gòu)建安全的網(wǎng)絡(luò)通道，制定安全邊界，防止第三方機(jī)構(gòu)越界訪(fǎng)問(wèn)等。在加強(qiáng)銀行內(nèi)部風(fēng)險(xiǎn)防范方面，要求銀行將與第三方支付機(jī)構(gòu)的合作業(yè)務(wù)納入運(yùn)營(yíng)風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)的監(jiān)控范圍，特別是對(duì)其中大額、異常的資金收付要逐筆監(jiān)測(cè)，這也勢(shì)必大大增加銀行的風(fēng)險(xiǎn)管理成本。同時(shí)《通知》也通過(guò)要求銀行審核第三方支付機(jī)構(gòu)技術(shù)風(fēng)險(xiǎn)防控能力來(lái)間接提升第三方機(jī)構(gòu)的風(fēng)控成本。

間接提高了第三方機(jī)構(gòu)在資質(zhì)方面的要求?！锻ㄖ吩谝筱y行采取技術(shù)措施保障來(lái)自第三方支付機(jī)構(gòu)的傳輸數(shù)據(jù)和操作指令的完整性、一致性和不可抵賴(lài)性的同時(shí)，也要求銀行審核第三方機(jī)構(gòu)的安全保障能力，并且明確規(guī)定“對(duì)不具備對(duì)等安全保障能力的第三方支付機(jī)構(gòu)，原則上應(yīng)不予合作”，這實(shí)際上強(qiáng)化了第三方機(jī)構(gòu)在技術(shù)安全方面的資質(zhì)要求。

一定程度影響快捷支付的便捷性和客戶(hù)體驗(yàn)?！锻ㄖ吩阢y行與第三方支付機(jī)構(gòu)合作業(yè)務(wù)準(zhǔn)入環(huán)節(jié)方面設(shè)置了諸多審核機(jī)制，尤其是增加銀行的身份鑒別等，會(huì)在一定程度上影響開(kāi)通快捷支付的便捷性和客戶(hù)體驗(yàn)?？旖葜Ц秾?shí)踐操作中，其開(kāi)通一般只需要第三方支付機(jī)構(gòu)的身份鑒別，《通知》增加銀行的身份鑒別，會(huì)影響開(kāi)通快捷支付的便捷性和客戶(hù)體驗(yàn)。《通知》規(guī)定銀行應(yīng)構(gòu)建安全的網(wǎng)絡(luò)通道，制定安全邊界，防止第三方機(jī)構(gòu)越界訪(fǎng)問(wèn)，這里的“越界訪(fǎng)問(wèn)”的限制實(shí)際上強(qiáng)化了銀行對(duì)會(huì)計(jì)支付功能的約束。

（作者單位：北京銀行法律合規(guī)部）endprint