圣誕節(jié)這天，央行發(fā)布加強銀行人民幣賬戶管理新規(guī)，銀行賬戶進入網(wǎng)上開戶的2.0時代。而《非銀行支付機構(gòu)網(wǎng)絡(luò)支付管理辦法》的正式出臺，是該管理辦法征求意見稿掛網(wǎng)后5個月后的“另一只靴子”落地。細細研讀，最終稿和征求意見稿對比，還是多了很多料的，其間隱約可見市場與監(jiān)管博弈的各種注腳。

　　新規(guī)正式出臺，對消費者的網(wǎng)絡(luò)支付行為和習(xí)慣會有哪些影響?管理辦法和征求意見稿相比，監(jiān)管對支付機構(gòu)如何確立分類監(jiān)管的差別點?結(jié)合銀行賬戶2.0升級版，銀行會有哪些應(yīng)對策略?未來支付市場的監(jiān)管，會面臨哪些持續(xù)的挑戰(zhàn)和故事?這些都是畫在筆者腦海里的問號，借此小文一一羅列。

　　一、對客戶網(wǎng)絡(luò)支付的體驗影響不大

　　開宗明義，消費者是最大的市場參與主體，因此先說對消費者的影響。在今年8月份的一篇《支付市場變天了嗎(二)》中，我分析了快捷支付、銀行網(wǎng)關(guān)支付、支付賬戶余額支付三種網(wǎng)絡(luò)支付的區(qū)別，這里不再贅述。本次新規(guī)的實施，對消費者意味著什么?

　　第一，對銀行網(wǎng)關(guān)支付的客戶沒有影響，對使用高類別支付機構(gòu)快捷支付產(chǎn)品的客戶基本沒有影響。一是對使用銀行網(wǎng)關(guān)支付方式的客戶來說，原有的交易限額、認證工具、使用場景、轉(zhuǎn)賬支付消費等功能無任何影響;二是對使用支付寶、微信支付等快捷支付產(chǎn)品的客戶來說，如果支付寶、財付通向銀行準(zhǔn)確、完整發(fā)送交易信息的情況下，這種支付體驗也不會有啥變化。

　　第二，對使用支付賬戶余額支付(即客戶先充值到支付賬戶，再用支付賬戶余額完成支付的方式)來說，新規(guī)較原征求意見稿在支付賬戶分類上發(fā)生了變化。根據(jù)支付賬戶的實名制身份核實強度，支付賬戶被分為Ⅰ、Ⅱ、Ⅲ三類。在功能上，三類賬戶都可以消費、轉(zhuǎn)賬，但只有Ⅲ類賬戶可以投資理財;在限額上，Ⅰ類賬戶自賬戶開立起累計限額1000元(類似微信中的零錢包)，Ⅱ類賬戶年累計10萬元，Ⅲ類賬戶年累計20萬元，后兩者限額累計中不含從支付賬戶中提現(xiàn)回銀行賬戶。

　　第三，對使用支付賬戶余額支付的客戶而言，新規(guī)對絕大多數(shù)客戶交易認證機制的使用體驗影響不大。管理辦法中對安全級別不高的支付賬戶余額支付，按照認證工具強度的不同，規(guī)定了不同的單日累計限額，如采取包括數(shù)字證書或者電子簽名在內(nèi)的雙因子認證交易，限額可由支付機構(gòu)和客戶約定;對采用不包含數(shù)字證書或者電子簽名在內(nèi)的雙因子認證(一般是靜態(tài)支付密碼+短信驗證碼)的交易，每日累計交易限額不超過5000元(不含從支付賬戶向銀行賬戶提現(xiàn));對不采用雙因子認證的交易，每日累計限額不超過1000元。根據(jù)代表性支付機構(gòu)所提供的交易數(shù)據(jù)，2014年全年使用支付賬戶余額付款累計5000以下的個人客戶數(shù)量占到80.13%。所以，辦法中的日累計限額管理，可以滿足絕大多數(shù)客戶的實際需要。

　　二、支付機構(gòu)將面臨差別監(jiān)管政策

　　顧名思義，支付機構(gòu)網(wǎng)絡(luò)支付管理辦法，規(guī)制的對象主要是支付機構(gòu)。對照征求意見稿，新規(guī)對支付機構(gòu)的監(jiān)管約束角度有沒有發(fā)生變化呢?有，且比較大。最大的變化：一是新規(guī)提出了分類監(jiān)管、動態(tài)監(jiān)管的監(jiān)管理念和差別監(jiān)管路徑。二是新規(guī)對支付賬戶的分類標(biāo)準(zhǔn)做了微調(diào)。具體來看：

