网络支付分层监管 行业面临大浪淘沙

本篇文章3339字，读完约8分钟

作为网络金融创新的核心功能，网络支付已经广泛渗透到人们生活的各个方面。虽然它为在线消费、支付和财务管理提供了便利，但由于缺乏监管和相应的标准，它也引起了安全问题。

如何在创新和安全之间取得平衡确实伤透了监管者的心。经过几轮讨论，网上支付监管草案第四稿终于出台，但对“最高限额5000元”的误解引起了强烈质疑。

参与意见稿起草的央行相关人士立即出面澄清，并回复《中国商报》记者，称消费额度没有限制。出于安全考虑，付款账户的交易金额只受等级限制，网购最高限额为5000元的说法被误解了。

第三方支付机构也对意见稿提出了自己的看法，称监管部门要求的多种认证方式，尤其是手机数据认证问题需要克服，在中国很少有人能够做到，支付行业将面临重大洗牌。

根据认证账户分类

7月31日，央行发布了《非银行支付机构网上支付服务管理办法(征求意见稿)》(以下简称《征求意见稿》)。上一轮《支付机构网上支付服务管理办法》于2012年1月首次公开征求意见，至今已有三年零六个月。

“应该说，在当前零售支付工具的快速发展和非银行信贷支持的电子支付账户的复杂性下，这是一个过渡性的次优选择。”中国社会科学院金融研究所副所长杨涛向《中国商报》解释了意见稿。

“经过几轮讨论，意见稿大大放宽了初始限额管理，不再以网上账户转账和消费的交易行为为基础，而是根据实名制的力度转向账户性质。”杨涛说道。

在本次咨询中，支付账户分为两种类型:综合账户和消费账户。

综合账户可用于投资和理财产品或服务的消费、转移和购买。综合账户至少需要5种方式的面对面身份验证或交叉验证。消费者账户只能用于消费和转到自己同名的银行账户。消费者账户至少需要在三个方面进行交叉验证。

意见稿第16 (3)条规定，支付机构应根据客户身份管理同一客户开立的所有支付账户。个人客户拥有综合支付账户的，所有支付账户的年度累计余额支付交易(不包括将支付账户划入客户自己的同名银行账户，下同)不超过20万元。如果个人客户只拥有一个消费支付账户，则所有支付账户的年度累计余额支付交易不得超过10万元。超过限额的支付交易应通过客户的银行账户办理。

“综合账户的年度支付账户消费不得超过20万元，消费账户不得超过10万元。当然，如果他们用银行账户消费，也没有限制。”一位参与起草意见稿的央行相关人士告诉《中国商报》，“理论上，监管机构不会对这类客户(通过最高级别验证的客户)实施支付账户消费限制。然而，出于安全原因，支付机构经常限制客户支付账户的消费。"

一些市场参与者质疑:如果一家支付机构为个人开立账户，它需要三家机构来验证用户的身份。如果是具有财务管理和转账功能的综合账户，需要五个机构进行验证。也就是说，如果未来的用户想发送微信红包，他们需要向微信提交五家机构的证书来验证自己的身份？

对此，央行相关人士解释说，只要客户授权并同意查询，支付机构和合作机构就可以通过系统检查，不需要去居委会，也可以获得商业信用，只要客户授权并同意查询，支付机构和合作机构就可以通过系统检查。换句话说，商业信用信息和身份证号码都可以使用。

付款账户交易金额分级

意见稿还对支付账户的交易金额进行监管，并根据安全验证信息确定交易金额，即1000元、5000元、无限。

简而言之，1000元只有一种核实的一天限额；单日限额5000元有两种验证方式，如密码+短信验证方式；交易通过数字证书或电子签名进行验证，金额不限。支付机构的具体数量将由客户自己决定。

一些市场参与者将意见稿解读为第三方支付账户的最高支付金额仅为5000元。对此，市场反应强烈。

上述参与意见稿起草的央行相关人士回应《中国商报》记者称，意见稿中规定的网购市场最高限额为5000元是误读，消费额度没有限制。为了安全起见，只有支付账户的交易金额是分阶段监管的。

“第三方支付账户和银行账户之间必须有区别。央行有关人士向记者解释说:“根据不同的核查标准，央行对支付账户设定了三个消费水平。”“最高级别包括数字证书。有两种类型的验证信息，如电子签名。中间级别不包括两种类型的验证信息，如数字证书和电子签名。低级别仅包括一种类型的验证信息。”

