第三方支付安全性及风险防范问题

第三方支付安全性及风险防范一、第三方支付概念第三方支付是阿里巴巴集团主席马云在2005年瑞士达沃斯世界经济论坛上首先提出来的，目前为止学术界还没有给出一个非常明确的概念。第三方支付是非金融机构从事金融业务的重要渠道，人民银行发布的非金融机构支付服务管理办法中将其定义为依托公共网络或专用网络，在收付款人之间作为中介机构，提供网络支付、预付卡的发行与受理、银行卡收单以及中国人民银行规定的其他支付服务的非金融机构。从其形式上看，所谓第三方支付，就是具备一定实力和信誉的第三方独立机构提供的网络支付平台，它是以非银行机构的第三方支付公司为信用中介，以互联网为基础，通过与各家银行签约，使得其与商业银行间可以进行某种形式的数据交换和相关信息确认，实现持卡人或消费者与各个银行以及最终的收款人或者商家之间建立一个支付的流程。第三方支付通过其支付平台在消费者、商家和银行之间建立连接，起到信用担保和技术保障的作用，实现从消费者到商家以及金融机构之间的货币支付、现金流转、资金结算等功能。在网络交易中，买方选购商品后，使用第三方支付平台把货款支付给第三方，再由第三方通知卖家货款到达并要求卖家发货，买方收到商品并检验后通知第三方，由第三方将货款转至卖家账户。相对于传统的资金划拨交易方式，第三方支付可以对交易双方进行约束和监督，有效地保障货物质量、交易诚信、退换要求等环节，满足电子商务交易的安全性，为交易成功提供必要的支持。如支付宝、财付通等都属于此类平台。与其他支付方式相比，第三方支付服务具有以下特征：（1）支付中介。第三方支付的具体形式是付款人和收款人不直接发生货款往来，借助第三方支付平台完成款项在付款人、银行、支付服务商、收款人之间的转移。第三方支付平台所完成的资金转账都与交易订单密切相关。（2）中立、公正。第三方支付平台不直接参与商品或服务的买卖。公平、公正地维护参与各方的合法权益。（3）技术中间件。第三方支付平台连接多家银行，使互联网与银行系统之间能够加密传输数据，向商家提供统一的支付接口，使商家能够同时利用多家银行的支付通道。（4）信用保证。运行规范的第三方支付平台，只向合法注册的企业提供支付网关服务，不向个人网站提供服务，在很大程度上避免了交易欺诈的发生，令消费者使用网上支付更有信心。同时第三方支付平台可以对交易双方的交易进行详细的记录，从而防止交易双方对交易行为的抵赖以及为后续交易中可能出现的纠纷问题提供相应的证据。第三方支付是商家和消费者之间的信用纽带。（5）个性化与增值服务。第三方支付可以根据被服务企业的市场竞争与业务发展所创新的商业模式，同步制定个性化的支付结算服务。第三方支付平台能够提供一些增值服务，如帮助商家网站解决实时交易查询和交易系统分析，提供方便及时的退款和止款服务。二、第三方支付的交易流程及支付模式（一）第三方支付的交易流程在电子商务活动中，要靠交易各方的积极配合才能使整个交易流程顺利进行。具体来说，采用第三方交易平台进行支付要涉及到消费者、网络商家、第三方支付平台和相关银行的支持。其一般交易流程如图所示（图1）：图1.第三方支付流程图消费者浏览检索商家网页，提交订单；消费者向第三方平台提交支付信息；第三方支付平台获取买方支付信息并向相关银行或信用卡公司发送支付请求；银行或信用卡公司验证消费者账户；通过第三方平台将资金从银行账户转到第三方账户；第三方支付平台将转账信息传递给商家并通知商家发货；商家发货；消费者收到并验证商品后向第三方支付平台发送确认支付请求；第三方将消费者信用账户上的货款划入商家账户中，完成交易。在第三方支付模式下，卖方看不见买方的账户信息，从而保障了买方支付的安全性。这一交易完成过程的实质是一种提供结算信用担保的中介服务。