支付市场变天了吗（之二）

　　新规对消费者的网络支付体验会产生什么影响？对第三方支付机构意味着什么？对银行是利好吗？

　　【财新网】（专栏作家 董俊峰）去年写这个题目的时候，是在旅途中；今年写续篇，依然是在旅途中。地点真是巧合，只是季节不同，去年是春天，而今年是盛夏。支付行业经过这些年的沉淀与成熟，也逐渐在走出鹅黄嫩绿，走向葳蕤叶茂。

　　昨晚到今天，微信朋友圈里全是各种吐槽的帖子，还有各种专家和砖家的评论，云山雾罩的，很多浮光掠影，又很多混淆视听。为什么一年多之后，央行似乎又再旧事重提？《非银行支付机构网络支付业务管理办法》（以下简称“管理办法”）因为是写给支付机构和从业者看的，规则和文字对普通消费者来说，就略显晦涩。所以，想尝试着用通俗一点的语言把自己的分析和判断写下来，就有了这篇《支付市场变天了吗》之二。

　　去年是征求意见稿，今年还是征求意见稿，大背景有什么本质的不同吗？然也。今年两会之后，“互联网＋”行动纲领已经成为国家战略，而互联网似乎已经成为实现普惠金融和金融创新的标配，被街头巷议。两周之前10部委颁布的《互联网金融健康发展若干指导意见》（以下简称“指导意见），明确了互联网金融的业态分类、监管主体和监管底线，体现了鼓励创新、适度监管、防范风险的监管大细路，同时也为一行三会锚定了下一步监管基调。在这样的政策氛围下，管理办法的征求意见稿出台了。

　　按照指导意见，第三方支付机构由央行监管。从一个从业人员的视角看，这次管理办法的内容与时下行业中的一些潜在系统性和区域性金融风险相关，具有很强的针对性和指向性。经过7月份的股市大跌，去杠杆成为资本市场维稳的题中之意，而一些民间配资机构的资金管道中，恰恰就有一些不规范的P2P和支付账户的违规动作在影影绰绰。经过一段时间的野蛮生长后，行业里的一些风险因素开始积聚，为了维护金融秩序稳定，保护公众消费者权益，这次的管理办法强调了实名认证的规则，强调了公转私网络汇款的合规，强调了反洗钱和反欺诈义务，强调了支付机构风险管理的基础设施和安全防控手段的健壮性要求。这些行业现象，构成了新规出台的一个时点背景。

　　首先，消费者正常网购和生活场景下的网络支付体验不会受到影响。

　　从支付载体和交易认证的主体不同，消费者常用的网络支付方式其实有三种。

　　第一种是大家最熟悉的快捷支付。在电子商务网站购物时绑定一张银行卡，然后每次交易时仅靠支付机构的手机交易码或其他便捷认证工具完成支付。银行不参与每笔交易的认证，也获得不到每笔交易的具体信息（如商户名称、购买产品或服务的订单内容）。从消费者的银行卡对账单来看，只显示“xxx快捷支付扣款”。目前各家银行在后台为银行卡设定的支付限额为每笔5000-10000元不等。

　　第二种是大家在快捷支付盛行之前常用的银行网关支付。即开通网上银行支付功能或者银行卡网上支付功能后，每次在网上购物或消费时，从电子商务网站跳转到银行的交易页面来认证客户身份。目前的限额远远高于快捷支付，根据安全认证工具的不同，从每笔50万元到500万元不等。

　　第三种是第三方支付账户余额支付。即在网上消费前，先向支付机构开立的支付账户充值，然后通过余额实现支付。从支付效率看，在支付账户在登录的状态下，因不需要复杂的安全认证交互，所以支付体验最快。

　　此次管理办法对前两种支付手段没有任何的限制性条款，而每年累计交易金融等限额都针对的是第三种，即支付账户余额支付。而本身，消费者在没有理想收益回报的前提下，除了秒杀购物等特殊需要外，也不会在支付账户余额内提前做充值动作。所以，事实上，新规不会对消费者造成大的支付体验影响。

　　其次，支付账户被分为综合账户和消费账户两类，消费者通过支付账户余额进行投资理财和对外转账的功能将受一定额度限制。

　　在这之前，支付账户没有这么清晰的被做这样的分类和功能界定，这是新规最大技术含量的部分。综合账户可以实现在线消费、向第三人转账和投资理财功能，年交易限额20万；消费账户的功能局限于在线消费和向本人关联银行卡的回款，年交易限额10万。依前述分析，消费者的一般性在线消费支付体验不会受到影响，受影响的是通过支付账户余额来进行投资理财和对本人之外的第三人转账的功能。这一规定，很有针对性，指在了支付账户的“七寸”上。