根据上面提到的中央银行家，具有高安全等级，唯一性，不可否认性和伪造性可以被确定，所以理论上有无限的消费。相反，支付机构会限制这个高安全性客户的消费金额，但我们没有设定限额，这是由支付机构根据自身情况决定的。

手机数字认证技术有待提高

第三方支付机构似乎对意见稿并不乐观。

针对征求意见稿，国内一家大型支付机构的相关人员对《中国商报》表示:“开户难，已经建立了很多这样的验证方式。在中国完成这样的验证方法几乎是不可能的，而且在中国很少。可以做到。”

事实上，上述支付机构人们所说的是提供数字证书和电子签名。

根据意见稿的规定，如果支付机构使用包括数字证书或电子签名在内的两种或两种以上的要素进行验证，则支付机构在理论上可以无限制地使用支付账户交易。

但是，根据《意见稿》第29条，支付机构采用数字证书和电子签名作为验证要素的，应当通过符合相关技术安全标准、具备数据安全存储和计算能力的硬件载体保护数字证书和生成电子签名的过程，以确保数字证书的唯一性、完整性和交易的不可否认性。

数字证书由第三方认证中心在严格检查用户身份后颁发。它通过公钥加密技术对用户的公钥信息和用户身份信息进行数字签名，并将用户声称的身份信息与公钥绑定。因此，包含用户个人身份信息、公钥和数字签名的特殊电子文件形成了数字证书。

数字证书通常存储在usbkey硬件设备中。带有数字证书的电子签名可以解决交易信息的完整性和有效性，并且不可否认。

据一些接受采访的业内人士称，在手机上实现数字证书和电子签名并不容易。众所周知，目前国内手机数字证书或电子签名的经验很差(据说手机上插有外部设备)。因此，很多支付机构都很担心，这是支付机构技术上的一股力量吗？

关于数字证书和电子签名在中国电子支付行业的应用现状，有业内人士表示，电子签名在中国尚未广泛普及，移动数字证书也面临着利基和用户认知度低的局面。

动了支付机构的“奶酪”？

“平衡的概念已经消失，平衡已经转移。这件作品对我们影响很大。”上述支付机构的相关人士告诉本报。

以前，第三方支付机构凭借快速支付的快捷体验迅速占领了支付市场，现在已经成为第三方支付最重要的支付手段。据业内人士称，这种对支付账户交易金额的限制确实在一定程度上“触动了支付机构的奶酪”。

事实上，这也是央行对第三方支付存款的担忧。余额支付限制了金额，并引导消费者使用其他支付方式。自然，第三方支付平台上的存款会减少。

“例如，虽然消费支付账户的5000元限额只是为了平衡，但刷卡时还是有卡的，这就是快速支付。每家银行都有不同的快速支付限额，这就造成了一定的障碍。”上述支付机构的一名相关人士表示。

事实上，网上银行支付和快速支付现在不是无限的，这是由各种银行规定的。目前，我国商业银行有不同的快递支付额度。据记者了解，目前市场上银行卡的单日快递额度从最低5000元到50万元不等。

"目前，监管部门尚未对银行卡快速支付进行准确的额度监管."一家银行网上银行部的人告诉记者。在他看来，从银行的角度来看，仅通过手机验证码进行快速支付是不安全的，因此对消费者资金的保护是有一定限度的。

然而，监管机构对快速支付额度的管理更多的是基于对资本安全性的考虑。银行账户比企业账户更安全，银行信贷也更安全、更可靠。根据上述中央银行，银行账户是银行信贷，支付账户是企业信贷。支付机构为企业账户，账户金额较大，企业经常挪用客户存款。不久前，存款保险制度规定支付不到50万个人存款账户，这高于企业的信用安全水平。

对于支付机构来说，征求意见稿的规定无疑是行业竞争中的一大浪潮。杨涛还表示，对于支付行业排名较低的机构，其内部管控能力有限，难以开展这些功能拓展服务；对于业内领先的支付机构，可以促使其跳出支付账户的范畴，尝试改变单一支付业务的发展模式。在大平台经济的思路下，他们要么努力向网上银行发展，要么在不同机构或产品层面进行整合，进行支付承载的多元化金融功能创新，以更加规范清晰的框架把握风险、化解监管疑虑。