（二）第三方支付的支付模式第三方支付按支付模式可分为支付网关模式和平台账户模式两种：支付网关模式只是一个简单的通道，买家通过第三方把款付给用卖方；平台账户模式分为监管型账户支付模式和非监管型账户支付模式，主要区别在于第三方支付平台是否暂时保管货款，充当信用中介，如支付宝属于典型的监管型账户支付模式，而快钱则属于典型的非监管型账户支付模式。具体支付模式如下图所示（图2）：图2.第三方支付分类结构图三、第三方支付面临的风险近几年,第三方支付行业迅速发展,但同时风险事故也频发,客户信息泄漏、伪卡欺诈、网络欺诈、套现等网络犯罪案件快速攀升,第三方支付业务已成为银行卡犯罪新的高发部位,由于互联网交易的特点,客户维权也比较困难,因此有必要对第三方支付行业的风险进行详细分析与识别。（一）政策风险第三方支付同样受到宏观环境的影响，宏观环境有利，则第三方支付承担的金融风险小，宏观环境不利，则第三方支付承担的金融风险大。相比其他宏观影响因素而言，第三方支付作为新兴行业，受政策的影响更为明显。例如，政策支持创新，则第三方支付作为创新的产物，将会获得鼓励和支持，反之，如果以保守政策为主，严格防范网上支付风险，则第三方支付面临风险。2014年以来，关于第三方支付的争论从未停息。3月份央行下文要求暂停支付宝和财付通的二维码支付和虚拟信用卡业务，这在一定程度上影响了第三方支付的发展。随后有媒体报道称央行就支付机构网络支付业务管理办法草案最后一次征求意见，并披露草案中有诸多限制第三方支付发展的条例。尽管最后支付机构网络支付业务管理办法并未真正落地实施，但在这一监管风波的可以明显看出，第三方支付的发展面临着比其他成熟行业更敏感而不稳定的政策风险。另外一个需要注意的问题是虚拟货币。根据腾讯公司2013年度财务报表显示，全年总收入为604.37亿元，比去年同期增长38%，其中互联网增值服务收入为451.46亿元，占总收入的74.7%，比去年同期增长25.9%。依托逐年增长的虚拟货币增值服务与网络游戏，作为互联网增值服务的主要收入实现形式，Q币己经是中国互联网市场中规模最大的虚拟货币。由于虚拟货币的发行是由互联网服务商自行决定的，其货币发行行为不受监管。目前，虚拟货币可以通过第三方支付平台及其他渠道与实体货币进行双向兑换，也能购买实物商品（除Q币外，新浪的U币可在新浪商城中购买商品；百度币已经用于个人MP3收费下载；淘金币和天猫积分可直接用于现金抵用购买商品），已经具备了实体货币的职能。而对于实体货币，国家可以通过公开市场操作、贴现、存款准备金等手段或制度调节货币流通量，但对于虚拟货币，其流通量完全取决于发行企业本身，虚拟货币代替人民币成为网上交易的一般等价物，在很多网站都可以和人民币兑换。举个例子来说：100元可以在腾讯官方买到100Q币，但是有人在淘宝上出售100Q币只卖80元，而且长期固定，这种行为如果换到现实的人民币市场就是地地道道的外汇黑市。虚拟货币的发行如果不进行必要监管，将可能面临与实体货币流通量不当带来的一样的问题，引发通货膨胀，这样就加大了虚拟货币对实体货币冲击的风险。对外经贸大学信息学院院长陈进表示：“虚拟货币但凡跟人民币发生联系，就会跟现实中的银行一样，可能面对挤兑等现实风险。”当发行虚拟货币的第三方支付企业将出售虚拟货币的资金进行投资，当客户要求赎回虚拟货币的时候，投资的资产可能无法迅速变现，而此时，该第三方支付企业又无法以合理的成本迅速增加负债或变现资产，以获得足够的资金来偿还债务，这样，第三方支付企业就会遭受流动性风险。因为政策具有滞后性，目前对于这种虚拟货币的监管还是一片空白。当这些有着相似属性的金融手段成为投机倒把的安乐窝时，负责中国金融政策的央行，也的确有必要正本清源，对专门从事虚拟货币兑换的网站进行监管，严格市场准入。