圣誕節(jié)這天，央行發(fā)布加強銀行人民幣賬戶管理新規(guī)，銀行賬戶進入網上開戶的2.0時代。而《非銀行支付機構網絡支付管理辦法》的正式出臺，是該管理辦法征求意見稿掛網后5個月后的“另一只靴子”落地。細細研讀，最終稿和征求意見稿對比，還是多了很多料的，其間隱約可見市場與監(jiān)管博弈的各種注腳。

　　新規(guī)正式出臺，對消費者的網絡支付行為和習慣會有哪些影響?管理辦法和征求意見稿相比，監(jiān)管對支付機構如何確立分類監(jiān)管的差別點?結合銀行賬戶2.0升級版，銀行會有哪些應對策略?未來支付市場的監(jiān)管，會面臨哪些持續(xù)的挑戰(zhàn)和故事?這些都是畫在筆者腦海里的問號，借此小文一一羅列。

　　一、對客戶網絡支付的體驗影響不大

　　開宗明義，消費者是最大的市場參與主體，因此先說對消費者的影響。在今年8月份的一篇《支付市場變天了嗎(二)》中，我分析了快捷支付、銀行網關支付、支付賬戶余額支付三種網絡支付的區(qū)別，這里不再贅述。本次新規(guī)的實施，對消費者意味著什么?

　　第一，對銀行網關支付的客戶沒有影響，對使用高類別支付機構快捷支付產品的客戶基本沒有影響。一是對使用銀行網關支付方式的客戶來說，原有的交易限額、認證工具、使用場景、轉賬支付消費等功能無任何影響;二是對使用支付寶、微信支付等快捷支付產品的客戶來說，如果支付寶、財付通向銀行準確、完整發(fā)送交易信息的情況下，這種支付體驗也不會有啥變化。

　　第二，對使用支付賬戶余額支付(即客戶先充值到支付賬戶，再用支付賬戶余額完成支付的方式)來說，新規(guī)較原征求意見稿在支付賬戶分類上發(fā)生了變化。根據支付賬戶的實名制身份核實強度，支付賬戶被分為Ⅰ、Ⅱ、Ⅲ三類。在功能上，三類賬戶都可以消費、轉賬，但只有Ⅲ類賬戶可以投資理財;在限額上，Ⅰ類賬戶自賬戶開立起累計限額1000元(類似微信中的零錢包)，Ⅱ類賬戶年累計10萬元，Ⅲ類賬戶年累計20萬元，后兩者限額累計中不含從支付賬戶中提現回銀行賬戶。

　　第三，對使用支付賬戶余額支付的客戶而言，新規(guī)對絕大多數客戶交易認證機制的使用體驗影響不大。管理辦法中對安全級別不高的支付賬戶余額支付，按照認證工具強度的不同，規(guī)定了不同的單日累計限額，如采取包括數字證書或者電子簽名在內的雙因子認證交易，限額可由支付機構和客戶約定;對采用不包含數字證書或者電子簽名在內的雙因子認證(一般是靜態(tài)支付密碼+短信驗證碼)的交易，每日累計交易限額不超過5000元(不含從支付賬戶向銀行賬戶提現);對不采用雙因子認證的交易，每日累計限額不超過1000元。根據代表性支付機構所提供的交易數據，2014年全年使用支付賬戶余額付款累計5000以下的個人客戶數量占到80.13%。所以，辦法中的日累計限額管理，可以滿足絕大多數客戶的實際需要。

　　二、支付機構將面臨差別監(jiān)管政策

　　顧名思義，支付機構網絡支付管理辦法，規(guī)制的對象主要是支付機構。對照征求意見稿，新規(guī)對支付機構的監(jiān)管約束角度有沒有發(fā)生變化呢?有，且比較大。最大的變化：一是新規(guī)提出了分類監(jiān)管、動態(tài)監(jiān)管的監(jiān)管理念和差別監(jiān)管路徑。二是新規(guī)對支付賬戶的分類標準做了微調。具體來看：

　　第一，支付賬戶按實名制身份認證強度分類，差別化管理。支付賬戶可以非面對面形式在線申請開立，但通過外部渠道交叉驗證的數量決定了實名身份認證的強度，通過至少一個外部渠道驗證身份的為Ⅰ類賬戶，通過至少三個外部渠道驗證身份的為Ⅱ類賬戶，通過至少五個外部渠道驗證身份的為Ⅲ類賬戶。這與上周五公布的銀行賬戶的分類標準正好倒過來，銀行賬戶實名身份認證強度最強的是Ⅰ類銀行賬戶，這種設置，在具體實踐中將便于區(qū)分不同支付主體的賬戶體系類別。

