银监会同央行共同发文规范第三方支付

　　银监会和央行联手下发《中国银监会中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》 (银监发10号，下简称10号文)，试图规范商业银行和第三方支付机构的合作。

　　10号文延续了此前银监会的86号文和央行的5号文的基调，从保护客户资金安全和信息安全出发，对有针对性的问题细化了规范，涉及客户身份认证、信息安全、交易限额、交易通知、赔付责任、第三方支付机构资质和行为、银行的相关风险管控等。86号文是银监会于2011年8月下发的加强电子银行客户信息管理有关规定，5号文则是今年1月央行下发的关于加强银行卡管理业务的有关规定。

　　一位银监会创新部人士证实，“支付宝嫌麻烦，一直没执行有关操作规则。大行和支付宝还有谈判空间；小银行和支付宝没有多少谈判空间。如果支付宝不执行规定，小行为了留住客户也只能迁就”。支付宝是中国最大的第三方支付机构，是阿里小微金服的核心机构，未在阿里巴巴海外上市的资产内。

　　据悉，10号文要求银行于2014年6月30日前做好相应的制度及合同修订工作；5号文亦要求商业银行于7月5号完善涉及银行卡安全的有关合规制度。

　　业内解读

　　解读一：快捷支付功能将受到进一步限制   中金公司认为，此次10号文提到了两点，可能会对快捷支付，包括余额宝等的申购产生影响：一是，快捷支付用途受限。

　　目前，银行普遍对支付接口的用途设定一定的限制，比如只能用于缴纳水电煤气费，但部分第三方支付机构在操作中存在扩宽支付接口用途的行为，比如将之扩宽到购物。

　　二是，快捷支付开通受限。10号文指出，“首次建立业务关联时，必须通过第三方支付机构和银行的双重身份鉴别”。

　　在实践操作中，开通快捷支付时一般只需要第三方支付机构的身份鉴别。增加银行的身份鉴别，会影响开通快捷支付的便捷性和客户体验。

　　解读二：需要和银行共享客户与交易信息   10号文指出，“收单机构的交易信息至少应包括：直接提供商品或服务的商户名称、类别和代码，受理终端 (网络支付接口)类型和代码，交易时间和地点(网络特约商户的网络地址)，交易金额，交易类型和渠道，交易发起方式等。网络特约商户的交易信息还应当包括商品订单号和网络交易平台名称。”

　　但实际操作中，部分第三方支付机构发送给银行的信息并不包括二级账户的信息，即银行只能看到这有一笔钱通过支付宝交易，但无法得知资金具体流向和用途。而客户和交易信息是大数据环境下第三方支付公司的重要资产，如果未来被迫和银行分享，将影响第三方支付公司这些数据的价值。

　　解读三：防止第三方机构越界访问

　　10号文指出，要求银行将与第三方支付机构的合作业务纳入运营风险监测系统的监控范围，特别是对其中大额、异常的资金收付要逐笔监测。银行应构建安全的网络通道 (如果专线连接、VPN通道等)，制定安全边界 (如部署防火墙、DMZ隔离区等)。

　　银行人士解释，所谓越界访问，是指支付接口原本只是用于缴纳水电煤费用，但购物也从这个通道走了，“支付机构就偷偷摸摸的干了。缺少银行的授权和监督，没法合规地做。”

　　业内人士认为，这一条能否落实，取决于支付机构首先应按照《银行卡收单管理办法》的规定，把明细的完整交易信息传输给银行。目前，银行只能看到这有一笔钱通过支付宝交易，但无法得知资金用途。

　　解读四：明确赔付责任方

　　10号文要求，商业银行在与第三方支付机构签订合作协议时，要求对客户通过大额资金划转强化身份认证，确保由客户本人发出资金划转要求。对大额支付、可疑支付要及时通知客户。从银行账户划出的支付交易资金，遇到交易终止、失败应划回原银行账户。

　　但在实际操作中，支付机构没给客户提供可以选择的银行卡支付界面，或者银行卡支付网关在不显眼的地方。“这是支付机构人为制造银行和用户的矛盾”。

　　本报综合