（二）法律风险无论是国内还是国外，第三方支付平台的法律地位都不是很明确。任何一个第三方支付公司，都会尽量称自己为中介方，在用户协议的多处地方避免说自己是银行和金融机构，试图确立自身是为用户提供网络代收代付的中介地位。由于涉及类似网络交易平台的法律地位，在交易中的法律责任等很多法律问题都没有明确的立法加以规范。但是我们可以看到，在处理第三方支付业务的整个过程中，第三方支付所起的作用包括：托管货款；代收代付；存取货币；清算结算；信用担保，而这一切与银行类金融机构的职能非常相似，但目前的第三方支付的性质界定与监管标准又未具体明确，处于网络运营与金融业务交接的灰色地带，其服务实质上类似于金融服务中的清算结算业务。同时，提供服务时出现的大量沉淀资金一定程度上具备了资金储蓄的性质。两者都是商业银行法规定的银行专营业务，必须经过银监会的批准才能从事。在国内，法律规定只有金融机构才有权力吸纳代理用户的钱，其他企业和机构不得从事类似的活动。因此，第三方支付平台显然己经突破了这种特许经营限制，服务提供者已经具备了银行的某些特征，但目前还没有相应金融监管法规和机构管理，存在“违法经营”之嫌。在2010年以前,第三方支付企业最担心的是主体资格问题。央行发布非金融机构支付服务管理办法及实施细则，并发放了 197块牌照以后，明确了行业内大多数企业作为非金融机构的主体资格，让企业能够专心于业务发展。第三方支付行业进入监管时代，法律风险也相对降低。第三方支付业务常涉及银行法、证券法、消费者权益保护法、隐私保护法、知识产权法和货币银行制度、财务披露制度等。由于第三方支付属于新兴事物，尽管国家和政府已意识到对第三方支付监管的重要性，但法律法规尚未完善，未形成一套较完善的独立的法律体系，对诸如第三方支付业务资格的确定、第三方支付活动的监管、客户应负的义务与银行应承担的责任等等，还缺乏相应的法律法规加以规范。而一旦出现新的法律法规，这都将引起第三方支付的风险。例如，我国颁布实施办法后，对第三方支付实行许可制度，这对于一部分不符合条件的第三方支付企业，则会遭受较大损失。（三）金融风险对于第三方支付公司来说，金融风险包括沉淀资金、洗钱、套现等的风险，而第三方支付公司面临打击金融犯罪和保护消费者主要面临以下四个方面和传统的不一样的难点：（1）主体的虚拟性,大部分交易是非实名的。（2）交易本身的虚拟性，网络发生的交易和本身的交易不一致的，很难核实交易这个过程，控制交易的程序。这样的特点使得网络支付可能更容易成为洗钱、套现等等金融犯罪的温床。（3）由于网络的遍及性，使得传播范围广。（4）由于第三方支付的具有跨国界性，解决不同国家法律之间的差异又存在一道法律障碍。正是由于这些原因，利用第三方支付进行的洗钱和套现等犯罪活动对第三方支付公司自身的控制和监管能力以及国家的监管能力提出了更高的要求。1.沉淀资金风险在交易过程中，当买方把资金转到第三方的账户，此时第三方对资金进行保管，买方仍然拥有资金的所有权。当买方收到商品，确认付款后，资金所有权转到卖方。第三方支付中一般规定只有当买方收到商品并做出反馈后，系统才能把货款划到卖方账户，这就形成了在途资金。与银行系统运营过程中产生的在途资金相比，第三方支付中的在途资金沉淀时间更长，加上买卖双方暂存在支付平台账户内的资金，随着用户数量的增长，资金沉淀量会非常巨大。如果第三方支付企业出于逐利的需要，将此在途资金用作风险投资，一旦投资失败，投资无法收回，则第三方支付将会遭受重大流动性风险。以支付宝为例，据业内人士估计，考虑到出项资金和进项资金之间的时间差，支付宝账户沉淀资金每月至少在 100 亿元左右。随着以余额宝为代表的“宝宝”军团的推出，似乎缓解了这一风险。