　　第二，支付機構按資質和風控能力分類監(jiān)管，差別監(jiān)管。新規(guī)對支付機構未來的分類將分為A、B、C三級，且按照支付賬戶的Ⅱ類賬戶和Ⅲ類賬戶的實名比例超過95%，超過90%兩檔相組合，形成三個監(jiān)管對象群。即被評為A類并且Ⅱ類、Ⅲ類賬戶的實名比例超過95%的，為第一類監(jiān)管對象;被評為B類且Ⅱ類、Ⅲ類賬戶的實名比例超過90%的，為第二類監(jiān)管對象;被評為C類，或者支付賬戶的實名比例未達到上述要求的，為第三類監(jiān)管對象。

　　這其實是把兩百多家支付機構按照資質、風險管控和賬戶的實名比例分為了好孩子、乖孩子和一般孩子，從6個維度對不同群體的孩子進行差別監(jiān)管。這6個維度，包括支付賬戶的實名認證核實方式、個人賣家的管理方式、支付賬戶的轉賬功能范圍、安全級別不足情況下的單日交易限額，與銀行合作的快捷支付交易驗證方式、信息披露和現場檢查的強度等。越是高類別的機構，這6個方面獲得的政策豁免越多，反之則越少。

　　對支付機構來說，這樣的差別管理帶來的結果是，不同的機構的運營成本、客戶體驗、產品功能會形成梯次。這是一種競優(yōu)的安排，越是基礎設施好、賬戶實名制比例高的支付機構將獲得更多的紅利。當然，事實上也會走向一種”馬太效應”，即好的更好，強者恒強，市場集中度會相應提高。

　　三、對支付機構監(jiān)管的幾個普適性關鍵點

　　第一，賬戶有禁止范圍，經營有禁止范圍。為了明晰資金流向，加強資金監(jiān)管，有效隔離市場風險，一是規(guī)定支付機構不得為金融機構以及從事信貸、融資、理財、擔保、信托、貨幣兌換等金融業(yè)務的其他機構開立支付賬戶。各項資金收付應基于銀行賬戶辦理。二是規(guī)定基于支付機構的業(yè)務許可范圍、業(yè)務專營性和審慎監(jiān)管原則，支付機構不得經營或者變相經營證券、保險、信貸、融資、理財、擔保、信托、貨幣兌換、現金存取等業(yè)務。這實際上在建立一道防火墻，目前市場上一些互聯網理財機構、P2P平臺的理財賬戶或者客戶投資的出入金通道，恰恰就是由部分支付機構提供的。而反洗錢、反恐資金監(jiān)管的需要，也需要提高資金流向的透明度和可溯性。

　　第二，風險管理方面的普適性要求。在風險管理方面的主要要求：一是新規(guī)明確了交易驗證要素的內容，要求支付機構應當確保采用的交易驗證要素相互獨立，部分要素的損壞或者泄露，不應導致其他要素損壞或者泄露，明確了一次性密碼和指紋等生物特征要素的強度要求。二是針對支付賬戶余額支付，針對不同交易驗證方式，明確對應了不同的交易限額要求。三是新規(guī)要求支付機構建立客戶風險評級管理制度和機制，建立交易風險管理制度和交易監(jiān)控系統(tǒng)，對客戶進行必要的安全教育和風險警示。四是以“最小化”原則采集、使用、存儲和傳輸客戶信息，并告知客戶相關信息的使用目的和范圍，不能向其他機構或個人提供客戶信息(法律法規(guī)另有規(guī)定，或者經客戶本人逐項確認并授權的除外)。五是要求網絡支付業(yè)務系統(tǒng)和備份系統(tǒng)的健壯性，要制定應急原和業(yè)務連續(xù)性計劃。

　　第三，客戶權益保護方面的普適性要求。在客戶權益保護措施方面的主要要求：一是保證客戶的知情權，提示交易風險，明示權責利害關系，并增加信息透明度，定期披露風險事件、客戶投訴信息，加強客戶和輿論監(jiān)督。二是保障客戶的選擇權，要求支付機構充分尊重客戶真實意愿，不得以誘導或者強迫等方式侵害客戶自主選擇權;變更協(xié)議條款或者提高服務收費、新設服務收費，應以客戶明悉且自愿接受相關調整為前提。三是在信息安全方面，要求支付機構制定客戶信息保護措施和風險控制機制。特別強調支付機構應對商戶采取有效措施進行檢查和監(jiān)督，切實防范因為商戶違規(guī)存儲敏感信息而導致客戶信息泄露或者資金損失，并依法承擔損失和責任。四是在資金安全方面，要求支付機構及時處理客戶提出的差錯爭議和投訴，并建立健全風險準備金和客戶損失賠付機制。

