我国第三方支付行业经过多年的高速发展,已经开始由高速增长阶段逐步转向高质量发展阶段,成为当前我国支付服务市场的有效补充。随着业务的不断发展,第三方支付行业积累的风险隐患逐渐显现,给金融安全和消费者权益带来了一定的负面影响。
我国第三方支付行业在2010年6月中国人民银行颁发实施《非金融机构支付服务管理办法》后,逐步进入快速发展轨道,极大地方便了社会公众的日常零售支付活动,促进了电子商务的快速发展,成为我国支付服务市场的有效补充,但其风险也引发了社会的广泛关注。
我国第三方支付风险的七个方面
——金融科技风险防控乏力
随着大数据、人工智能、云计算、区块链等金融科技在第三方支付行业的应用不断深入,第三方支付服务成本持续降低,支付效率大幅提升,客户体验不断改善,广泛渗透到各类生活场景,在一定程度上重新塑造人们的日常生活。金融科技不仅为第三方支付的发展提供了持续动力,还带来了来源更为广泛、程度更为复杂的风险。主要有以下方面:一是金融科技的发展使第三方支付市场参与主体间的关联性越来越强,联动性越来越大,增大了单点风险演变为系统性风险的可能性,现有的监管手段比较落后,难以对金融科技的应用形成有效的监管。二是虽然金融科技的应用处于起步阶段,但是推动了第三方支付行业的发展日新月异。一旦该行业过度依赖金融科技进行发展,而忽视整体性的业务设计和制度安排,将使得技术依赖风险进一步聚集。这类风险目前没有被充分识别,加大了事先防范和监督管理的难度。如云计算技术虽然有利于提高数据集中程度,为用户提供共享便利,但是带来因系统被攻击而引起的更多数据泄露风险。目前较为热门的区块链技术高度依赖密码算法,未来一旦被破解,将产生系统性风险。三是金融科技与支付服务的交叉渗透使第三方支付业务的边界更加模糊,服务方式更加虚拟,经营环境更加开放,导致支付风险隐蔽性更强、传染性更高、波及面更广、传播速度更快、危害性更大,传统的风险控制手段对此已经难以奏效。
——业务创新风险不容忽视
不断创新是推动支付产业发展的直接动力。当前第三方支付机构创新发展的速度、深度、广度和复杂程度前所未有,虽然持续提升了客户体验,满足了社会公众多样化的支付需求,但是在开展创新过程中存在一些问题,造成不利影响。一是第三方支付机构的部分支付创新业务缺乏统一的业务规范和技术标准,客户身份识别和交易验证等环节的安全性面临新的压力和挑战。如人脸、虹膜等生物特征识别技术在支付领域的应用没有统一的国家或行业标准,导致不同的第三方支付机构识别算法和活体检测算法存在差异,存在识别精度不足、防伪能力较弱的问题,使生物特征识别技术应用于客户身份验证的安全性、准确性受到影响。二是部分机构为了在激烈的市场竞争中获利,盲目追求业务创新,过分强调支付便利,忽视了风险隐患。三是部分机构为扩大市场份额,借创新之名行违规之实,扰乱了正常的支付服务市场秩序,导致支付业务生态环境变差。
——客户信息数据频频泄露
一方面,第三方支付机构不仅在快速发展过程中积累了海量的客户信息数据,而且支付业务日益开放化,这在客观上提高了客户信息泄露的概率;另一方面,部分第三方支付机构重便利、轻安全,片面追求客户体验,对客户信息保护不力,为电信网络诈骗等违法犯罪分子提供了可乘之机。第三方支付机构泄露的信息数据被不法分子利用实施精准诈骗,造成客户资金损失,严重威胁客户支付安全,容易引发社会公众对第三方支付机构系统安全性的信任危机。特别是大数据、云计算等信息技术应用于第三方支付服务后,这一问题显得更加突出,客户信息数据可能会在自身不知道的情况下被用于商业或者一些不正当的用途。