　　众所周知，银行是合法的吸收公众存款的持牌金融机构，银行账户的开立是需要到网点柜台，做“三亲鉴”的（即真人，持真证件，在柜台当面签字，确认开户为本人真实意愿，是强身份认证），银行账户的资金是有相当严格的金融监管和信用保障的。比如银行有资本充足率的要求，有风险准备金计提比例的要求，都是在保证客户在银行账户上资金的流动性安全和系统性稳定保障。此外，银行还有线下支行网点可以做大量的客户风险教育和人工服务受理工作，构筑在如此强大的线下和线上基础设施基础之上的银行账户，有了极强的信用背书，即在整个金融体系和实体经济中，不论钱流转到哪里，只要是通过银行账户流转的，就是透明的、可追溯的。

　　管理办法指出，非银行支付机构的信用是企业信用，因为支付机构没有像银行账户那样严格监管和落实实名制，因此支付账户的信用程度就自然较银行账户要弱。信用程度决定了风险程度，因此，新规针对不同情况，对支付账户在不同场景下的交易限额做了限制，其实质是为了保护消费者权益，不因支付机构信用状态变化而受到大的风险波及。实际上，如果不对支付账户进行场景和限额限制，支付机构就是事实上的存款类金融机构，就要像监管银行一样的强度去要求支付机构做银行一样的线上线下基础设施，其实在目前也是不现实的。从限额的规定看，其实也没有对支付账户的非转接功能进行一刀切，还是留有了相当的容忍空间。其监管目的一是保护消费者利益，二是引导支付机构回到支付转接终结的本职定位，而减少衍生金融功能，建立不同风险的金融服务之间的防火墙机制。

　　最后，消费者网络支付过程中的资金安全和隐私信息将得到更好的监管制度保障。

　　管理办法要求以“最小化”为原则处理和存储客户信息，减少了消费者账户信息和交易信息被非法存储和加工的可能。例如，规定任何情况下都不能存储信用卡效期之外的敏感信息等。此外，管理办法还要求支付机构对简化支付指令验证方式带来的客户交易损失，要无条件全额承担赔付责任。消费者在支付账户内的余额，支付机构在与基金公司开展理财销售支付合作时，不得被挪用做T+0赎回的垫付资金。凡此种种，不无看出对消费者权益的制度性呵护。

　　首先，支付账户余额不等于存款。

　　强调了支付机构的信用性质。如前所述，第三方支付机构的信用是企业信用，距离金融机构的信用还有不小距离。实际上，就是在明确第三方支付不是存款类金融机构，界定“支付账户余额不等于存款”。

　　其次，开立支付账户必须实名认证。

　　到底支付账户实名制被规范到什么程度？新规中，对第三方支付机构支付账户的开立和使用场景、限额做出了明确而较之前更严格的规定。第一，遵循指导意见中对支付账户性质的界定：主要服务于电子商务及小额、便民支付领域。第二，这里面最有操作性的要求是支付账户开立必须实名认证。因为在之前的监管办法中，线上实名认证到底怎么操作，并没有明确而清晰的方法论和规则界定。在此次的新规中，明确“通过三个（含）以上合法安全的外部渠道对客户基本信息进行多重交叉验证，确保有效核实客户身份及其真实意愿，不得开立匿名、假名支付账户。”而这些外部渠道，应该包括公安、工商、教育、财税等管理部门及商业银行、征信机构的等单位运营的，能够有效验证客户身份基本信息的数据库或者系统。这些要求，包括验证渠道的规定，支付账户管理中身份识别的方法指引等等，都看得出国际通行惯例的影子。

　　最后，对金融和泛金融机构不能提供支付账户服务。

　　明确支付账户机构的有了禁入服务领域。基于审慎性原则，管理办法规定支付机构为金融机构和从事金融业务的其他机构提供网络支付服务时，不可为其开立支付账户，各项资金收付均应给予其银行账户办理，以对相关机构进一步清晰资金流向、加强资金监管、避免风险传递。这一规定，对市面上目前大量P2P公司来说，面临投融资账户托管主体未来的变更和调整。支付账户可以为从事金融业务的机构提供网络支付服务，但不能开立支付账户，这一款规定依然在界定支付机构的支付转接中介的地位，而不是去发挥类银行账户管理方的作用，也就是说支付账户更倾向于结算功能定位，而非清算功能的定位。涉及清算就会有轧差，有资金池账户，就容易将线上资金汇划的途径隐匿于原本透明的银行体系之外，不利于反洗钱、反恐和打击网络赌博等金融安全行动中的资金溯源和路径追踪。

