第三方支付,央行的“不满”和“重视”在哪里?
2014年3月13日,央行支付结算司以司发文形式,通过杭州中心支行、深圳市中心支行支付结算处暂停支付宝和财付通公司开展或拟开展的条码(二维码)支付、虚拟信用卡等支付业务和产品,函件主要内容解读如下: (一)函件内容表示,央行暂停两项业务,一是条码(二维码)支付业务,二是两家公司拟和中信银行合作推出的虚拟(网络)信用卡业务。
一位资深大佬对于央行暂停条码支付及虚拟信用卡业务的分析报告
关于央行暂停条码(二维码)支付及虚拟信用卡业务的分析报告
一、函件主要内容解读
2014年3月13日,央行支付结算司以司发文形式,通过杭州中心支行、深圳市中心支行支付结算处暂停支付宝和财付通公司开展或拟开展的条码(二维码)支付、虚拟信用卡等支付业务和产品,函件主要内容解读如下:
(一)函件内容表示,央行暂停两项业务,一是条码(二维码)支付业务,二是两家公司拟和中信银行合作推出的虚拟(网络)信用卡业务。但是,条码支付与二维码支付不属于一类业务,二维码支付是通过手机扫描二维码完成支付;而条码支付是支付宝钱包的一项功能,通过商家RFID读取设备扫描条码,实现对客户账户的识别,并完成支付业务(见右图),两者均能实现O2O支付的功能,但业务模式和业务风险各不相同。因此,函件实际应当是禁止了条码支付、二维码支付和虚拟信用卡三项业务。
(二)函件以支付司函发文的形式发至各地支付处,而没有直接主送支付宝和财付通两家公司,属于央行支付司监管的惯例,希望由各地支付处采取措施暂停两项业务。此方式可以避免央行直接采取具体行政行为的法律风险,但不代表函件没有强制执行力。
(三)文件没有直接主送中信银行,可能是囿于《商业银行信用卡业务监督管理办法》(银监会2号令)的规定,商业银行信用卡的发卡管理属于银监会管辖范畴,根据媒体报道,中信银行已经将合作发行联名信用卡方案报银监会创新业务监管部备案,人民银行不宜直接暂停商业银行的信用卡发行业务,因此转为暂停支付机构与商业银行合作发行信用卡,相关文件实际已经抄送了中信银行。
(四)对文件中“暂停”一词的理解不宜过于乐观。之前有部分支付机构采用虚拟卡号的形式与VISA、MASTER等银行卡清算组织合作发行上述组织的信用卡,进行跨境支付结算,被央行支付结算司暂停,在银行卡清算机构相关行政许可制度出台前将不会再恢复。因此,上述业务不太可能沟通后立即恢复,极有可能在相关管理办法出台前都被一直“暂停”下去。
二、函件背景分析
(一)相关业务存在一定风险,引起央行重视。首先,二维码支付确实可能存在资金被盗刷的风险。但是需要明确的一点事,二维码支付和二维码是两个不同的概念,二维码支付这里是指支付宝钱包和微信闭环运行的扫描签约特约商户产生的二维码支付指令完成付款,而二维码里面包含的信息复杂,和网络支付中存在钓鱼、木马等问题一样,扫描虚假的二维码或者手机中了木马病毒,都可能引发客户资金被盗,被盗的途径不一定是通过支付宝钱包或微信支付,有可能是电子银行、也可能直接连上钓鱼网站,因此禁止二维码支付不代表可以降低二维码盗刷资金的风险,相对而言与支付宝和财付通签约收单的特约商户,使用其技术应用而生成的二维码,并且闭环运行不进行页面跳转,安全性可能要比客户随意扫描普通的二维码高的多。
其次,条码支付可以实现用户离线支付(收款方需要在线),配合支付宝钱包的虚拟支付账户和余额宝账户使用,则涉嫌超出了网络支付的业务范围,以及变相发行银行卡业务,这点我早就质疑过,可能超出了监管底线,但是此次函件中没有明确指出这点,有点让人感觉支付司没有弄清楚条码支付和二维码支付的区别,急于出台相关函件。
再次,虚拟信用卡业务违反银监会相关发行信用卡必须“面签”的规定。这虽然属于银监会管辖范畴,但是人民银行对于信用卡风险防范,特别是出现了预授权事件后,对于信用卡发卡审核高度重视,完全依托两家支付机构做发卡的审核,一定程度上超过了央行的容忍度。
(二)相关业务未向央行报备,引发央行不满。这里主要指虚拟信用卡业务,支付宝和财付通公司可能将虚拟信用卡理解为中信银行发行的信用卡,与其他信用卡一样,绑定快捷支付业务即可,不存在创新业务备案的问题,但央行与之理解则不同。而条码支付和二维码支付出现近1年半,不存在未及时向央行备案引发不满的问题。
