银监会央行下发10号文 规范银行与支付机构合作
近日,银监会和央行联合下发了《关于加强商业银行与第三方支付机构合作业务管理的通知》(以下简称10号文),要求规范商业银行与第三方支付机构的合作。有
记者了解到,监管层主要从保护商业银行客户信息安全,保障客户资金和银行账户安全角度,明确了二十条监管规定,并要求商业银行在今年6月30日之前,做好相应制度和合同修订(与第三方支付机构)工作。
10号文要求银行要对客户的风险承受能力进行评估,以确定客户与第三方支付机构相关的账户关联、业务类型、交易限额等,包括单笔支付限额和日累计支付限额。针对此次监管层出手整顿商业银行与第三方支付机构的合作模式,有分析认为,随着互联网金融的发展,传统的业务合作模式和双方利益面临再平衡。
监管层的安全考量
据悉,10号文于本月10日下发到银行手中。《每日经济新闻》记者从一位股份行人士处了解到,目前该行正在组织学习10号文。10号文要求,银行应按照有关法律的规定,做好客户的信息安全与保密工作,明确银行要对客户风险承受能力做出评估,确定客户与第三方支付机构相关的账户关联业务类型、交易限额等,包括单笔支付限额和日累计支付限额。
10号文提出,客户银行账户与第三方支付机构首次建立业务关联时,应经双重认证,商业银行通过电子渠道验证和辨别客户身份,应采取双(多)种因素验证方式对客户身份进行鉴别,对不具备双(多)种因素认证条件的客户,其任何账户不得与第三方支付机构建立业务关联。
这与此前相关的监管规定相符,只不过商业银行和第三方支付机构并没有很好地执行。今年以来,第三方支付机构与银行 “纠纷”不断。从监管层发文明确要求商业银行对客户支付限额,似乎可以看出监管层支持四大行的行为,不过在专做支付安全的来谊电子CEO徐海光看来,这种看法并不准确。他认为,如果能分开界定各个业务限额,才能够大致判断限额规定是否偏向银行方面,10号文也规定,在客户提出申请且通过身份验证和辨别后,在临时期限内可以适当调整单笔支付限额和日累计支付限额。
值得注意的是,10号文规定,商业银行应明确要求第三方支付机构不得在未经授权的情况下屏蔽本银行的支付界面与接口,这反映出商业银行面对移动支付行业快速发展的被动局面。随着支付宝等移动支付公司的发展,大部分移动支付不需要经由银行网银界面,直接可以用第三方支付机构的账号支付,商业银行的支付界面与接口被屏蔽。
支付账户信息难监控
此外,在10号文的第14条中规定,商业银行将与第三方支付机构合作业务纳入全行业业务运营风险监测系统与监测范围,对商户和客户在本行的账户资金活动进行监控,对大额、异常的资金收付应做到逐笔监测、认真核查和及时控制。
显然,监管层希望银行更多介入行业业务运营风险监控,但某银行电子银行部人士告诉 《每日经济新闻》记者,银行只能监控银行端账户信息,并不能监控第三方支付机构账户的交易信息,包括分笔的交易流水等,这些数据也被认为是第三方支付机构的核心数据。
监管层希望银行应对客户通过第三方支付机构进行的交易建立监控机制和风控模型,及时发现和处置异常行为、套现和欺诈事件。上述银行电子银行部人士告诉记者,事实上各家银行都在监控本行的交易,但由于监控不了第三方支付公司账户交易情况,只有在银行账户发生异常的情况下,才会向合作的第三方支付机构申请提取交易信息。
徐海光告诉记者,监管的难点在于商业银行与第三方支付机构利益再平衡问题。“央行和银监局对卡的管理一直很慎重,尤其是目前互联网金融时代,卡本身也将被电子货币代替,将来在互联网领域的应用非常广,管理也从线下由线上延伸,延伸之后身份验证非常重要。互联网做技术,银行做金融,他们之间直接的利益混淆,分工变得复杂,产生了矛盾。”