近日,中国支付清算协会印发了《支付机构互联网支付业务风险防范指引》(下称《指引》)。这是国内第一部针对互联网支付业务风险防范操作的具体规范性文件,填补了互联网支付风险管理自律规范的空白。
根据艾瑞咨询的报告,2012年,国内互联网支付业务交易规模达3.66万亿元,同比增长66%。其中,2012年第四季度单季交易规模突破万亿元,达1.07万亿元。而伴随着交易规模的迅速增长,互联网支付安全问题日益引人关注。
人民银行支付结算司副司长周金黄上周就公开表示,目前我国网络支付总体安全,但潜在问题不容忽视。较多用户的网络安全意识薄弱,风险防范能力不足。
类银行风控体系
周金黄称,中国网民人数超过5.5亿,网络支付用户达2.21亿,也就是说网民中使用网上支付的比例达到约40%。中国已经成为全世界最大的网上支付消费国家。
通俗地讲,互联网支付是指用户通过互联网渠道进行的在线资金交付行为,如网上银行、手机银行、快捷支付等。伴随着新技术的出现,支付安全问题变得日益重要。
“支付业务,风险控制无小事。”一位支付公司副总裁称,虽然网络支付损失的资金占总的支付金额比例非常低,但资金损失对于单个用户来说可能就是百分之百。
此次印发的《指引》聚焦于互联网支付的风险防范领域。事实上,在此之前,无论是央行,还是支付清算协会,均未针对互联网支付领域专门下发过正式文件。此次下发的《指引》,对支付公司的风险管理组织架构、风险管理支付、风险管理系统等方面作出硬性规定,还明确提出风险防范的具体要求和操作规范,保障互联网支付安全。
总体来看,《指引》对支付公司在风险控制领域的要求与银行结算的风险控制体系,大体类似。
一位支付清算协会人士称,《指引》的制定吸取了银行风控方面的经验,也吸收借鉴了欧洲中央银行关于互联网支付安全建议等国际经验。他还称,互联网支付是一个两极分化严重的行业,大的公司很大,小的公司很小,《指引》的制定要平衡二者的实际情况。
截至目前,人民银行已经累计发放223张非金融机构支付许可证,其中从事互联网支付和移动支付的约80家。互联网支付领域,支付宝、财付通两家的市场份额超过70%以上。
“安全板块,支付宝目前配备了400多人。交易风险、信息风险、备付金风险还有合规、内控等方面,支付宝都有非常完整的管理体系。”支付宝大安全副总裁江朝阳对《第一财经日报》表示,支付行业具有明显的规模效益,达到一定规模后,资源投入才会跟得上。
“对于一些小的支付公司来讲,要构建如此严密的风控体系尚需一定时间。”上述支付公司副总裁表示,安全问题是支付企业的生命线。风控向银行看齐,长远来看,这种要求是正确的。
不得匿名开户
中后台,搭建风控体系,防范客户资金出现损失;在前台,《指引》则积极推进实名制。
“用户风险防范的首要环节是用户注册审查环节,包括实名制要求、用户身份信息审核、用户申请资料保存等。”支付清算协会称,支付机构要强化用户身份认证,防止用户信息被冒用、盗用。
根据上述《指引》,支付机构应根据审慎原则,实名开立用户支付账户,对用户身份信息的真实性负责,不得为用户开立匿名、假名支付账户。
“银行账户实名制推行已有多年。由于存量的原因,今年银行也在清理虚假匿名账户。”上述支付公司副总裁称,支付行业毕竟是个新兴的行业,目前难免有一些支付公司会匿名开户,但长远趋势会与银行类似。
《指引》还要求,支付机构应为同一用户建立唯一的用户身份识别号,对该用户开立的所有支付账户进行关联、统一管理;对同一用户在同一支付机构开立多个支付账户的,应采取有效措施确保支付账户为同名账户且多个支付账户中登记的用户基本身份信息一致。
与银行对公、对私账户类似,支付机构在为用户开立账户时,根据账户开立主体不同,分为个人支付账户和单位支付账户。上述支付公司副总裁称,开户时,支付公司会承诺客户,严格保护其个人信息安全。
在保护金融消费者信息安全上,《指引》也给出了硬性规定。
《指引》称,支付机构应设立或指定专门部门负责用户信息保护工作,并与所有接触用户账户信息及交易数据等敏感信息的员工签署保密协议,明确员工需要承担的保密责任以及员工离职时的脱密期。
此外,《指引》还要求,未经用户授权,支付机构不得为任何单位或个人查询用户身份信息及交易信息资料,不得将用户身份信息及交易信息向任何第三方提供,法律法规另有规定的除外。