(三)对于网络支付和移动支付业务,央行态度趋于谨慎。2014年3月,中国支付清算协会组织召开了对网络支付和电话支付业务相关管理办法征求意见的座谈会,相关内容暂未透露,但据媒体反映,相关办法对于网络支付业务中线下转线上业务,支付账户转账和消费业务限制较为严格,对于O2O业务的发展存在较大影响。
(四)银联对于央行政策制定的影响力不容忽视。这里排除阴谋论的分析,水滴穿石,银联对于政策制定的影响也非一日之功。中国银联作为央行管理的相关企业单位,与汇达资产管理公司、上海清算所一样,虽然不是央行直属单位,但是相关人事任免和考核归于央行管理。从《银行卡收单业务管理办法》制定过程中看,中国银联对于央行政策的制定有非常大的影响力。因为不适用传统POS机具,与手机刷卡器等新型业务不同,二维码支付、条码支付并不存在支付终端即POS不合规的问题,其风险尚未超出网络支付业务面临的风险范畴。线下POS业务主要的风险在于侧录、伪卡和套现,网络支付业务主要风险在于木马和钓鱼,因此并不能片面的认为网络支付业务风险一定大于线下POS业务风险,特别是O2O支付业务面临的二维码信息被篡改或手机在支付时支付信息被替换的风险有多少,需要相关数据进行支持。目前,基于二维码支付被盗刷向央行和支付清算协会投诉的数量极少,央行并未面临较大的消费者投诉方面的压力。应当看到,中国银卡并未开展二维码等支付业务,其重心在NFC业务,并且中国人民银行信息中心投资数亿元建设了全国TSM系统,目的也在于NFC技术的发展。目前,条码支付、二维码支付及虚拟信用卡业务均可绕开银联的转接清算,甚至不用在发行银联卡,势必引发中国银联的强烈不满,从中国银联总裁时文朝近期在拉卡拉公司的讲话中不难发现前述端倪。因此,该文件的出台不能排除银联游说央行的影响。
(五)支付宝“自残”阻碍微信支付业务的说法可能性较低。网上流传,未防止微信支付业务弯道超越,支付宝采取与财付通同归于尽的作法,暂停线下O2O业务,进而确保其网络支付的龙头地位。这种说法过于高估了支付宝在央行政策制定的影响力,也低估了支付宝对于互联网业务发展的包容度,伤敌一千,自损八百的作法,不符合支付宝一贯的作风,因此可能性较低。
此外,虽然我对3·15晚会黑打的方式一贯不满,但看完央视3·15晚会后,基于我与中消协多年的合作经验,感觉央视可能就二维码问题与央行进行过沟通,这也可能是央行急于在3·15前出台相关意见的原因。
三、应对建议
(一)各支付机构应加强与央行的沟通,及时报备相关业务,并且充分论证业务的安全性。此事事件事先毫不知情,表明在于央行等监管部门的沟通上存在严重不足。作为后续补救措施,应当主动向央行支付结算司、各中心支行支付结算处汇报相关业务情况,并且充分说明业务的安全性以及一旦发生盗刷赔付的及时性,请央行提供指导意见,特别是中心支行的监管建议对于上述业务有极为重要的作用。严禁以任何方式公开批评监管政策,激化与央行之间的矛盾。
(二)相关业务应当低调进行测试,不宜在监管政策不明的情况下就通过媒体进行炒作或持续曝光。
(三)应当加强同中国支付清算协会的沟通,充分表达意见,影响政策制定。协会作为监管和被监管主体见的润滑剂,可以起到良好的沟通效果,亦可以请协会信息技术专家委员会对相关产品进行评估,以期充分了解政策背景,取得监管支持,并尽可能影响未来网络支付业务政策的制定的结果。
(四)为降低二维码支付的风险,可以禁止经营虚拟类商品的特约商户进行二维码支付或通过二维码支付方式购买虚拟类产品给予金额限制,虚拟类商品即时消费,一旦盗刷后资金不易追索,不仅在二维码支付,在网络支付中其实都应该有一定合理的金额限制。
(五)消费信贷业务可以采取与消费金融公司合作的模式。发行虚拟信用卡业务被暂停,与小贷公司合作消费信贷业务,因小贷公司经营范围受政策限制,存在法律风险。因此,开展消费信贷类业务可以和已经获批的四家消费金融公司合作,由其对客户授信,在微信O2O体系内封闭运行,并且随借随还。受贷款利率下限管制,消费金融公司小额消费信贷不能设置免息期,因此为满足客户免息消费的需求,需要给予一定补贴或者采取先赊销、后贷款的合作模式。
(六)需要看到的是两家支付机构或许没事情,但是因为受支付账户开户主体和交易金额的限制,刚刚可能阳光化的P2P网贷行业,极有可能因为政策限制,无法找到适格的资金托管机构不得不进行转入地下,这点务必引起政策制定者的高度重视,不要到时再头痛医头、脚痛医脚了。
来自金羊毛工作坊