——容易引发洗钱风险
主要表现为:一是第三方支付机构作为支付中介参与支付结算时,改变了银行对交易双方资金划拨传统的点对点模式,将原本银行可以全程掌握的交易过程割裂成两个看起来没有关联的资金划转过程,割断了银行与交易双方的直接联系,使得银行难以确认这两项交易过程之间的因果关系和交易的真实背景,不能准确辨别资金交易的流向,为不法分子洗钱创造了机会。二是有的机构没有建立功能强大的可疑交易监测系统,监测分析范围不能覆盖全部客户和业务领域,没有贯穿业务办理各个环节。第三方支付机构对可疑交易的监测不到位,容易使犯罪分子有机可乘进行洗钱,并逃脱处罚。
——规章制度保障力度不足
主要表现为:一是法的效力等级较低。在当前我国关于第三方支付的规章制度中,只有《非金融机构支付服务管理办法》是部门规章,其他都是规范性文件,法律和行政法规更是没有。这些规章制度没有上升到法律和行政法规的层次,法的效力等级相对较低,规范力度有限,调整范围窄,难以为第三方支付的健康发展提供强有力的制度保障。二是制度建设局部滞后业务发展。随着支付工具虚拟化、支付平台云端化、身份识别多样化的发展,第三方支付机构不断推出新的支付产品和服务,它们难以在现有的规章制度中找到业务规范和监管规定。不仅如此,一些原有的规章制度已经不能适应第三方支付行业高速发展的需要,没有及时制定和修订相应的规章制度。三是惩处力度明显不足。《中华人民共和国行政处罚法》规定,除法律、行政法规、地方性法规、部门规章和法律规定的政府规章外,其他规范性文件不得设定行政处罚。关于第三方支付的制度属于规范性文件,它们无权设定行政处罚,难以对第三方支付业务的规范形成硬性约束。第三方支付领域唯一的部门规章《非金融机构支付服务管理办法》规定,对于支付机构的违法违规行为,中国人民银行及其分支机构责令其限期改正并给予警告或处1万元以上3万元以下的罚款;或责令其终止支付业务。情节严重的,注销其《支付业务许可证》。涉嫌犯罪的,依法移送公安机关立案侦查;构成犯罪的,依法追究刑事责任。人民银行对第三方支付机构违法违规行为的惩处力度明显不足,造成第三方支付机构的违法违规成本极低,导致人民银行在对其实施监管时难以形成有力的威慑。
——违规经营问题不断凸显
随着支付服务市场竞争的日益激剧,第三方支付机构因利益驱动有章不循,引发无序竞争、恶性竞争、不公平竞争的情形时有发生,违规经营问题不断凸显,偏离了提供支付服务的本源,形成了“劣币驱良币”的不良环境,扰乱了正常的支付服务市场秩序。从违规行为看,备付金、反洗钱等方面是第三方支付机构违规的重点领域。近年来,人民银行对第三方支付行业实行严监管常态化,但是第三方支付机构屡禁不止,频频因为违规经营受到处罚,罚款金额屡创新高,高额罚单几乎成为常态化趋势。2020年4月29日,商银信支付服务有限责任公司因涉十六项违规被人民银行营业管理部合计罚款1.16亿元,刷新了央行对第三方支付机构的罚金新高。
——海外开拓面临巨大挑战
近年来,以支付宝、财付通等为代表的一些大型第三方支付机构以领先的移动支付技术和运营方式积极拓展海外支付市场,目前已覆盖全球50多个国家和地区。在参与国际竞争过程中,复杂多变的境外经营环境给第三方支付机构带来更多的风险,增加了布局全球支付市场的难度。主要表现为:一是差异化境外监管政策的考验。目前对跨境支付服务的监管在国际上没有通行的标准和法规,不同国家和地区的支付监管体制各异,第三方支付机构需要熟悉当地的法律政策和满足相应的监管要求,增加了在境外开展业务的难度。特别是“走出去”较多的东南亚地区的监管体系还在不断完善中,第三方支付机构开展业务需要应对不断变化的政策和法规。二是跨境支付风险复杂多样。跨境支付交易的来源遍布全球各地,第三方支付机构时刻都可能受到全球犯罪分子的攻击,面临的风险远比国内复杂多样。三是境外纠纷解决难以高效公正。境外各国的司法制度差异较大,仲裁、调解和协商等方式不尽相同,加上语言沟通的障碍,导致解决跨境支付交易纠纷不仅需要较长的时间,而且难以做到公平公正。