但是面对银行不断推出的理财产品，余额宝的年化收益率持续低于5%，远低于刚推出时7%的收益率。在银行理财产品的逼近下，货币基金并没有看起来那般光鲜。2.洗钱风险洗钱是指将毒品犯罪、黑社会性质的组织犯罪、恐怖活动犯罪、走私犯罪或者其他犯罪的违法所得及其产生的收益,通过各种手段掩饰、隐瞒其来源和性质,使其在形式上合法化的行为。2006年10月，反洗钱国际组织金融行动工作组(Financial Action Task Force，下称FATF)的一份报告称，互联网支付特别让FATF担心，因为用户可以在网上匿名开立账户，所需仅是信用卡和银行账号，有时甚至只是一张长途电话卡。信用卡与银行卡还能追溯到个人，长途电话卡可以匿名购买，根本无从追到个人记录。第三方支付出现后，这项工作又面临新的情况。(1)网络交易更具有隐蔽性。网络交易的多个环节都可以被利用来转移“黑钱”，并且速度快，瞬间即可到账，监管机构难以掌握全部环节。(2)网络交易在一定程度上脱离了传统监管部门的监管。第三方支付将款项在银行之间的流动割裂开来，监管机构难以像在银行一样追踪款项的流动。(3)网络交易真假难辨，增加监管机构监测的难度。网络交易原本就具有虚拟性，从外部来看，很难识别是否真的进行了交易，影响监管机构对可疑交易的判断。洗钱犯罪能和一些犯罪共生，成为这些犯罪的下游犯罪。从司法角度看，洗钱犯罪妨碍了司法活动，极大的危害了公共安全。从金融管理秩序角度看，洗钱活动严重扰乱了金融管理秩序，破坏了公平竞争的规则，从而直接危害到正常的社会经济秩序。央行在非金融机构支付服务管理办法中规定支付机构应当遵守反洗钱的有关规定,履行反洗钱义务。因此如果第三方支付企业不积极参与反洗钱工作，可能受到行政处罚。如果卷入相关事件中，可能与金融机构合作时遭到拒绝。3.套现风险通过第三方网上支付平台套现，是指持卡人通过互联网进行虚假交易，利用第三方网上支付平台套取信用额度并获得现金的行为。采取这种方式，持卡人可以长期套取银行的资金，实现无息用款，而第三方网上支付平台则仅仅是被动地充当中介的作用。支付机构互联网支付业务管理办法公布后，明确规定信用卡不得透支为支付账户充值。随后很多支付企业取消了信用卡充值功能。但是这也不能完全堵截信用卡套现，持卡人可以通过网络购买自己的商品，或者与其他人相互购买商品从而进行套现。交易资金进入支付平台的账户，“商家”获得“购物者”支付的货款后从银行取现，再还给买家。整个过程没有真实的货物交易，只是在网上走一个过程，其过程如下图所示（图3）：第三方信用卡虚拟卖家恶意套现者图3.套现流程图恶意套现者透支信用卡进行网上购物，制造虚假交易；交易资金从信用卡账户转入第三方支付平台；恶意套现者向第三方发出支付指令；第三方支付平台将交易款支付给虚拟卖家；虚拟卖家将资金返还给恶意套现者，完成套现过程。信用卡套现是一项央行严厉打击的非法行为，不法分子利用虚假身份信息取得银行信用卡后，通过套现骗取银行资金。情况严重会影响我国金融市场的稳定性。如果第三方支付套现现象持续发展下去，会影响第三方支付平台跟银行之向的合作关系，催生大量的网上虚假交易，影响交易安全和信用危机；影响电子商务市场的稳定，同时不利于整个社会良好诚信环境的养成。而且，在套现过程中持卡人一旦无法如期还款，则不仅会给自己的信用记录带来严重污点，还有可能因还不上款而被认定为恶意透支，面临刑事处罚，得不偿失。（四）操作风险操作风险是指第三方支付机构因信息系统不完善、内控机制失灵、操作人员违规操作、诈骗或其他一些原因而导致的直接或间接损失的风险。第三方支付的使用还没有一个统一的流程，不同支付服务商提供服务使用上有差别，再加上用户疏忽大意，企业内部员工欺诈、违规等，这些都会引起第三方网上支付中的操作风险。