据知情人士透露,旨在规范商业银行与第三方支付机构合作的框架性监管文件已正式下发。
据了解,该文件名为《中国银监会 中国人民银行关于加强商业银行与第三方支付机构合作业务管理的通知》(10号文),从保护客户资金安全和信息安全出发,涉及客户身份认证、信息安全、交易限额、交易通知、赔付责任、第三方支付机构资质和行为、银行的相关风险管控等。
监管部门还要求,商业银行应于2014年6月30日前做好相应的制度及合同修订工作。
重申客户身份认证重要性
10号文再次重申客户身份认证的重要性。要求客户银行账户与第三方支付机构首次建立业务关联时,必须通过第三方支付机构和银行双重身份鉴别,账户所在银行应通过物理网点、电子渠道或其他有效方式直接验证客户身份,明确双方权利与义务。
商业银行通过电子渠道验证和辨别客户身份,应采用双(多)因素验证方式对客户身份进行鉴别,对不具备双(多)因素认证条件的客户,其任何账户不得与第三方支付机构建立业务关联。
中金公司研究报告认为,这一规定会使快捷支付开通受限。在实际操作中,开通快捷支付时一般只需要第三方支付机构的身份鉴别。中金认为,增加银行的身份鉴别,会影响开通快捷支付的便捷性和客户体验。
10号文还规定,银行应构建安全的网络通道,制定安全边界,防止第三方支付机构越界访问。
中金认为,这一规定同样会让快捷支付用途受限。“所谓越界访问,指快捷支付的功能超出了银行的授权范围。据我们了解,银行普遍对支付接口的用途设定一定的限制,比如只能用于缴纳水电燃气费,但部分第三方支付机构在操作中存在扩宽支付接口用途的行为,比如将之扩宽到购物。”中金研究报告解释。
厘清赔付责任
在第三方支付机构资质方面,10号文要求银行要对客户的风险承受能力进行评估,客户与第三方支付机构相关的账户关联、业务类型、交易限额等决策要求应与其技术风险承受能力相匹配。
商业银行应采取技术措施保障来自第三方支付机构的传输数据和操作指令的完整性、一致性和不可抵赖性。对不具备对等安全保障能力的第三方支付机构,原则上应不予合作。
在赔付责任方面,10号文要求,商业银行在与第三方支付机构签订合作协议时,要求对客户通过大额资金划转强化身份认证,确保由客户本人发出资金划转要求。应就非商业银行直接进行客户身份认证的批量扣款或电子支付,与第三方支付机构就赔付责任达成一致。
且10号文要求,对大额支付、可疑支付要及时通知客户。从银行账户划出的支付交易资金,遇到交易终止、失败应划回原银行账户。
纳入银行风险管理
在加强银行内部风险防范方面,要求银行将与第三方支付机构的合作业务纳入运营风险监测系统的监控范围,对其中的商户和客户在本行的账户资金活动进行实时监控,达到风险标准的应组织核查。特别是对其中大额、异常的资金收付要逐笔监测。
此外,10号文还要求商业银行对客户通过第三方支付机构进行的交易建立自动化的交易监控机制和风险监控模型,对资金情况实时监控,及时发现和处置异常行为、套现或欺诈事件。
中金研究报告认为,10号文的规定,意味着第三方支付需要与银行共享客户和交易信息。
“在实际操作中,部分第三方支付机构发送给银行的信息并不包括二级账户的信息,即银行只能看到这有一笔钱通过支付宝交易,但无法得知资金具体流向和用途。我们理解,客户和交易信息是大数据环境下第三方支付公司的重要资产,如果未来被迫和银行分享,将影响第三方支付公司这些数据的价值。”中金认为。