　　第一，支付賬戶按實名制身份認證強度分類，差別化管理。支付賬戶可以非面對面形式在線申請開立，但通過外部渠道交叉驗證的數(shù)量決定了實名身份認證的強度，通過至少一個外部渠道驗證身份的為Ⅰ類賬戶，通過至少三個外部渠道驗證身份的為Ⅱ類賬戶，通過至少五個外部渠道驗證身份的為Ⅲ類賬戶。這與上周五公布的銀行賬戶的分類標(biāo)準(zhǔn)正好倒過來，銀行賬戶實名身份認證強度最強的是Ⅰ類銀行賬戶，這種設(shè)置，在具體實踐中將便于區(qū)分不同支付主體的賬戶體系類別。

　　第二，支付機構(gòu)按資質(zhì)和風(fēng)控能力分類監(jiān)管，差別監(jiān)管。新規(guī)對支付機構(gòu)未來的分類將分為A、B、C三級，且按照支付賬戶的Ⅱ類賬戶和Ⅲ類賬戶的實名比例超過95%，超過90%兩檔相組合，形成三個監(jiān)管對象群。即被評為A類并且Ⅱ類、Ⅲ類賬戶的實名比例超過95%的，為第一類監(jiān)管對象;被評為B類且Ⅱ類、Ⅲ類賬戶的實名比例超過90%的，為第二類監(jiān)管對象;被評為C類，或者支付賬戶的實名比例未達到上述要求的，為第三類監(jiān)管對象。

　　這其實是把兩百多家支付機構(gòu)按照資質(zhì)、風(fēng)險管控和賬戶的實名比例分為了好孩子、乖孩子和一般孩子，從6個維度對不同群體的孩子進行差別監(jiān)管。這6個維度，包括支付賬戶的實名認證核實方式、個人賣家的管理方式、支付賬戶的轉(zhuǎn)賬功能范圍、安全級別不足情況下的單日交易限額，與銀行合作的快捷支付交易驗證方式、信息披露和現(xiàn)場檢查的強度等。越是高類別的機構(gòu)，這6個方面獲得的政策豁免越多，反之則越少。

　　對支付機構(gòu)來說，這樣的差別管理帶來的結(jié)果是，不同的機構(gòu)的運營成本、客戶體驗、產(chǎn)品功能會形成梯次。這是一種競優(yōu)的安排，越是基礎(chǔ)設(shè)施好、賬戶實名制比例高的支付機構(gòu)將獲得更多的紅利。當(dāng)然，事實上也會走向一種”馬太效應(yīng)”，即好的更好，強者恒強，市場集中度會相應(yīng)提高。

　　三、對支付機構(gòu)監(jiān)管的幾個普適性關(guān)鍵點

　　第一，賬戶有禁止范圍，經(jīng)營有禁止范圍。為了明晰資金流向，加強資金監(jiān)管，有效隔離市場風(fēng)險，一是規(guī)定支付機構(gòu)不得為金融機構(gòu)以及從事信貸、融資、理財、擔(dān)保、信托、貨幣兌換等金融業(yè)務(wù)的其他機構(gòu)開立支付賬戶。各項資金收付應(yīng)基于銀行賬戶辦理。二是規(guī)定基于支付機構(gòu)的業(yè)務(wù)許可范圍、業(yè)務(wù)專營性和審慎監(jiān)管原則，支付機構(gòu)不得經(jīng)營或者變相經(jīng)營證券、保險、信貸、融資、理財、擔(dān)保、信托、貨幣兌換、現(xiàn)金存取等業(yè)務(wù)。這實際上在建立一道防火墻，目前市場上一些互聯(lián)網(wǎng)理財機構(gòu)、P2P平臺的理財賬戶或者客戶投資的出入金通道，恰恰就是由部分支付機構(gòu)提供的。而反洗錢、反恐資金監(jiān)管的需要，也需要提高資金流向的透明度和可溯性。