　　四、對銀行的網絡支付后端通道支持加強約束

　　第一，快捷支付權責關系復雜，銀行需明確權責關系。新規(guī)明確，銀行卡快捷支付業(yè)務涉及客戶、支付機構及開戶銀行三方，權責關系相對復雜。一是支付機構應該在事先或者首筆交易時自主識別客戶身份，并分別獲得客戶和銀行的協(xié)議授權，同意其向客戶的銀行賬戶發(fā)起支付指令扣劃資金。二是銀行作為客戶資金安全的管理責任主體，事先或首筆交易時，應自主識別客戶身份并與客戶直接簽訂授權協(xié)議，明確約定扣款適用范圍和交易驗證方式，設立與客戶風險承受能力相匹配的單筆和單日累計交易限額，承諾無條件全額承擔此類交易的風險損失先行賠付責任，后續(xù)交易扣款，原則上應由銀行進行交易驗證。這就要求，銀行下一步要開展針對目前快捷支付業(yè)務合作中不合規(guī)部分的整改。

　　第二，通過代發(fā)代扣通道拼裝的快捷支付業(yè)務面臨整改。之前，一些不規(guī)范的支付機構為壓低通道成本，不采取常規(guī)網關接入的方式處理銀行卡快捷支付業(yè)務。而是采取與銀行的分支行簽約，分散接入銀行原本為公用事業(yè)單位提供的代扣代繳接口，實現消費者端的快捷扣款，缺乏客戶簽約和授權機制;同時拼接銀行原本支持企事業(yè)單位代發(fā)工資的實時代發(fā)產品，實現商戶端的回款。這種做法，一方面增加了異步清算的操作風險，另一方面規(guī)避了對網絡支付業(yè)務的常規(guī)監(jiān)管。因此，這種拼接式銀行卡快捷支付行為，面臨整改壓力。

　　第三，面對差別監(jiān)管的支付機構，銀行需厘定合作策略。因為支付機構被分類監(jiān)管，所以在業(yè)務合作伙伴的選擇上，銀行面臨與高類別支付機構和一般支付機構合作的策略選擇問題。在銀行卡快捷支付業(yè)務、銀行卡網關支付業(yè)務的合作方選擇上，面臨授權方式、認證機制、交易限額、損失賠付責任等方面的差別管理問題。

　　五、包容性監(jiān)管將逐漸走向審慎監(jiān)管

　　從第一家支付機構誕生到現在，中國的支付機構市場已經走過了十多年創(chuàng)新和監(jiān)管之路。隨著近幾年互聯網金融業(yè)態(tài)的快速發(fā)展，大量市場新進入者在互聯網理財、眾籌、P2P等領域，依托新興的互聯網技術和商業(yè)模式，快速積累了龐大的客戶群，締造了巨大的社會影響力。而網絡支付已經成為互聯網金融最不可或缺的基礎設施，滲透到互聯網金融從底層支撐系統(tǒng)到客戶服務界面的方方面面，在這部分新興社會機體運行中發(fā)揮著重要的潤滑劑作用。因此，對支付機構的監(jiān)管，已經成為監(jiān)管部門當前的重要工作領域之一。毋庸置疑，中國市場已經形成了一批系統(tǒng)重要性支付機構，支付機構的穩(wěn)健性、支付交易的安全性和支付行為的合規(guī)性，已經成為關系到國計民生的大問題。

　　在下一步的監(jiān)管重點中，筆者認為以下問題會是關鍵。第一，把引導社會預期、保護保護消費者權利放在監(jiān)管目標首位。第二，引導支付機構回歸轉接中介職能，支付機構不能成為存款類機構。第三，評估對系統(tǒng)重要性支付機構的監(jiān)管有效性問題。第四，建立科學、動態(tài)的分類監(jiān)管評級和資質認證機制。第五，在為移動支付創(chuàng)新設置觀察窗的同時，關注這一新興領域的金融安全標準基礎設施建設。

　　在經歷了中國網絡支付市場十多年的浸淫和洗禮之后，市場從缺乏規(guī)矩到有規(guī)矩，很多規(guī)則終于清晰而扎實地確立起來，確實難能可貴。

　　支付市場沒有變天，市場在從喧囂鼓噪中走向水落石出，監(jiān)管路徑在從行政許可走向負面清單，消費者的合法權益在得到更多保障，一切都在欣欣然邁向新常態(tài)。