防范第三方支付行业风险的建议
——加强金融科技监管
一是实行穿透式监管。支付监管部门要积极运用穿透式监管手段对第三方支付业务整个流程进行动态监管,强化支付监管渗透的广度和深度,着重解决好金融科技应用带来的风险,让支付监管部门对金融科技在第三方支付行业的应用“看得到、穿得透、管得住”。二是健全监管框架。支付监管部门要设计出符合政策导向和支付业务发展实际需要的监管框架,在保证支付安全的前提下,引导第三方支付行业合理运用金融科技,促进金融科技与第三方支付服务的多维度融合,实现技术创新与防范风险的平衡,避免技术依赖风险的过度聚集。三是开展风险测试。借鉴国外沙盒监管经验,对即将在第三方支付行业广泛应用的金融科技进行风险测试,重点监测金融科技的应用是否遵循相应的监管要求,是否具有完善的风险控制措施,是否带来系统性金融风险,评估发生支付风险可能造成的危害。促使第三方支付机构根据测试结果进一步完善金融科技的应用,提高安全性和可靠性。促使监管部门在金融科技推广前尽早了解其风险点,制定应急预案,提升对金融科技风险的防范和化解能力,避免监管滞后或监管空白。
——加强业务创新管理
一是合理引导创新。人民银行要加强对第三方支付创新业务的规范和引导,及时制定业务规范和技术标准,使第三方支付机构有章可循,有法可依。要坚持开放、包容的理念,给支付创新业务预留一定的空间,促进第三方支付机构合理创新。二是守好安全底线。人民银行要把安全作为创新发展不可逾越的底线,鼓励在确保安全的前提下开展创新,依靠创新推动发展,在发展中强化规范,维护公平竞争的市场秩序,为第三方支付机构开展创新提供良好的环境。三是稳妥开展创新。第三方支付机构要正确处理好创新发展与风险防范的关系,实现两者之间的最佳平衡。既不能简单地从加强风险防范的角度限制业务创新,又不能为片面追求便捷和效率开展创新而忽视风险防范。要始终以市场需求为导向,以安全为前提,以快捷为手段,以良好的体验为目的,合理运用金融科技促进支付业务创新,满足日益增长的多样化支付需求。四是抓好创新审查。人民银行要加大对第三方支付创新业务的审查力度,认真评估其合规性、安全性,分析业务实质和可能存在的风险,谨防第三方支付机构利用新的金融科技绕过监管规则破坏公平竞争秩序,或假借支付业务创新之名行违规之实。
——加强信息安全管理
一是健全信息安全制度。支付监管部门要尽快制定第三方支付机构数据治理制度,明确规定第三方支付机构在对客户信息的采集、存储、使用等方面的安全标准,使第三方支付机构在采集、存储和使用客户的敏感信息时有章可循,防止过度采集、滥用信息,保护客户隐私。第三方支付机构要健全信息安全管理制度,明确相关岗位和人员的职责。二是提升技术防范能力。第三方支付机构要利用支付标记化、双向认证、散列加密等技术保障客户信息传输的安全性,避免支付敏感数据泄露风险。要采用更强的加密技术和访问控制策略,配备防火墙、入侵检测等安全产品,不断提升系统安全防护能力,有效抵御外部入侵和内部信息泄露。要借助生物特征识别、地理位置信息等技术手段,不断提高支付安全验证能力,使支付产品和服务更加安全便捷,使消费者获得更好的支付体验。三是加强信息安全教育。第三方支付机构要经常组织员工开展信息安全教育,及时向他们通报相关案例,增强他们的信息安全意识,使他们将安全意识贯穿到日常工作中,做到警钟长鸣。四是开展信息安全检查。第三方支付机构要定期对容易发生客户信息泄露的环节进行排查和开展安全评估,发现漏洞,及时堵住,防止客户信息泄露和滥用。