　　第二，風(fēng)險管理方面的普適性要求。在風(fēng)險管理方面的主要要求：一是新規(guī)明確了交易驗證要素的內(nèi)容，要求支付機構(gòu)應(yīng)當(dāng)確保采用的交易驗證要素相互獨立，部分要素的損壞或者泄露，不應(yīng)導(dǎo)致其他要素損壞或者泄露，明確了一次性密碼和指紋等生物特征要素的強度要求。二是針對支付賬戶余額支付，針對不同交易驗證方式，明確對應(yīng)了不同的交易限額要求。三是新規(guī)要求支付機構(gòu)建立客戶風(fēng)險評級管理制度和機制，建立交易風(fēng)險管理制度和交易監(jiān)控系統(tǒng)，對客戶進行必要的安全教育和風(fēng)險警示。四是以“最小化”原則采集、使用、存儲和傳輸客戶信息，并告知客戶相關(guān)信息的使用目的和范圍，不能向其他機構(gòu)或個人提供客戶信息(法律法規(guī)另有規(guī)定，或者經(jīng)客戶本人逐項確認并授權(quán)的除外)。五是要求網(wǎng)絡(luò)支付業(yè)務(wù)系統(tǒng)和備份系統(tǒng)的健壯性，要制定應(yīng)急原和業(yè)務(wù)連續(xù)性計劃。

　　第三，客戶權(quán)益保護方面的普適性要求。在客戶權(quán)益保護措施方面的主要要求：一是保證客戶的知情權(quán)，提示交易風(fēng)險，明示權(quán)責(zé)利害關(guān)系，并增加信息透明度，定期披露風(fēng)險事件、客戶投訴信息，加強客戶和輿論監(jiān)督。二是保障客戶的選擇權(quán)，要求支付機構(gòu)充分尊重客戶真實意愿，不得以誘導(dǎo)或者強迫等方式侵害客戶自主選擇權(quán);變更協(xié)議條款或者提高服務(wù)收費、新設(shè)服務(wù)收費，應(yīng)以客戶明悉且自愿接受相關(guān)調(diào)整為前提。三是在信息安全方面，要求支付機構(gòu)制定客戶信息保護措施和風(fēng)險控制機制。特別強調(diào)支付機構(gòu)應(yīng)對商戶采取有效措施進行檢查和監(jiān)督，切實防范因為商戶違規(guī)存儲敏感信息而導(dǎo)致客戶信息泄露或者資金損失，并依法承擔(dān)損失和責(zé)任。四是在資金安全方面，要求支付機構(gòu)及時處理客戶提出的差錯爭議和投訴，并建立健全風(fēng)險準(zhǔn)備金和客戶損失賠付機制。

　　四、對銀行的網(wǎng)絡(luò)支付后端通道支持加強約束

　　第一，快捷支付權(quán)責(zé)關(guān)系復(fù)雜，銀行需明確權(quán)責(zé)關(guān)系。新規(guī)明確，銀行卡快捷支付業(yè)務(wù)涉及客戶、支付機構(gòu)及開戶銀行三方，權(quán)責(zé)關(guān)系相對復(fù)雜。一是支付機構(gòu)應(yīng)該在事先或者首筆交易時自主識別客戶身份，并分別獲得客戶和銀行的協(xié)議授權(quán)，同意其向客戶的銀行賬戶發(fā)起支付指令扣劃資金。二是銀行作為客戶資金安全的管理責(zé)任主體，事先或首筆交易時，應(yīng)自主識別客戶身份并與客戶直接簽訂授權(quán)協(xié)議，明確約定扣款適用范圍和交易驗證方式，設(shè)立與客戶風(fēng)險承受能力相匹配的單筆和單日累計交易限額，承諾無條件全額承擔(dān)此類交易的風(fēng)險損失先行賠付責(zé)任，后續(xù)交易扣款，原則上應(yīng)由銀行進行交易驗證。這就要求，銀行下一步要開展針對目前快捷支付業(yè)務(wù)合作中不合規(guī)部分的整改。

　　第二，通過代發(fā)代扣通道拼裝的快捷支付業(yè)務(wù)面臨整改。之前，一些不規(guī)范的支付機構(gòu)為壓低通道成本，不采取常規(guī)網(wǎng)關(guān)接入的方式處理銀行卡快捷支付業(yè)務(wù)。而是采取與銀行的分支行簽約，分散接入銀行原本為公用事業(yè)單位提供的代扣代繳接口，實現(xiàn)消費者端的快捷扣款，缺乏客戶簽約和授權(quán)機制;同時拼接銀行原本支持企事業(yè)單位代發(fā)工資的實時代發(fā)產(chǎn)品，實現(xiàn)商戶端的回款。這種做法，一方面增加了異步清算的操作風(fēng)險，另一方面規(guī)避了對網(wǎng)絡(luò)支付業(yè)務(wù)的常規(guī)監(jiān)管。因此，這種拼接式銀行卡快捷支付行為，面臨整改壓力。