　　案例

　　快捷支付系列風險案件

　　近年來快捷支付在網絡支付業(yè)務中應用廣泛。快捷支付僅需要客戶的少量身份信息、卡號和手機號即可開通，之后憑借手機短信驗證即可實現資金快速的扣劃。快捷支付的低門檻和便捷性同時帶來了較高的風險，由于手機病毒泛濫、客戶個人信息自我保護意識不足，手機號碼實名制管理有待加強，因此快捷支付成為不法分子盜取客戶資金的重災區(qū)。與此同時，支付機構違規(guī)在未取得銀行授權、且客戶未經銀行核實真實意愿的情況下即與客戶簽訂快捷協(xié)議，扣劃客戶資金，進一步加劇了快捷支付業(yè)務的風險。以下是一些由于客戶主客觀原因導致個人信息泄露后，支付機構沒有嚴格履行監(jiān)管要求從而導致客戶資金被盜的典型案件：

　　案件（1）：假冒銀行工作人員，獲取銀行卡信息

　　2015年8月，陸先生接到一個號稱平安銀行工作人員的電話，說可以給他的信用卡提高額度，按照他們提示把手機收到的動態(tài)密碼告知了“平安銀行工作人員”，結果該銀行卡內資金被扣刷，后陸先生和銀行取得聯系，發(fā)現該筆資金已通過某支付公司網站扣劃。該案中支付機構未取得銀行授權即與客戶簽訂快捷協(xié)議，不符合監(jiān)管規(guī)定。

　　案件（2）：偽造銀行短信，利用虛假網站扣劃持卡人資金

　　2015年7月，孫女士收到95533的短信提示，提示內容為積分兌換，后孫女士根據短信提示的手機網站(GOQCFR.COM),輸入身份證號碼、銀行卡號、姓名、銀行卡密碼，之后就收到銀行的扣款短信。后持卡人通過銀行得知錢是由某支付公司扣取，經公安查明，孫女士是登陸的是一個虛假網站，不法分子利用孫女士填寫的信息開通快捷支付將資金轉移。

　　案件（3）：植入手機木馬盜取客戶資金

　　2015年11月，席女士名下建設銀行儲蓄卡，在某支付機構開通快捷支付，向該支付賬戶中充值5000元，并在充值成功后5分鐘之內發(fā)起多筆向他人銀行卡轉賬的操作嘗試。席女士在交易發(fā)生前手機收到一條“10086”發(fā)來的短信，內容為“預存話費，存100返300，詳情點擊鏈接......”客戶點擊鏈接后導致手機中木馬無法收到短信而被盜刷。經查在簽約快捷支付時有手機校驗碼發(fā)送記錄，且客戶手機詳單中顯示當時客戶手機有往陌生號碼轉發(fā)短信的記錄，該案件是典型的客戶手機中木馬后短信被轉移的案件。

　　案件（4）：通過貸款獲取持卡人信息，盜取資金

　　2015年10月，四川吳先生致電某支付公司客服反映自己名下農業(yè)銀行借記卡，在該平臺發(fā)生2筆1999元的快捷支付交易;經查該銀行卡簽約快捷預留的手機號歸屬地為北京，與客戶實際生活居住地不一致，吳先生表示自己在銀行卡被盜刷之前從網上申請了貸款，按照對方提示辦理了一張農行借記卡，將對方提供的手機號碼預留在銀行系統(tǒng)，并將身份信息、銀行卡信息均提供給了對方。詐騙分子利用替客戶完成貸款或信用卡審核等為借口，誘騙持卡人在銀行預留其指定的手機號碼，成功開通快捷支付并完成盜刷。

　　案件（5）：客戶手機號碼被替換導致客戶銀行卡被盜刷

　　近日，務工人員小張在網絡上看到某代辦信用卡的信息，聯系到代辦人劉某，并按劉某要求提供了個人身份證號、銀行卡號等信息，隨后，其銀行卡內的10000元資金被轉走。經查詢，資金是通過某支付平臺轉出的。不法分子作案手法如下：第一步，以代辦信用卡需要證明申請人的“財力”為由，要求小張新辦理一張借記卡，并至少存入15000元;第二步，以方便“驗資”等借口，要求小張在辦理借記卡時填寫指定的手機號為預留號碼，并要求提供辦卡人的身份證號和銀行卡號;第三步，不法分子巧妙利用某支付平臺的交易規(guī)則，根據小張?zhí)峁┑你y行卡號、身份證號等信息申請綁定銀行卡，并通過指定的手機號碼接收驗證碼，完成支付賬戶對銀行卡的綁定，盜取資金。

　　以上案件均是客戶信息被盜取后資金被迅速轉移，如果支付機構能夠嚴格按照監(jiān)管規(guī)定，在客戶開通快捷支付時，分別取得客戶和銀行的授權，同時要求客戶在與支付機構簽約的同時，與商業(yè)銀行獨立簽約，在客戶信息泄露的情況下，依然能夠避免大部分資金損失的狀況，更好的保護客戶資金安全。