网易财经4月17日讯 金融监管人士今日向网易财经证实,俗称“10号文”的关于规范商业银行与第三方支付机构合作的文件已于本月10日下发。
据今日财新网报道,银监会和央行已于近日联手下发俗称“10号文”的《中国银监会中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》,试图规范商业银行和第三方支付机构的合作。
中金公司就此发布报告指出,第三方支付机构的快捷支付功能将受到进一步限制,可能会对快捷支付,包括余额宝等的申购产生影响。
在第三方支付机构资质方面,10号文要求首先银行要对客户的风险承受能力进行评估,以确定客户与第三方支付机构相关的账户关联、业务类型、交易限额等,包括单笔支付限额和日累计支付限额。在客户提出申请且通过身份验证和辨别后,在临时期限内可以适当调整单笔支付限额和日累计支付限额。至于限额是多少、临时期限有多长,由银行自己决定。
10号文再次重申了客户身份认证的重要性。要求首次建立业务关联时,必须通过第三方支付机构和银行的双重身份鉴别,此前86号文可由第三方支付机构单独认证客户身份,5号文则要求商业银行识别。10号文再次强调银行在用电子渠道验证客户身份时,应采用双因素验证方式对客户身份进行鉴别。
在赔付责任方面,10号文要求,商业银行在与第三方支付机构签订合作协议时,要求对客户通过大额资金划转强化身份认证,确保由客户本人发出资金划转要求。对大额支付、可疑支付要及时通知客户。从银行账户划出的支付交易资金,遇到交易终止、失败应划回原银行账户。
在银行人士看来,此次10号文的主要十八条要求中,其中至少十条都是针对支付机构在以往操作中不配合银行的违规行为。比如,第十一条,商业银行应明确要求第三方支付机构不得在未经授权的情况下屏蔽本银行的支付界面与接口。前述银行人士反映,他们发现,支付机构没给客户提供可以选择的银行卡支付界面,或者银行卡支付网关在不显眼的地方。“这是支付机构人为制造银行和用户的矛盾”。
在加强银行内部风险防范方面,要求银行将与第三方支付机构的合作业务纳入运营风险监测系统的监控范围,特别是对其中大额、异常的资金收付要逐笔监测。银行应构建安全的网络通道(如果专线连接、VPN通道等),制定安全边界(如部署防火墙、DMZ隔离区等),防止第三方机构越界访问。
据银行人士解释,所谓越界访问,是指支付接口原本只是用于缴纳水电煤费用,但购物也从这个通道走了,“支付机构就偷偷摸摸的干了。缺少银行的授权和监督,没法合规地做。”
中金公司今日就此发布报告指出,该公司认为第三方支付机构的快捷支付和数据共享面临挑战,但实际效果取决于执行力度:
1、第三方支付机构的快捷支付功能将受到进一步限制。继四大行下调快捷支付的支付限额后,此次10号文提到了两点,可能会对快捷支付,包括余额宝等的申购产生影响:
a、快捷支付用途受限。10号文指出,“银行应构建安全的网络通道,制定安全边界,防止第三方机构越界访问”。所谓越界访问,指快捷支付的功能超出了银行的授权范围。据我们了解,银行普遍对支付接口的用途设定一定的限制,比如只能用于缴纳水电煤气费,但部分第三方支付机构在操作中存在扩宽支付接口用途的行为,比如将之扩宽到购物。
b、快捷支付开通受限。10号文指出,“首次建立业务关联时,必须通过第三方支付机构和银行的双重身份鉴别”。而实践操作中,开通快捷支付时一般只需要第三方支付机构的身份鉴别。增加银行的身份鉴别,会影响开通快捷支付的便捷性和客户体验。