操作风险多是由人为的错误、系统的失灵、操作程序发生错误或是控制失效而引起的，其内容涵盖了第三方支付机构内部的诸多风险。用户开户操作时产生盗取银行账号和密码，冒充用户操作，盗取用户资金，用户付款时无明确的汇入账户造成可能的损失。汇款操作时产生的风险包括提现操作、退款操作、验证操作、手工反现操作、佣金计算与发放风险。收款操作时产生的风险包括支付平台从用户收款、商家从支付平台收到款项的风险，银行与支付平台之间资金转移中的收款操作风险等。如支付平台已收到线下汇款款项但无法确认款项应汇入哪个账户，收到客户支票(空头支票的风险)并汇入其支付平台账户的操作，被退款即支付中介为客户汇出款项，但因各种原因款项被退回，由此产生的客户收款时效性、快钱成本问题。对账包括与银行对账、与合作伙伴对账、日清日结、支付中介与商家之间对账、支付平台在各行资金调拨发生差错的风险。（五）技术风险技术风险是指在第三方支付企业运营过程中，由于自然原因、人为因素、技术漏洞、管理缺陷等产生的，通过技术层面反映出来的风险。IT技术、通信技术是第三方支付存在的基石，离开技术所有的业务都无法发展，考虑到其对于第三方支付的重要性，因此未将其作为操作风险的一个分支，而是独立为一节进行分析。下面将从系统风险、数据安全、网络安全三个方面展开。1.系统风险系统风险可以分为硬件风险和软件风险，是固有的风险。硬件风险是由基础设施引发的，企业在部署IT体系时，可能对外界的变化不能充分估计，或者对设备本身不够了解，采用了不恰当的设备，不能满足业务发展的需要，比如计算机运行速度缓慢，存储不够使用等都会阻碍业务发展。即使构建了一套适合的IT设备，硬件突发的故障也可能导致不同程度的风险。例如硬盘损坏导致用户数据丢失，CPU突然掉电导致整个支付系统暂停运营等，硬件故障导致的损失又可能是无法恢复的，因此对于硬件风险应该足够重视。软件风险主要是各类软件在运用过程中引发的风险。虽然在开发过程中会经过无数次测试，但任何一款软件都不可能做到零风险，仍然会存在各种各样的问题，例如数据库的并发数，当用户人数逐渐增多，同一时间使用支付系统的用户也越来越多，达到数据库并发数上限时，就可能导致数据库崩溃，无法进行操作。除以上两个固有风险外，业务外包所引发的风险也不可忽视。因为IT行业是一个专业性非常强的行业，越来越多的企业选择把IT开发以及运维管理外包给其他科技公司，通过这种方式企业既可以享用最新的科技技术，又不用承担高昂的人力成本，有效解决人员规模、技术实力、资金压力等瓶颈。但是在实际操作中，很多科技公司对风险这一模块的管理比较粗放，缺乏风险评估、控制机制，而企业本身对外包业务质量的监督和约束也不够，在签订外包协议时对业务质量的约定、考核等不足，科技公司没有制定一套有效的应急预案，没有定期进行应急演练，在突然发生故障时，可能无法迅速恢复，导致大量风险。2.数据风险信息化高度发展的同时,必然能伴随大量的数据资源。根据易观智库的数据预计，到2014年，中国第三方互联网支付交易规模预计将达到8.8万亿，注册账户规模达到15.64亿。如此庞大的用户数量，再加上活跃的市场交易，会导致数据量急剧膨胀。如今是大数据时代，大数据具有数据体量大、数据类型多、价值密度低，处理速度快的特点，因此为企业带来机遇的同时，也带来很大的挑战。首先，海量的数据需要足够的带宽、大量的存储设置，以及先进的数据处理技术，很容易造成企业发展的瓶颈。如何开发系统、有效运用这些数据创造价值也是困扰企业技术条线的难题。其次是数据的保管与维护，水灾、火灾等灾害可能对存储设备造成威胁，突然的断电也可能导致存储出错，海量的数据在数据库维护、备份上也存在很多的困难。