　　第三，面對差別監(jiān)管的支付機構(gòu)，銀行需厘定合作策略。因為支付機構(gòu)被分類監(jiān)管，所以在業(yè)務(wù)合作伙伴的選擇上，銀行面臨與高類別支付機構(gòu)和一般支付機構(gòu)合作的策略選擇問題。在銀行卡快捷支付業(yè)務(wù)、銀行卡網(wǎng)關(guān)支付業(yè)務(wù)的合作方選擇上，面臨授權(quán)方式、認證機制、交易限額、損失賠付責(zé)任等方面的差別管理問題。

　　五、包容性監(jiān)管將逐漸走向?qū)徤鞅O(jiān)管

　　從第一家支付機構(gòu)誕生到現(xiàn)在，中國的支付機構(gòu)市場已經(jīng)走過了十多年創(chuàng)新和監(jiān)管之路。隨著近幾年互聯(lián)網(wǎng)金融業(yè)態(tài)的快速發(fā)展，大量市場新進入者在互聯(lián)網(wǎng)理財、眾籌、P2P等領(lǐng)域，依托新興的互聯(lián)網(wǎng)技術(shù)和商業(yè)模式，快速積累了龐大的客戶群，締造了巨大的社會影響力。而網(wǎng)絡(luò)支付已經(jīng)成為互聯(lián)網(wǎng)金融最不可或缺的基礎(chǔ)設(shè)施，滲透到互聯(lián)網(wǎng)金融從底層支撐系統(tǒng)到客戶服務(wù)界面的方方面面，在這部分新興社會機體運行中發(fā)揮著重要的潤滑劑作用。因此，對支付機構(gòu)的監(jiān)管，已經(jīng)成為監(jiān)管部門當(dāng)前的重要工作領(lǐng)域之一。毋庸置疑，中國市場已經(jīng)形成了一批系統(tǒng)重要性支付機構(gòu)，支付機構(gòu)的穩(wěn)健性、支付交易的安全性和支付行為的合規(guī)性，已經(jīng)成為關(guān)系到國計民生的大問題。

　　在下一步的監(jiān)管重點中，筆者認為以下問題會是關(guān)鍵。第一，把引導(dǎo)社會預(yù)期、保護保護消費者權(quán)利放在監(jiān)管目標(biāo)首位。第二，引導(dǎo)支付機構(gòu)回歸轉(zhuǎn)接中介職能，支付機構(gòu)不能成為存款類機構(gòu)。第三，評估對系統(tǒng)重要性支付機構(gòu)的監(jiān)管有效性問題。第四，建立科學(xué)、動態(tài)的分類監(jiān)管評級和資質(zhì)認證機制。第五，在為移動支付創(chuàng)新設(shè)置觀察窗的同時，關(guān)注這一新興領(lǐng)域的金融安全標(biāo)準(zhǔn)基礎(chǔ)設(shè)施建設(shè)。

　　在經(jīng)歷了中國網(wǎng)絡(luò)支付市場十多年的浸淫和洗禮之后，市場從缺乏規(guī)矩到有規(guī)矩，很多規(guī)則終于清晰而扎實地確立起來，確實難能可貴。

　　支付市場沒有變天，市場在從喧囂鼓噪中走向水落石出，監(jiān)管路徑在從行政許可走向負面清單，消費者的合法權(quán)益在得到更多保障，一切都在欣欣然邁向新常態(tài)。

　　案例

　　快捷支付系列風(fēng)險案件

　　近年來快捷支付在網(wǎng)絡(luò)支付業(yè)務(wù)中應(yīng)用廣泛。快捷支付僅需要客戶的少量身份信息、卡號和手機號即可開通，之后憑借手機短信驗證即可實現(xiàn)資金快速的扣劃。快捷支付的低門檻和便捷性同時帶來了較高的風(fēng)險，由于手機病毒泛濫、客戶個人信息自我保護意識不足，手機號碼實名制管理有待加強，因此快捷支付成為不法分子盜取客戶資金的重災(zāi)區(qū)。與此同時，支付機構(gòu)違規(guī)在未取得銀行授權(quán)、且客戶未經(jīng)銀行核實真實意愿的情況下即與客戶簽訂快捷協(xié)議，扣劃客戶資金，進一步加劇了快捷支付業(yè)務(wù)的風(fēng)險。以下是一些由于客戶主客觀原因?qū)е聜€人信息泄露后，支付機構(gòu)沒有嚴(yán)格履行監(jiān)管要求從而導(dǎo)致客戶資金被盜的典型案件：

