银监会10号文解读.docx

近日，银监会和央行微博联手下发中国银监会中国人民银行微博关于加强商业银行与第三方支付机构合作业务管理的通知(银监发10号，下简称10号文)，试图规范商业银行和第三方支付机构的合作。10号文延续了此前银监会的86号文和央行的5号文的基调，从保护客户资金安全和信息安全出发，对有针对性的问题细化了规范，涉及客户身份认证、信息安全、交易限额、交易通知、赔付责任、第三方支付机构资质和行为、银行的相关风险管控等。86号文是银监会于2011年8月下发的加强电子银行客户信息管理有关规定，5号文则是今年1月央行下发的关于加强银行卡管理业务的有关规定。一位银监会创新部人士证实，“支付宝微博嫌麻烦，一直没执行有关操作规则。大行和支付宝还有谈判空间；小银行和支付宝没有多少谈判空间。如果支付宝不执行规定，小行为了留住客户也只能迁就”。支付宝是中国最大的第三方支付机构，是阿里小微金服的核心机构，未在阿里巴巴微博海外上市的资产内。10号文要求银行于2014年6月30日前做好相应的制度及合同修订工作；5号文亦要求商业银行于7月5号完善涉及银行卡安全的有关合规制度。在第三方支付机构资质方面，10号文要求首先银行要对客户的风险承受能力进行评估，以确定客户与第三方支付机构相关的账户关联、业务类型、交易限额等，包括单笔支付限额和日累计支付限额。在客户提出申请且通过身份验证和辨别后，在临时期限内可以适当调整单笔支付限额和日累计支付限额。至于限额是多少、临时期限有多长，由银行自己决定。10号文再次重申了客户身份认证的重要性。要求首次建立业务关联时，必须通过第三方支付机构和银行的双重身份鉴别，此前86号文可由第三方支付机构单独认证客户身份，5号文则要求商业银行识别。10号文再次强调银行在用电子渠道验证客户身份时，应采用双因素验证方式对客户身份进行鉴别。在赔付责任方面，10号文要求，商业银行在与第三方支付机构签订合作协议时，要求对客户通过大额资金划转强化身份认证，确保由客户本人发出资金划转要求。对大额支付、可疑支付要及时通知客户。从银行账户划出的支付交易资金，遇到交易终止、失败应划回原银行账户。在银行人士看来，此次10号文的主要十八条要求中，其中至少十条都是针对支付机构在以往操作中不配合银行的违规行为。比如，第十一条，商业银行应明确要求第三方支付机构不得在未经授权的情况下屏蔽本银行的支付界面与接口。前述银行人士反映，他们发现，支付机构没给客户提供可以选择的银行卡支付界面，或者银行卡支付网关在不显眼的地方。“这是支付机构人为制造银行和用户的矛盾”。“10号文的目的并不是终止合作，而是要求支付机构整改。因为一旦资金发生纠纷，客户首先会先找商业银行的责任。”一位银行人士表示。在加强银行内部风险防范方面，要求银行将与第三方支付机构的合作业务纳入运营风险监测系统的监控范围，特别是对其中大额、异常的资金收付要逐笔监测。银行应构建安全的网络通道(如果专线连接、VPN通道等)，制定安全边界(如部署防火墙、DMZ隔离区等)，防止第三方机构越界访问。据银行人士解释，所谓越界访问，是指支付接口原本只是用于缴纳水电煤费用，但购物也从这个通道走了，“支付机构就偷偷摸摸的干了。缺少银行的授权和监督，没法合规地做。”10号文第十五条还要求商业银行对客户通过第三方支付机构进行的交易建立自动化的交易监控机制和风险监控模型，对资金情况实时监控，及时发现和处置异常行为、套现或欺诈事件。“这一条能否落实，取决于支付机构首先应按照银行卡收单管理办法的规定，把明细的完整交易信息传输给银行。目前，银行只能看到这有一笔钱通过支付宝交易，但无法得知资金用途。”前述银行人士称。至于执行效果如何，在业内人士看来，有关第三方支付的所有规定，实际都“取决于银行的执行力度。如果银行都严格落实既有规定，就会改变银行面对第三方机构的被动局面，支付机构就不会有这么大的谈判余地。”来源：金融混业观察银监会和央行近日联手下发关于加强商业银行与第三方支付机构合作业务管理的通知（银监发10号），试图规范商业银行和第三方支付机构的合作。我们认为第三方支付机构的快捷支付和数据共享面临挑战，但实际效果取决于执行力度：1、第三方支付机构的快捷支付功能将受到进一步限制。继四大行下调快捷支付的支付限额后，此次10号文提到了两点，可能会对快捷支付，包括余额宝等的申购产生影响：a、快捷支付用途受限。10号文指出，“银行应构建安全的网络通道，制定安全边界，防止第三方机构越界访问”。所谓越界访问，指快捷支付的功能超出了银行的授权范围。据我们了解，银行普遍对支付接口的用途设定一定的限制，比如只能用于缴纳水电煤气费，但部分第三方支付机构在操作中存在扩宽支付接口用途的行为，比如将之扩宽到购物。b、快捷支付开通受限。10号文指出，“首次建立业务关联时，必须通过第三方支付机构和银行的双重身份鉴别”。而实践操作中，开通快捷支付时一般只需要第三方支付机构的身份鉴别。增加银行的身份鉴别，会影响开通快捷支付的便捷性和客户体验。2、第三方支付需要和银行共享客户和交易信息。10号文和去年央行发布的银行卡收单业务管理办法指出，“收单机构应当.正确选用交易类型，准确标识交易信息并完整发送.交易信息至少应包括：直接提供商品或服务的商户名称、类别和代码，受理终端（网络支付接口）类型和代码，交易时间和地点（网络特约商户的网络地址），交易金额，交易类型和渠道，交易发起方式等。网络特约商户的交易信息还应当包括商品订单号和网络交易平台名称。”但实际操作中，部分第三方支付机构发送给银行的信息并不包括二级账户的信息，即银行只能看到这有一笔钱通过支付宝交易，但无法得知资金具体流向和用途。我们理解，客户和交易信息是大数据环境下第三方支付公司的重要资产，如果未来被迫和银行分享，将影响第三方支付公司这些数据的价值。10号文主要内容10号文要求银行于2014年6月30日前做好相应的制度及合同修订工作。在第三方支付机构资质方面，10号文要求首先银行要对客户的风险承受能力进行评估，以确定客户与第三方支付机构相关的账户关联、业务类型、交易限额等，包括单笔支付限额和日累计支付限额。在客户提出申请且通过身份验证和辨别后，在临时期限内可以适当调整单笔支付限额和日累计支付限额。至于限额是多少、临时期限有多长，由银行自己决定。10号文再次重申了客户身份认证的重要性。要求首次建立业务关联时，必须通过第三方支付机构和银行的双重身份鉴别。再次强调银行在用电子渠道验证客户身份时，应采用双因素验证方式对客户身份进行鉴别。在赔付责任方面，10号文要求，商业银行在与第三方支付机构签订合作协议时，要求对客户通过大额资金划转强化身份认证，确保由客户本人发出资金划转要求。对大额支付、可疑支付要及时通知客户。从银行账户划出的支付交易资金，遇到交易终止、失败应划回原银行账户。在加强银行内部风险防范方面，要求银行将与第三方支付机构的合作业务纳入运营风险监测系统的监控范围，特别是对其中大额、异常的资金收付要逐笔监测