　　那么，问题来了，你说支付机构是企业信用，支付机构怎么做才能够提高信用程度？管理办法中明确了以下几条增信的路径：

　　一是要做到实名认证，例如：三个（含）以上、五个以下外部渠道交叉验证，可以开通“消费账户”，而实现五个（含）以上外部渠道交叉验证可以开立“综合账户”。二是要做到风险交易的安全控制，比如要加强交易的认证工具强度的管理，认证强度不同的认证工具能处理不同限额的在线风险交易，单认证因子单日累计不能超过1000元，双认证因子单日累计不能超过5000元等，而对含数字证书或者电子签名的高强度认证的限额则没有做具体限定，同时对手机短信交易码和指纹等生理特征验证，管理办法提出了加强风险防控的要求。三是要做到可疑交易报送等反洗钱义务，在此方面要与银行积极配合。四是要建立和完善健壮的信息科技后台和灾难备份系统。五是要有外部安全评估和独立审计。六是要建立客户服务体系和纠纷处理机制。七是对监管和市场要有充分的信息披露。当然，新规对支付机构的增信要求是十分广泛和具体的，如果做到了上述要求，支付机构的信用程度将大大提高，同时运营成本也会相应增加。

　　新规规范支付机构运行规则的同时，也对银行的账户管理、支付合作和作为商业银行货币信用背书的要求也较之前严格许多。

　　首先，再次强调银行与支付机构合作开展快捷支付业务时，在开通服务的签约过程中必须直接与客户签署协议，获得客户授权并做适当风险披露。目前市场上支付机构主导的快捷支付业务合作中，银行基本上没有做到这一点，首次签约在支付机构页面，每次交易认证由支付机构完成。管理办法明确银行在客户交易过程中，身份认证的责任和义务不能被第三方机构替代。因此，这方面银行之前与支付机构合作的不规范流程面临整改。

　　其次，新规对支付机构禁止为金融和泛金融机构开立支付账户的规定，客观上确立了银行在上述领域作为账户管理或者资金存管的准入地位。面对P2P等新兴的互联网金融平台或者从事金融业务的其他机构这一新的细分市场，银行在风险可控的前提下增加了业务拓展领域。

　　最后，银行对客户资金安全的管理责任被特别强调。其实，银行在支付机构力推快捷支付的同时，早就推出了不用签约柜台网银而可以在线有卡支付的产品，其客户体验较快捷支付不差，每笔交易认证都由银行发出的短信交易码来完成。如工行的“工银e支付”，建行的“账号支付”，中行的“中银快付”等。此次新规对快捷支付的签约和交易认证以及限额的严格规定，将使上述合乎监管在客户授权和交易认证方面规定要求的产品获得一定程度的合规优势。

　　全社会对支付账户的风险外溢性和支付安全责任会有更理性认识。

　　支付是金融服务最底层的基础设施，消费者的支付安全和效益保障是监管部门的底线。对零售支付体系和社会公众非现金支付信心产生重大影响的支付机构，服务的客群和地域已经非常广泛，从系统重要性来讲，已经不亚于任何一家大银行。因此，在前期鼓励支付机构大力探索创新、服务电子商户和小额、便民支付之后，对涉及到公众存款安全和跨界金融服务账户资金监管等敏感领域，开始参照国际惯例进行适当约束。在美国，法律法规对第三方支付有非常多的禁止性条款：如不可存储和积累客户信息、不可累计客户的资金余额、不可集中代收付（否则就是具有公共中立性的全社会公用支付清算机构）、不可尝试积累和接入匿名电子现金账户。此次新规的诸多条款，针对性很强，对业态的研究和跟踪更加鞭辟入里。

　　消费者的资金安全、个人信息安全将得到更好的保护。各种高风险的行业乱象将得到一定的规制，银行与第三方支付机构在快捷支付等领域的合作将更加合规。

　　管理办法对NFC支付、二维码支付、声波支付、光线支付等基于手机端的各种新型移动支付未触及，给出了相当的行业创新空间。而事实上，经过近几年的发展，整个移动支付市场蓬勃发展，不断从线上走向线下，银行卡收单市场的参与主体也良莠不齐。未来这一领域的健康发展，又会是一个新的热点话题。

　　相信近期行业和媒体、公众对管理办法的讨论会很多，以上仅是一个从业者从业务操作的角度做的一些探讨，一家之言，认识和理解多有不深刻、不成熟之处。另外，对管理办法中一些新规的操作细则，也希望能尽快出台。比如，实名认证交叉验证手段中提到的外部渠道，公安、工商、教育、财税等管理部门及商业银行、征信机构的等单位运营的，能够有效验证客户身份基本信息的数据库或者系统，如何支持支付机构开展认证，还需要有可操作性的管理流程和准入条款支持。再比如，银行目前与支付机构合作快捷支付业务的诸多未达到监管规定的关键环节，央行如何通过发挥监管作用，做适当的顶层安排和推动，否则靠单一任何一家银行或者支付机构，都没有能力和动力率先实现这么大一块交易量业务的合规遵从。

　　途中草草，请各位方家批评指正。

编辑：秦一乔