——加强洗钱风险监管
一是健全客户身份资料和交易记录保存制度。第三方支付机构要按照安全、准确、完整、保密的原则,妥善保存客户身份资料和交易记录,确保能够完整地重现每笔交易,为识别客户身份、监测分析交易情况、调查可疑交易活动和查处洗钱案件提供完整的信息。二是优化可疑交易资金监测系统。第三方支付机构要有针对性地设置监测指标,不断加大科技投入完善可疑交易资金监测系统,对客户的异常行为和可疑交易进行快速侦测并做出反馈,为可疑交易监测提供强有力的技术支持。三是抓好业务培训。第三方支付机构要定期对前台岗位人员和相关部门人员开展反洗钱业务培训,使他们及时了解反洗钱监管政策、内控要求、新方法、新技术、洗钱风险变动情况,增强风险意识,在工作中时刻保持高度的警惕,提升分析和识别可疑交易的技能。四是建立信息共享机制。第三方支付机构要与银行加强合作,尽快建好信息共享平台,确保交易信息的连续和完整,使可疑交易监测更加有效地开展,提高其风险防控水平。
——加强法规制度建设
一是提升法律层级。尽快制定和出台《非银行支付机构监督管理条例》,将第三方支付领域的法律层级提升为法规,改变目前法律层级最高仅为部门规章、法律效力不高的现状,从而增强监管制度的权威性和威慑力,为防范第三方支付领域金融风险提供法规保障。二是完善法规制度。从根本上改变目前第三方支付行业规章制度不完善、局部滞后的情况,为进一步加强支付监管提供法律依据。三是加大惩处力度。支付监管部门要加大对第三方支付机构违法违规行为的处罚力度,提高违法违规的成本,促进第三方支付机构合规经营,健康发展。对涉及严重违规的第三方支付机构除实施经济处罚外,还要采取暂停业务、退出部分地区市场等严厉监管措施。特别是要对第三方支付机构侵害消费者权益的行为进行严厉处罚,保障消费者的合法权益。
——加强监督管理力度
一是完善协调机制。针对第三方支付横跨支付、融资、理财等多个金融领域的现状,建立在中国人民银行统筹下,银保监会、商务部、工信部、市场监督管理总局、税务总局等部门相互配合的第三方支付行业监管协调机制,形成监管合力,避免出现监管真空,从而有效防范第三方支付行业风险,引导第三方支付机构合规经营。二是提升监管水平。针对第三方支付机构的违法违规行为,人民银行要综合运用现场检查、非现场监管、受理信访投诉举报等方式多维度加强监管,严厉追究责任,提高违法违规成本。三是运用大数据、人工智能等技术加强对第三方支付行业的风险监测。四是加强行业自律。
——加强海外风险防范
一是熟悉境外监管政策。第三方支付机构要加强与境外监管机构的密切联系,全面了解境外市场准入、业务开展等方面的监管制度要求,严格遵守当地法律法规和支付监管的要求合规经营,为当地居民提供多渠道、广覆盖的支付服务。二是建立多边风险防范机制。中国要加强与境外各国支付监管部门的联系和协调,逐步建立跨境支付风险预警、危机处置的合作机制,对于跨境支付风险防范做到信息共享、实时预警、实时处理,多边协同应对全球犯罪分子的攻击。三是构建高效公正的跨境支付纠纷解决机制。中国要与境外各国支付监管、司法等部门加强沟通协调,根据跨境支付纠纷的实际情况,灵活确定解决纠纷方式,降低当事人的解决纠纷成本,实现跨境支付纠纷多元化解,保护消费者的合法权益。