　　案件（1）：假冒銀行工作人員，獲取銀行卡信息

　　2015年8月，陸先生接到一個號稱平安銀行工作人員的電話，說可以給他的信用卡提高額度，按照他們提示把手機收到的動態(tài)密碼告知了“平安銀行工作人員”，結(jié)果該銀行卡內(nèi)資金被扣刷，后陸先生和銀行取得聯(lián)系，發(fā)現(xiàn)該筆資金已通過某支付公司網(wǎng)站扣劃。該案中支付機構(gòu)未取得銀行授權(quán)即與客戶簽訂快捷協(xié)議，不符合監(jiān)管規(guī)定。

　　案件（2）：偽造銀行短信，利用虛假網(wǎng)站扣劃持卡人資金

　　2015年7月，孫女士收到95533的短信提示，提示內(nèi)容為積分兌換，后孫女士根據(jù)短信提示的手機網(wǎng)站(GOQCFR.COM),輸入身份證號碼、銀行卡號、姓名、銀行卡密碼，之后就收到銀行的扣款短信。后持卡人通過銀行得知錢是由某支付公司扣取，經(jīng)公安查明，孫女士是登陸的是一個虛假網(wǎng)站，不法分子利用孫女士填寫的信息開通快捷支付將資金轉(zhuǎn)移。

　　案件（3）：植入手機木馬盜取客戶資金

　　2015年11月，席女士名下建設(shè)銀行儲蓄卡，在某支付機構(gòu)開通快捷支付，向該支付賬戶中充值5000元，并在充值成功后5分鐘之內(nèi)發(fā)起多筆向他人銀行卡轉(zhuǎn)賬的操作嘗試。席女士在交易發(fā)生前手機收到一條“10086”發(fā)來的短信，內(nèi)容為“預(yù)存話費，存100返300，詳情點擊鏈接......”客戶點擊鏈接后導(dǎo)致手機中木馬無法收到短信而被盜刷。經(jīng)查在簽約快捷支付時有手機校驗碼發(fā)送記錄，且客戶手機詳單中顯示當(dāng)時客戶手機有往陌生號碼轉(zhuǎn)發(fā)短信的記錄，該案件是典型的客戶手機中木馬后短信被轉(zhuǎn)移的案件。

　　案件（4）：通過貸款獲取持卡人信息，盜取資金

　　2015年10月，四川吳先生致電某支付公司客服反映自己名下農(nóng)業(yè)銀行借記卡，在該平臺發(fā)生2筆1999元的快捷支付交易;經(jīng)查該銀行卡簽約快捷預(yù)留的手機號歸屬地為北京，與客戶實際生活居住地不一致，吳先生表示自己在銀行卡被盜刷之前從網(wǎng)上申請了貸款，按照對方提示辦理了一張農(nóng)行借記卡，將對方提供的手機號碼預(yù)留在銀行系統(tǒng)，并將身份信息、銀行卡信息均提供給了對方。詐騙分子利用替客戶完成貸款或信用卡審核等為借口，誘騙持卡人在銀行預(yù)留其指定的手機號碼，成功開通快捷支付并完成盜刷。

　　案件（5）：客戶手機號碼被替換導(dǎo)致客戶銀行卡被盜刷

　　近日，務(wù)工人員小張在網(wǎng)絡(luò)上看到某代辦信用卡的信息，聯(lián)系到代辦人劉某，并按劉某要求提供了個人身份證號、銀行卡號等信息，隨后，其銀行卡內(nèi)的10000元資金被轉(zhuǎn)走。經(jīng)查詢，資金是通過某支付平臺轉(zhuǎn)出的。不法分子作案手法如下：第一步，以代辦信用卡需要證明申請人的“財力”為由，要求小張新辦理一張借記卡，并至少存入15000元;第二步，以方便“驗資”等借口，要求小張在辦理借記卡時填寫指定的手機號為預(yù)留號碼，并要求提供辦卡人的身份證號和銀行卡號;第三步，不法分子巧妙利用某支付平臺的交易規(guī)則，根據(jù)小張?zhí)峁┑你y行卡號、身份證號等信息申請綁定銀行卡，并通過指定的手機號碼接收驗證碼，完成支付賬戶對銀行卡的綁定，盜取資金。

　　以上案件均是客戶信息被盜取后資金被迅速轉(zhuǎn)移，如果支付機構(gòu)能夠嚴(yán)格按照監(jiān)管規(guī)定，在客戶開通快捷支付時，分別取得客戶和銀行的授權(quán)，同時要求客戶在與支付機構(gòu)簽約的同時，與商業(yè)銀行獨立簽約，在客戶信息泄露的情況下，依然能夠避免大部分資金損失的狀況，更好的保護客戶資金安全。