数据管理不善就可能导致数据不一致、同一数据散落多处、共享度低，最严重的是数据丢失。最后是数据的安全问题，数据可以分为传输中的数据、静态数据、处理中的数据三类，这三类数据都面临着不同的风险。由于第三方支付的接口直接同银行关联，在支付时会保留客户姓名、身份证号、银行卡号、密码等关键信息，不法分子可能会通过系统漏洞盗取这些静态数据信息，加以利用，从而盗取客户资金。2011年12月新浪、天涯等多个知名网站都发生用户信息泄密事件，被公开的数据库约有26个，涉及账号、密码信息约2.78亿条。一旦这种大量泄密的事件发生，可能引发很严重的后果。除此外，客户端、第三方支付平台、银行之间是通过数据流进行信息交换的，有不法分子通过窜改数据流以达到少付款的目的。处理中的数据也可能面临处理结果不准确的风险。3.网络安全网络安全实质上是网络信息安全，存放在接入互联网的存储设备上的数据，容易受到恶意或者偶然的攻击，使其保密性、完整性、可用性等受到威胁。在第三方支付领域，尤其是互联网支付业务离不开电子商务，各类数据传输都必须依赖互联网，并且这些数据很多是关系到用户资金安全的数据，具有很强的隐私性，因此必须重视网络安全带来的困扰。网络安全可能从两方面影响企业的运行，一方面是企业自身，基础设施的漏洞和应用程序的漏洞都可能是企业的系统受到攻击。国家互联网应急中心2013年公开发布信息安全漏洞7854个，其中高危漏洞 2607 个，漏洞一旦被黑客发现并利用，可能引发很严重的后果。另一方是对企业用户的影响。目前困扰第三方支付的主要是网络钓鱼。2013 年，互联网与金融行业深度融合，以余额宝、现金宝、理财通等为代表的互联网金融产品市场火爆，在线经济活动日趋活跃。但与此同时，钓鱼攻击呈现跨平台发展趋势，在线交易系统防护稍有不慎即可能引发连锁效应，影响金融安全和信息消费。网络钓鱼通常有三种手段，其一是注册和真实网站十分相似的网站，比如用数字1代替原网站中的字母1，这是最初级的手段。其二是制作一个足可乱真的网页，最主要的是仿冒支付页面，整个网页同真实的几乎无差别，但是数据却传输到不法分子处。其三是通过黑客程序，寻找存在安全漏洞或缺乏有效保护的计算机，并且将黑客程序植入其中，用户输入信息后能够直接被不法分子获取。不法分子获取用户的账号密码等信息后，会立即转走其在银行中的存款，给用户带来难以弥补的损失。2012年8月南京程某发现银行卡上三万多元余额以代缴的名义通过第三方支付企业上海捷银信息技术有限公司划转到了别人的账户中。业内人士分析该事件是因为第三方支付企业的系统存在漏洞，受到不法分子的攻击，在支付代扣系统中非法绑定了代扣业务，最终导致用户的资金被非法转移。根据国家互联网应急中心的统计，2013 年钓鱼网站数量继续迅速增长，CNCERT 共监测发现针对我国银行等境内网站的钓鱼页面 30199 个，涉及 IP 地址 4240 个，分别较 2012 年增长 35.4%和 64.6%。CNCERT 全年接收到网络钓鱼类事件举报10578起，处置事件10211起，分别较2012年增长11.8%和 55.3%，为广大网民挽回数亿元损失。境内主机约1135万余台感染木马或僵尸程序，信息安全面临严重威胁。除此之外，第三方支付还面临着信用风险（包括消费者、商家、第三方支付企业、银行信用风险），外在环境风险（包括自然灾害、意外事件、政局变动造成的风险），市场因素变动风险（包括银行费率、利率等变动造成的风险），竞争机构的风险（包括银行、现有企业和替代品企业）等诸多风险，但是这些风险与其他金融行业面临的风险相似，在此不再一一进行累述。四、第三方支付风险防范建议由于第三方支付具有信息化、国际化、网络化、无形化的特点，电子支付所面临的风险扩散更快、危害性更大。