2、第三方支付需要和银行共享客户和交易信息。10号文和去年央行发布的《银行卡收单业务管理办法》指出,“收单机构应当...正确选用交易类型,准确标识交易信息并完整发送...交易信息至少应包括:直接提供商品或服务的商户名称、类别和代码,受理终端(网络支付接口)类型和代码,交易时间和地点(网络特约商户的网络地址),交易金额,交易类型和渠道,交易发起方式等。网络特约商户的交易信息还应当包括商品订单号和网络交易平台名称。”但实际操作中,部分第三方支付机构发送给银行的信息并不包括二级账户的信息,即银行只能看到这有一笔钱通过支付宝交易,但无法得知资金具体流向和用途。我们理解,客户和交易信息是大数据环境下第三方支付公司的重要资产,如果未来被迫和银行分享,将影响第三方支付公司这些数据的价值。
第三方支付回应:
四大行与支付宝快捷支付口水战:
3月23日:四大行均已下调支付宝快捷支付额度:每月不超5万
3月25日:工行:快捷支付3年来一直"违法" 并非打压余额宝
3月26日:中行:支付宝快捷支付限额出发点是客户资金安全
3月27日:工行:快捷支付失败因支付宝将交易发到关闭接口
其他资料:
2011年银监会86号文
银监发[2011] 86号
中国银监会关于加强电子银行客户信息管理工作的通知
各银监局,各国有商业银行、股份制商业银行,邮政储蓄银行,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:
为促进电子银行业务健康有序发展,规范商业银行客户信息管理行为,有效保护商业银行客户信息安全,维护客户合法权益,根据《电子银行业务管理办法》有关规定,现就加强商业银行电子银行业务中电子资金转移与支付环节的客户信息管理工作提出以下要求:
一、商业银行应按照有关法律法规要求,高度重视客户信息安全与保密工作,开展电子资金转移与支付业务(包括但不限于使用计算机、手机、电话、掌上电脑、电视、自助终端等电子设备,由客户自助发起提交银行或通过第三方机构提交银行处理的资金划转行为)时,严格执行《电子银行业务管理办法》等相关规章制度。
二、商业银行对于以上电子资金转移与支付业务应明确统一的电子银行业务管理部门,持续具各相应的专业能力和管理能力,明确风打造专属自己的淘宝旺铺装修店铺优化商品推广网站客服工作物流发货险管理责任。
三、商业银行应采取有效措施切实保障客户信息安全,加强电子资金转移和支付环节的身份识别管理。从客户银行账户扣划资金时,原则上应由账户所在银行完成电子资金转移与支付交易的安全认证;对于由第三方机构完成安全认证的电子资金转移与支付业务,应至少在首笔业务前由账户所在银行通过物理网点、电子渠道或其他有效方式直接验证客户身份,并与客户约定双方相关权利与义务。商业银行应根据不同业务类型和安全认证方式采取差异化的风险控制策略,谨慎设置交易限额。
四、商业银行在开展电子资金转移与支付业务过程中,应不断加强客户信息安全的内部控制与管理。未经客户对本机构授权,不得直接或间接将客户名称、证件类型及证件号码、手机号码、固定电话号码、通信地址及其他客户敏感信息提供给第三方机构。
五、商业银行在开展电子资金转移与支付业务过程中,应加强对合作商户和第三方机构的合作方准入管理,与之明确约定相关商户、商品及资金用途等信息共享方面的权利和义务,防范套现、欺诈等风险。
六、商业银行应做好相关系统的日常运行维护工作,保障业务安全、稳定和持续运行,不断提高服务质量和水平。
七、商业银行应加强相关风险提示与公众知识普及,帮助公众提高电子资金转移与支付交易的安全意识。
八、商业银行应按照《电子银行业务管理办法》有关要求,定期向监管机构报送相关业务情况。
九、商业银行应在开展电子资金转移与支付业务过程中严格执行本通知各项要求,自本通知发布之日起30个工作日内完成牵头管理部门确定、自查和相应的制度及合同修订工作,并将相关工作情况报送至银监会。
十、商业银行电子银行业务中其他涉及客户信息管理的环节和内容应按照本通知要求执行。
十一、其他银行业金融机构开展电子资金转移与支付业务时,参照本通知各项要求执行。请各银监局将本通知转发至辖内银监分局和银行业金融机构。
特此通知。
二○ 一一年八月十一日印发