一旦金融机构出现风险，很容易通过网络迅速在整个金融体系中引起连锁反应，引发全局性、系统性的金融风险。因此必须采取措施，对第三方支付金融风险加强防范，促进第三方支付的健康发展。下面将分别从宏观监管、行业自律、微观内控三个方面提出防范第三方支付金融风险的防范措施。（一）宏观监管宏观监管在于从宏观层面对第三方支付进行规范，促进第三方支付持续、健康、协调发展，防止第三方支付引起的混乱和风险。第三方支付作为赢利性组织，经营过程必然存在风险，且由于其涉及资金流通，因此存在着严重的外部负效应，需对其进行监管和经营约束。1. 明确监管机构根据现有法规，监督管理第三方支付机构的部门主要有：中国人民银行、工商行政管理部门、信息产业管理部门及税务机关等。应将中国人民银行作为第三方支付金融风险的主要监管者，其对第三方支付机构的业务准入、交易行为、经营行为等方面实施监管，支付机构和备付金存管银行应分别按规定向中国人民银行报送备付金存管协议、备付金专用存款账户及客户备付金的存管或使用情况等信息资料。中国人民银行将依法对支付机构的客户备付金专用存款账户及相关账户等进行现场检查。中国人民银行委托商业银行代其监管，对第三方支付公司开立在银行的支付结算专户进行监管。商业银行必须认真执行托管方的指令，严格履行相关监管规定，监控专户的资金流动情况，确保资金的合法使用。这样不仅能提高监管效率，还能降低监管成本2.完善法律法规并强化执行尽管中国人民银行已颁布了非金融机构支付服务管理办法、支付机构互联网支付业务风险防范指引、支付机构互联网支付业务管理办法（征求意见稿）和支付清算组织管理办法（征求意见稿），明确了“结合国情、促进创新、市场主导、规范发展”的监管工作思路，对第三方支付的申请与许可、监督与管理、罚则等进行了规定，成为一个具有指导意义的监管框架，但由于第三方支付涉及的部门多、牵涉的情况复杂、面临的问题多，相关的法律法规尚未完全建立起来，因此，相关部门要适应第三方支付新的发展形势，加快法律法规制定步伐，尽快建立适应我国国情的第三方支付监管法律体系。同时，要加强对现有法律法规的执行力度，加大对违法违纪支付行为的惩处力度，使现有的监管措施能够真正落到实处。3.建立健全市场准入制度和退出机制根据非金融机构支付服务管理办法和非金融机构支付服务管理办法实施细则的规定，我国对第三方支付采取许可制度，对取得支付许可证的条件做出了具体规定，提出了注册资本最低限额、管理人员、设施、风险管理措等方面的具体要求。要加大对现有支付业务许可条件的执行力度。同时，需要建立健全市场退出制度，对于那些不符合支付业务许可条件或是已拿到支付业务许可证后由于条件变化而不再具备条件的企业，要采取摘牌、收购或兼并等措施，使其退出第三方支付市场。4.加强对客户备付金的管理办法明确规定了支付机构接受的客户备付金不属于第三方支付机构的自有财产，而是属于第三方支付机构的负债。因此，在发放第三方支付业务许可之前，就要求第三方分设基本账户与备付金专用存款账户，并且只能在一家商业银行设立备付金专用账户，不允许第三方支付机构的分公司开立备付金专用账户。强化商业银行对存放在本机构的客户备付金的使用情况的监督权，对第三方支付机构存放在备付金专用存款账户的备付金的使用情况进行监督。对于第三方支付机构用备付金用于自身运营、发放贷款及进行风险投资等行为予以拒绝。同时，还可以建立客户备付金保证金制度，要求第三方支付机构，按照管理部门确定的比例，向人民银行缴纳保证金或保险。人民银行可以对第三方支付机构实行定期评估，并根据其组织规模、管理和运行情况，实行差别比例制度，确定合理的提取比。一旦有问题出现，银行可立即冻结保证金以抵御风险，保障用户的资金安全。5.强化第三方支付的反洗钱和反套现责任第三方支付平台中的交易其交易主体涉及面广、手续便捷，只要持有网络银行卡就能将资金通过支付平台支付给其他主体，或者用信用卡进行支付，这些都为洗钱者和套现者提供了可乘之机。我国应借鉴欧美等发达国家或地区的反洗钱和反套现的经验和做法，将从事第三方支付业务的企业纳入反洗钱法规定的负有“反洗钱义务”的非金融机构范围，将第三方支付企业纳入反套现监管范围。要求第三方支付企业依法建立健全客户身份识别制度，充分利用网络优势，通过多种方式对客户的身份进行识别，并与公安部全国公民身份信息系统中的数据进行比对，建立密钥托管机制和电子支付认证制度。另外，还应加强洗钱犯罪和反套现的立法工作，严厉打击洗钱犯罪和套现行为。6.规范电子货币和电子票据的使用应尽快建立健全电子货币和电子票据的管理制度，使第三方支付平台的电子货币和电子票据得到规范。例如，限制电子货币的买卖行为，限制使用电子货币或电子票据进行实物交易，对电子票据的签发、兑付、托管、统一认证、与纸质票据转换、电子票据伪造等问题进行深入研究，制定保护电子货币使用者利益的相关法律、法规等。7.加强对第三方支付机构的检查和审计中国人民银行应加强对第三方支付机构和作为其账户监管机构商业银行的检查力度，特别是对客户备付金的使用、内控制度、财务状况进行检查和审计，以及时发现存在的风险，及时予以处理。商业银行也要实时监控第三方支付机构资金的使用特别是客户备付金存款专用账户的资金变动情况。（二）行业自律2011 年 5 月 23 日，中国支付清算协会在北京正式成立，这标志着行业自律被提上了重要日程。由于中国支付清算协会是介于政府、企业之间，商品和服务生产者和经营者之间，并为第三方支付服务、咨询、沟通、监督、自律、协调和社会中介组织，因此，它对防范第三方支付金融风险具有重要的作用。1.加强与政府的沟通中国支付清算协会作为政府与企业之间的桥梁，其应向政府传达企业的共同要求，同时协助政府制定和实施行业发展规划、产业政策、行政法规和有关法律，向政府提出政策建议，为第三方支付行业发展出谋划策，促进第三方支付行业健康发展。2.建立评价标准体系第三方支付商应该通过协商建立一套行业服务标准，明确自身义务和责任，并以诚信建设为重点，保护好消费者的利益。建立统一的行业支付标准和规范，尽可能实现不同支付平台的对接，以增加用户使用的方便性。同时，建立第三方支付商评级体系，建立统一的评价标准，对第三方支付进行评级。3. 协助对第三方支付进行监管仅靠中国人民银行发放的牌照很难反映出这些第三方支付企业未来的服务质量与风险控制问题，因此，协会应采取定期审核、不定期抽查等方式对第三方支付平台的经营进行监控，并把它们也纳入一个评级系统，促使第三方支付企业不断改进技术，降低网络风险，提高服务质量。例如，协会可根据第三方的服务质量以及网络安全等因素进行综合评比，评比结果每年公布一次，排名落后者会面临市场份额减少的压力，如果评比结果不符合监管要求甚至被撤销牌照。这样把网络交易中的三方都纳入一个互相监督、互相制衡的系统，可以使整个网络交易体系保持安全稳定的良好状态。4.加强与客户的沟通，树立第三方支付良好的形象第三方支付被客户接纳和使用，很大程度上来源于对第三方支付的信心和信任，因此，良好的形象对于提升信心、防范风险具有重要作用。中国支付清算协会应通过发布最新行业进展及统计数据、出版刊物、进行危机处理等方式，加强对客户的沟通，使第三方支付在一个良好的环境中得到成长壮大。（三）微观内控1.完善治理结构为防止决策者与执行者相互串通进行冒险交易，从而导致金融风险，第三方支付企业应健全治理结构，成立专门的风险管理部门，加强对第三方支付可能遭受的风险进行管理。例如，可在公司董事会下设立专门的风险管理委